Accountantskantoren draaien op vertrouwen, voorspelbaarheid en continuïteit. Juist daarom komt de WWKE-wetgeving binnen als iets dat je niet “even” afvinkt. De Wet weerbaarheid kritieke entiteiten vraagt om aantoonbare maatregelen tegen verstoringen, van cyberincidenten tot uitval van leveranciers of systemen. Dat raakt direct je dossierprocessen, klantportalen, remote werken en de IT die alles bij elkaar houdt.
In dit artikel zetten we de WWKE praktisch neer. Eerst wat de wet is en waarom die er nu komt. Daarna welke verplichtingen relevant zijn voor accountantskantoren, wat dit vraagt van IT en processen, welke valkuilen je vaak ziet en hoe je stap voor stap richting compliance werkt.
Wat is de WWKE en waarom nu
De WWKE is de Nederlandse uitwerking van de Europese richtlijn Critical Entities Resilience. Het doel is om organisaties die een essentiële rol spelen in maatschappij en economie weerbaarder te maken tegen verstoringen. Denk aan cyberaanvallen, technische storingen, menselijke fouten en bredere dreigingen zoals geopolitieke spanningen en klimaatgerelateerde incidenten. In de aanloop naar de inwerkingtreding worden sectoren en criteria verder uitgewerkt en wijzen ministeries uiteindelijk kritieke entiteiten aan.
Voor accountantskantoren is de WWKE vooral relevant via ketenrisico’s en digitale afhankelijkheden. Ook als je kantoor niet zelf wordt aangewezen, kun je wel onderdeel zijn van de keten van een aangewezen organisatie. Dan komen vragen sneller op tafel over jouw continuïteit, incidentafhandeling en leveranciersbeheer.
Belangrijke begrippen die je in WWKE-trajecten steeds terugziet, zijn kritieke diensten, kritieke afhankelijkheden, restrisico, risicotolerantie en weerbaarheidsplannen zoals business continuity en disaster recovery.
Welke WWKE-verplichtingen gelden voor accountantskantoren
Als je organisatie wordt aangewezen als kritieke entiteit, dan vraagt de WWKE om aantoonbare weerbaarheid. In de praktijk komt dit neer op een set samenhangende verplichtingen die je bestuurlijk moet borgen en operationeel moet uitvoeren. In bronnen over de WWKE wordt nadrukkelijk genoemd dat organisaties na aanwijzing beperkte tijd hebben om naleving aan te tonen, waardoor vroeg starten verstandig is.
De kern die je vrijwel altijd moet kunnen laten zien:
- Governance en verantwoordelijkheid. Duidelijk eigenaarschap voor weerbaarheid, besluitvorming en escalatie.
- Risicoanalyse. In kaart brengen van dreigingen, kritieke diensten en kritieke afhankelijkheden, zoals IT, data, locaties en derde partijen.
- Weerbaarheidsplannen en maatregelen. Maatregelen kiezen op basis van restrisico en risicotolerantie, plus plannen opstellen, oefenen en verbeteren.
- Incidentrespons en meldingsprotocollen. Proces voor identificatie, inperking, herstel en communicatie, inclusief afspraken met externe partijen die ondersteunen bij incidenten.
- Leveranciers en uitbesteding. Aantoonbaar grip op derde partijen die jouw kritieke processen mogelijk maken.
| Snelle WWKE-scan | Wat je minimaal wilt kunnen aantonen |
|---|---|
| Kritieke processen | Overzicht van diensten die bij uitval direct impact hebben op klanten en deadlines |
| Afhankelijkheden | IT-systemen, cloud, identity, e-mail, leveranciers, key users en vervanging |
| Continuïteit | BCP- en DR-aanpak, herstelprioriteiten en periodieke tests |
| Incidentproces | Runbooks, rollen, communicatie en vastlegging van acties en besluiten |
| Bewijsvoering | Documentatie, logging, rapportages en audittrail |
Wat vraagt de WWKE van je IT en processen
WWKE-compliance is geen puur juridisch dossier. Je moet in de dagelijkse praktijk kunnen laten zien dat je digitale werkplek en IT-fundament verstoringen kunnen opvangen en dat je organisatie gecontroleerd kan herstellen. Dat vraagt om techniek, maar ook om procesdiscipline.
- Toegangsbeheer met MFA en least privilege. Rollen en rechten laten aansluiten op functies, ook bij tijdelijke krachten.
- Logging en monitoring. Niet alleen verzamelen, maar ook opvolgen met duidelijke triage en escalatie.
- Patch- en kwetsbaarhedenbeheer. Structureel bijwerken en aantoonbaar prioriteren op risico.
- Back-up en herstel. Herstelbaarheid testen, inclusief scenario’s zoals ransomware en foutieve synchronisatie.
- Encryptie en dataclassificatie. Zeker rond dossiers, klantportalen en uitwisseling met klanten.
- Endpoint- en e-mailbeveiliging. Detectie van afwijkend gedrag en bescherming tegen phishing en malware.
- Netwerksegmentatie en basishardening. Beperk laterale beweging bij een incident.
- Beleid en procedures. Denk aan onboarding en offboarding, wijzigingsbeheer en afspraken over remote werken.
Vertaal dit naar je werkprocessen. Dossierbeheer vraagt om strakke autorisaties en bewaartermijnen. Klantportalen vragen om sterke authenticatie en monitoring. Remote werken vraagt om beheerde devices, veilige toegang en heldere regels voor dataopslag.
Veelgemaakte WWKE-valkuilen en risico’s
In veel MKB-omgevingen zit de pijn niet in “geen intentie”, maar in versnippering en onduidelijkheid. Daardoor ontstaat een kloof tussen wat je denkt geregeld te hebben en wat je kunt bewijzen als het erop aankomt.
- Versnipperde tooling waardoor logging, patching en incidentopvolging niet samenkomen.
- Onduidelijk eigenaarschap. IT, compliance en operatie wijzen naar elkaar bij incidenten.
- Schaduw-IT. Teams gebruiken eigen opslag, eigen AI-tools of privéapparaten buiten het beleid om.
- Onvoldoende leveranciersafspraken en SLA’s rond beschikbaarheid, support en incidentmelding.
- Gebrek aan bewijsvoering. Wel maatregelen, maar geen audittrail, geen testverslagen en geen besluitenlog.
- Te late incidentdetectie door gebrek aan monitoring en duidelijke escalatie.
- Herstelprocedures die nooit realistisch zijn getest, waardoor herstel langer duurt dan verwacht.
Signalen om vroeg te herkennen zijn terugkerende ad-hocspoedfixes, onduidelijkheid over wie een incident “mag” uitroepen, en back-ups die wel bestaan maar nooit zijn teruggezet in een oefening.
Praktische stappen naar WWKE-compliance
Een werkbare aanpak is iteratief. Je hoeft niet alles tegelijk perfect te maken, maar je moet wel aantoonbaar sturen op risico en verbetering. Zie het als een doorlopend weerbaarheidsprogramma, niet als een eenmalig project.
- Scope bepalen. Welke diensten zijn kritisch, welke locaties en welke IT-componenten horen daarbij?
- Gap-analyse. Vergelijk huidige maatregelen met WWKE-verwachtingen rond risicoanalyse, plannen, incidentproces en leveranciers.
- Risicoregister opzetten. Dreigingen, afhankelijkheden, bestaande controls en restrisico vastleggen.
- Prioriteren op kritieke processen. Eerst identity, e-mail, dossieromgeving, klantportaal en back-upherstel.
- Maatregelenplan maken. Techniek, proces, training en bewijsvoering in samenhang.
- Implementeren en trainen. Oefen incidentrespons en herstel, inclusief communicatie en besluitvorming.
- Testen en auditen. Periodiek tabletop-oefeningen en hersteltests, plus verbeteracties vastleggen.
| Fase | Focus | Rollen |
|---|---|---|
| Eerste periode | Scope, gap-analyse, risicoregister en quick wins op identity en back-up | Directie, compliance, IT-verantwoordelijke |
| Volgende periode | Incidentproces, leveranciersafspraken, monitoring en bewijsvoering | Compliance, IT, key users |
| Daarna | Oefenen, testen, verbeteren en borgen in beleid en onboarding | Alle teams, met de directie als sponsor |
Hoe Mr. Blocks helpt met WWKE-compliance
WWKE-compliance wordt haalbaar als je IT-omgeving voorspelbaar is en security een vast onderdeel is van de werkdag. Met onze aanpak richten we een veilige digitale werkplek in en beheren we het IT-fundament als één samenhangende verantwoordelijkheid. Dat geeft rust en maakt aantoonbaarheid veel makkelijker. Lees meer over onze aanpak voor de digitale werkplek of bekijk wie we zijn op Mr Blocks.
- Security baselines voor accounts, apparaten en cloudomgevingen, inclusief MFA en least privilege.
- Monitoring en incidentproces met duidelijke opvolging, vastlegging en rapportages voor audittrail.
- Patch- en kwetsbaarhedenbeheer, zodat updates en risico’s structureel worden opgepakt.
- Back-up- en herstelaanpak die past bij kritieke processen, inclusief periodieke hersteltests.
- Endpoint- en e-mailbeveiliging met vroege detectie van afwijkend gedrag.
- Leveranciersregie en documentatie die helpt bij aantoonbaarheid richting klant en toezichthouder.
Wil je weten waar jouw kantoor staat ten opzichte van de WWKE-wetgeving en welke stappen het meeste effect hebben? Plan dan een intake via contact en we brengen samen scope, risico’s en prioriteiten in kaart.
Veelgestelde vragen
Hoe weet ik of mijn accountantskantoor onder de WWKE valt of alleen ketenverplichtingen heeft?
Wacht niet op een formele aanwijzing. Breng in kaart welke klanten mogelijk als kritieke entiteit worden aangewezen en welke diensten jij aan hen levert (bijv. salarisverwerking, jaarrekeningproces, klantportaal). Vraag proactief naar hun leveranciers- en weerbaarheidseisen (vragenlijsten, audits, contractclausules) en leg vast welke continuïteits- en securitymaatregelen jij kunt aantonen. Zo voorkom je verrassingen zodra een klant WWKE-eisen doorvertaalt in de keten.
Welke documenten en ‘bewijzen’ worden in de praktijk het vaakst opgevraagd?
Zorg voor een compacte bewijsmap met: scope-overzicht van kritieke diensten, risicoregister (incl. restrisico en risicotolerantie), BCP/DR-plan met hersteldoelen (RTO/RPO), incidentresponsplan met rollen en contactlijst, test- en oefenverslagen (tabletop + hersteltest), leveranciersoverzicht met SLA’s en incidentmeldafspraken, en een besluitenlog (wie besloot wat, wanneer en waarom). Houd alles versiebeheerbaar en herleidbaar.
Hoe bepaal je realistische RTO/RPO voor dossierprocessen en klantportalen?
Start vanuit impact: welke deadlines (aangifte, deponering, salarisrun) lopen direct risico bij uitval? Bepaal per proces de maximale acceptabele downtime (RTO) en maximaal dataverlies (RPO). Vertaal dit naar techniek: back-upfrequentie, replicatie, herstelprocedures en afhankelijkheden (identity, e-mail, cloud). Valideer met een hersteltest: als je RTO 8 uur is, moet je dit aantoonbaar halen in een oefening.
Wat is een goede minimale oefen- en testcadans zonder dat het een ‘papieren tijger’ wordt?
Hanteer een vaste ritmiek: elk kwartaal een tabletop-oefening (bijv. ransomware, uitval Microsoft 365, leverancierstoring) en minimaal 1–2 keer per jaar een technische hersteltest (restore van back-up, failover, toegang herstellen). Sluit elke oefening af met 3–5 concrete verbeteracties, een eigenaar en een deadline. Dat maakt het aantoonbaar én werkbaar.
Hoe pak je leveranciersbeheer praktisch aan als je veel SaaS en cloud gebruikt?
Maak één leveranciersregister met per leverancier: welke kritieke dienst wordt ondersteund, data/locatie, beschikbaarheidsafspraken, supportvensters, incidentmeldtermijnen, exit/portabiliteit, en welke rapportages beschikbaar zijn (bijv. SOC 2/ISAE). Leg vast wie intern eigenaar is van de relatie. Voor kritieke leveranciers: plan jaarlijks een review en test minimaal één keer de ‘exit’ (data-export of alternatieve werkwijze).
Hoe voorkom je dat schaduw-IT (privéopslag, eigen AI-tools) je WWKE-aantoonbaarheid ondermijnt?
Combineer beleid met techniek en adoptie: maak toegestane tools expliciet, blokkeer of beperk risicovolle diensten via conditional access/DLP waar mogelijk, en bied een goed alternatief (bijv. goedgekeurde AI-omgeving of veilige filesharing). Koppel dit aan onboarding/offboarding en voer periodiek een korte controle uit (app discovery, device compliance). Communiceer vooral ‘waarom’: klantdata en dossiers moeten traceerbaar en herstelbaar blijven.
