For the English version, click here. Uit een onderzoek door SDU, een softwarematig-innovatiepartner voor het bedrijfsleven, en Lupasafe, een organisatie van cyber deskundigen die zich richten op de financiële en verzekeringswereld en voorheen ethische hacks uitvoerden voor onder andere Achmea en Rabobank, blijkt dat maar liefst 90% van de accountants onbekend is met de naderende NIS-2-richtlijn en 84% zelfs onvoldoende kennis bezit over cybersecurity. Met de naderende verplichte toepassing voor deze nieuwe Europese richtlijnen per 2024 is dit echter zorgwekkend. Ondanks de zeer minimale kennis blijkt dat de invoering van NIS-2 toch van belang zijn. Waarom er voor een nieuwe variant van de huidige NIS-1 regeling wordt gekozen en wat deze NIS-2 regeling inhoudt zal in dit artikel aan bod komen. AED’s en DSP’s Voordat de NIS-2 regeling verder aan bod komt, en zoals de naam doet vermoeden, is momenteel de NIS-1 regeling sinds 2016 actief. Op het moment van invoering de eerste Europese wetgeving die specifiek gericht was om cybersecurity binnen heel Europa te verhogen. Opvallend genoeg was de NIS-1 regeling flexibel opgesteld zodat ieder land er een eigen interpretatie op kon toepassen en het daardoor vooral diende als een overkoepelende opzet om landen te motiveren hun cybersecurity regelgeving aan te scherpen of soms zelf op te richten. Hierbij staan de volgende drie categorieën centraal, beveiligingseisen, meldingsplicht en informatie-uitwisseling. Ook is er een splitsing gemaakt tussen AED (Aanbieders van Essentiële Diensten) en DSP (Digital Service Providers), waarbij in tot tegenstelling tot DSP, AED’s door de nationale wetgever kan worden aangewezen. AED’s omvatten bedrijven die diensten verlenen die cruciaal zijn voor kritieke maatschappelijke entiteiten en daarvan sterk afhankelijk zijn van digitale informatiesystemen zoals leveranciers van energie. DSP’s daarentegen zijn verleners van digitale diensten zoals marktplaats.nl of de online zoekmachine yahoo.nl. Om te kwalificeren als DSP zijn er echter vereisten namelijk minimaal 50 werknemers en een jaaromzet van 10 miljoen euro. In het geval van Nederland vindt de toepassing van de NIS-1 regeling plaats via de WBNI (Wet beveiliging netwerk- en informatiesystemen). Hierbij moeten de AED’s en DSP’s verschillende adequate beveiligingsmaatregelen toepassen en mocht er toch een incident zich voordoen zijn ze verplicht deze te melden aan het Computer Security Incident Response Team (CSIRT). Nieuwe Regelgeving Echter is er binnen het Europese Parlement noodzaak ontstaan om de huidige NIS-1 regel uit te breiden. Met als kern van de noodzaak het feit dat cybercriminaliteit enorm groeit in combinatie met de toenemende digitalisering waardoor ook kleinere ondernemingen een groter gevaar lopen op een mogelijke cyberaanval. Op basis van de World Economic Forum Global Risks Report 2020 zal cybercriminaliteit zelfs binnen 10 jaar groeien tot het één na grootste risico vormen voor bedrijven. Om de nieuwe uitdagingen aan te kunnen wordt de NIS-1 regeling op vijf verschillende aspecten gewijzigd. Ten eerste zullen aanzienlijk meer sectoren onder de NIS-2 regeling vallen die voorheen te klein werden geacht om gevaar te lopen. Zo worden middelgrote en grote bedrijven direct opgenomen in de NIS-2 regeling en is voor de individuele lidstaten een mogelijkheid om kleinere bedrijven met een hoog veiligheidsrisico ook te kwalificeren voor de NIS-2 regeling. Daarnaast wordt er een verplicht minimum aan basisbeveiliging onderdelen ingevoerd en worden de twee verschillende categorieën (AED’s en DSP’s) afgeschaft. In plaats daarvan zal er een kwalificatie lijst komen waarbij de individuele bedrijven worden gerangschikt op basis van hun belang, met als gevolg dat er verschillende regimes worden toegepast per niveau. Bovendien worden ook individuele bedrijven geacht om hun toeleveringsketens en leveranciersrelaties te herzien en eventuele security risico’s in kaart te brengen en aan te pakken. En ten slotte zal de NIS-2 regeling zich onderscheiden van NIS-1 doordat deze nationale autoriteiten in staat stelt om strengere toezichtmaatregelen in te stellen op bedrijven die hieronder vallen. Conclusie De huidige NIS-1 regeling wordt dus aanzienlijk verbreedt en versterkt. Zeker door het feit dat er voortaan aanzienlijk meer bedrijven onder de NIS-2 regeling vallen in vergelijking met de NIS-1 regeling zullen ook accountants hier significant meer mee te maken krijgen. En mocht men als bedrijf nu nog steeds niet in aanmerking komen voor de NIS-2 regeling, wordt de kans groot geacht dat in de nabije toekomst wel onder zal vallen in de vorm van een NIS-3 regeling. Met de toenemende digitalisering en bijbehorende cybercriminaliteit lijkt het een kwestie van tijd tot vrijwel ieder bedrijf wel te maken zal krijgen met een dergelijke regeling, en zal het belang voor onder andere accountants om zich in cyberbeveiliging te verdiepen enkel groeien in de toekomst.
FinTech: dé Finance trend van 2020
For the English version, click here De afgelopen jaren is het gebruik van FinTech in de financiële sector alsmaar toegenomen. Recent is er een artikel gepost over de implementaties van FinTech binnen Adyen. Maar wat houdt FinTech in en hoe heeft deze trend zich ontwikkeld? Wat is FinTech? FinTech is ontstaan uit de twee begrippen ‘financial’ en ‘technology’. FinTech is een vrij breed begrip, het omvat alle innovatieve financiële producten of diensten die een bijdrage leveren aan het automatiseren en verbeteren van de huidige financiële markt. Hoewel FinTech bedrijven zich in het begin vooral focusten op het verbeteren van interne processen van financiële instituties, zien we afgelopen jaren een verschuiving naar de consumentenmarkt. Steeds meer FinTech bedrijven richten zich op de financiële transacties, investeringsdiensten en kredietaanvragen van consumenten. FinTech maakt het mogelijk om gebruik te maken van deze financiële diensten zonder directe assistentie van een persoon: de algoritmes in de applicatie zullen uiteindelijk de doorslag geven. Het uiteindelijke doel van FinTech is om de kosten te drukken, processen te optimaliseren en de markt te verbreden. Historie & marktgroei Sinds 1993, toen Citicorp een nieuw project genaamd ‘Financial Services Technology Consortium’ initieerde, is de FinTech markt steeds verder gegroeid. Vier jaar later, werd de eerste mobiele betaling gedaan via een tekstbericht. Na 1998, het jaar van de oprichting van PayPal, nam de groei van FinTech in sneltreinvaart toe. Mede dankzij de introductie van Apple Pay in 2014 nam de vraag naar FinTech gerelateerde diensten vanuit de consument verder toe. Dit heeft ervoor gezorgd dat FinTech niet meer is weg te denken uit het hedendaagse wereldwijde financiële systeem. “De FinTech markt heeft na de uitbraak van COVID-19 een enorme groei doorgemaakt.” Momenteel zijn de 3 grootste spelers op de FinTech markt PayPal (240 mld US$), Ant Financial (150 mld US$) en Adyen (43 mld US$). De FinTech markt had in 2019 een waarde van ongeveer 1200 miljard US$ [1]. Dit totaal is ongeveer 4% van de totale waarde van de financiële industrie wereldwijd. Het grootste gedeelte van de FinTech markt bestaat uit bedrijven die zich focussen op digitale betalingen (1080 mld US$). De rest van de markt bestaat uit bedrijven die zich bezighouden met Artificial Intelligence of Blockchain (120 mld US$). De FinTech markt heeft na de uitbraak van COVID-19 een enorme groei doorgemaakt. De toegenomen vraag naar online winkelen heeft ervoor gezorgd dat de transactievolumes zijn gestegen [2]. Deze stijging is ook terug te zien in de aandelenprijs van PayPal en Adyen, met een stijging van +76%, respectievelijk +89% sinds 1 maart 2020. Bovendien heeft Ant Financial aangekondigd om dit jaar nog naar de beurs te gaan, met de potentie om de grootste IPO van 2020 te realiseren [3]. Trends binnen de FinTech markt De huidige FinTech markt bestaat grotendeels uit start-ups. Wereldwijd zijn er op het moment van schrijven ongeveer 12.000 start-ups op het gebied van FinTech. Hiervan zijn er 380 bedrijven met een waarde boven de 1 miljard US$, een zogeheten ‘eenhoorn’ start-up. Een groot deel van deze start-ups heeft de afgelopen jaren gebruik gemaakt van Venture Capital (VC) financiering. Een VC onderneming neemt hierbij een eigendomsbelang in van een start-up, waarbij een grote groei van de start-up nodig is om de investering terug te verdienen. In 2019 bedroeg het totale VC bedrag 273 miljard US$, een enorm bedrag. Deze cijfers laten zien dat er veel groei wordt verwacht in de FinTech markt door VC bedrijven. De groeiende FinTech markt heeft een grote invloed op de hedendaagse banken. We zien daarom een grote groei in het aantal samenwerkingen en overnames tussen banken en FinTech bedrijven. Ook zien we een verschuiving naar het soort investeringen die banken doen. Banken focussen zich momenteel op investeringen in grotere FinTechs, op kleinere schaal. Terwijl we in de beginfase van de FinTech markt enorm veel investeringen zagen in kleinere FinTech start-ups. Veel van deze kleine investeringen bleken achteraf geen waarde toe te voegen [4]. Banken zijn dus op zoek naar samenwerkingen met FinTech bedrijven die de huidige dienstverlening met een grote kans van slagen kunnen optimaliseren, waarmee ze uitkomen op FinTech bedrijven die al verder ontwikkeld zijn. Naast de banken hebben Big Tech bedrijven als Apple, Google en Facebook ook invloed op de huidige FinTech markt. Big Tech firms richten zich voornamelijk op de groei van hun eigen betalingsplatform. Op dit moment is het marktaandeel van Apple Pay, Google Pay, en Samsung Pay 56% van de totale mobiele betalingen markt [5]. De komende jaren wordt verwacht dat de markt voor mobiele betalingen meegroeit met de algehele FinTech markt. Door de gebruiksvriendelijkheid en snelheid van mobiele betalingen zal de acceptatie van de huidige generatie alsmaar toenemen. Ook Artificial Intelligence (AI) speelt op dit moment een belangrijke rol in de FinTech markt. Je moet hierbij denken aan simpele automatisatie tot aan complexe machine learning. Het wordt in de financiële sector vaak gebruikt om simpele taken uit te voeren die normaal door een werknemer zouden moeten worden gedaan. AI heeft de potentie om de kosten te drukken en arbeidsproductiviteit van het bedrijf te verhogen. Op dit moment is Robotische Process Automatisering (RPA) een ontwikkeling die grote impact heeft op financiële instellingen. Je moet hierbij denken aan het proces waarbij nieuwe klanten worden aangemeld. Ook het verifiëren, de risicoanalyse en de beveiligingschecks van nieuwe klanten kunnen door een RPA systeem worden uitgevoerd. Een RPA systeem houdt zich automatisch aan de wetgeving die van kracht is. RPA systemen kunnen zorgen voor hogere efficiëntie en effectiviteit binnen de organisatie [6]. Naast eerder genoemde services maken financiële instellingen steeds meer gebruik van Blockchain technologie. Financiële instellingen gebruiken Blockchain voor smart contracts, digitale betalingen, identiteitsmanagement en aandelenhandel. Je kunt de technologie het beste omschrijven als een keten van ‘blokken’ die data bevatten. De data van eerdere ‘blokken’ blijft onveranderd waardoor handelingen beveiligd en transparant zijn voor de gebruiker. Volgens PwC heeft in 2020 77% van de financiële organisaties blockchain geïntegreerd. Daarnaast gebruikt volgens PwC in datzelfde jaar 90% van de betalingsbedrijven Blockchain om betalingen te beveiligen [7]. De Blockchain markt heeft