ITAA-Zine | Nummer 2 - Maart 2023

Risicobeheer voor kmo’s: cyberrisico’s en cyberweerbaarheid

Cyberincidenten kunnen een aanzienlijke impact hebben op het vermogen van een kmo om zaken te doen en kunnen grote financiële verliezen veroorzaken. In onze steeds verder digitaliserende economie is het van cruciaal belang dat kmo’s dergelijke risico’s identificeren en beperken. Voor een kmo is de accountant een vertrouwde adviseur, die een sleutelrol kan spelen bij het beperken van de cyberrisico’s.

Bent u geïnteresseerd in het onderwerp cybersecurity?

Kom dan naar de

Volledig gewijd aan het onderwerp cyberveiligheid.

Het webinar wordt gegeven door een expert op het gebied van cyber security, die zijn kennis en ervaring met u zal delen. Tijdens dit webinar leert u hoe u zich kunt beschermen tegen cyberaanvallen. Ook krijgt u de getuigenis te horen van iemand die een aanval op zijn praktijk heeft meegemaakt.

Als u zich nog niet hebt ingeschreven voor de reeks van 4 ledenseminars, kunt u dat nog steeds doen door op deze link te klikken: https://inis.itaa.be/Participant/ Registration/86568379; waarbij u toegang krijgt tot de 4 opleidingen.

Wij zijn ervan overtuigd dat dit webinar een unieke gelegenheid zal zijn om uw vaardigheden te versterken en de uitdagingen van cyberbeveiliging in ons beroep beter te begrijpen.

We hopen velen van u te zien op dit webinar. De cel opleidingen education@itaa.be

ITAA-zine

Maandelijks tijdschrift van het ITAA (verschijnt niet in januari en juli) nr. 2/2023

ADMINISTRATIE EN REDACTIE

ITAA, Emile Jacqmainlaan 135/2, B-1000 Brussel

Tel.: +32 2 240 00 00

E-mail: info@itaa.be

COÖRDINATIE

Stéphane De Bremaeker (NL) –stephane.debremaeker@itaa.be

Gaëtan Hanot (FR) – gaetan.hanot@itaa.be

REDACTIECOMITÉ

Stéphane De Bremaeker, Johan De Coster, Frédéric Delrue (ondervoorzitter), Chantal Demoor, Liesbet Dhaene, Carine Govaert, Gaëtan Hanot, Nathalie Lambot, François Lezaack, Bart Van Coile (voorzitter)

AFBEELDINGEN

iStockphoto

VERTALINGEN

Azimut Translations, IGTV

VERANTWOORDELIJKE UITGEVER

B. Van Coile, Emile Jacqmainlaan 135/2, B-1000 Brussel

MEDEDELING VOOR DE LEZERS

De auteurs, het redactiecomité en de uitgever streven naar betrouwbaarheid van de gepubliceerde informatie, waarvoor ze echter niet aansprakelijk kunnen worden gesteld. De opinieartikelen vertegenwoordigen de inzichten en de mening van de auteurs en dus niet noodzakelijk die van het Instituut of van het redactiecomité.

Het Instituut van de Belastingadviseurs en Accountants (IBA) is opgericht bij wet van 17 maart 2019. Het IBA gaat door het leven als het ITAA, en is het resultaat van een fusie tussen het IAB en het BIBF. Het ITAA wordt bestuurd door een Raad en een Uitvoerend comité. Voor meer informatie: www.itaa.be

UITGEVER

Wolters Kluwer België Motstraat 30, B-2800 Mechelen

Risicobeheer voor kmo’s: cyberrisico’s en cyberweerbaarheid

Cyberincidenten kunnen een aanzienlijke impact hebben op het vermogen van een kmo om zaken te doen en kunnen grote financiële verliezen veroorzaken. In onze steeds verder digitaliserende economie is het van cruciaal belang dat kmo’s dergelijke risico’s identificeren en beperken. Voor een kmo is de accountant een vertrouwde adviseur, die een sleutelrol kan spelen bij het beperken van de cyberrisico’s. Dit document van Accountancy Europe bevat een checklist voor economische beroepsbeoefenaars om de cyberweerbaarheid van kmo’s te verbeteren. Accountantskantoren kunnen de tool ook gebruiken om hun eigen cyberweerbaarheid te evalueren.

Kleine en middelgrote ondernemingen (kmo’s) worden geconfronteerd met nieuwe risico’s die een grote impact kunnen hebben op hun activiteiten. Ze vloeien voort uit wereldwijde megatrends, zoals de klimaatcrisis, digitalisering, globale economische integratie en COVID-19. Accountancy Europe heeft een reeks documenten gelanceerd over risicobeheer voor kmo’s, om de kmo’s en hun accountants te informeren: duurzaamheid (juli 2020), checklist duurzaamheid voor kmo’s (2021), intellectuele eigendom (2022) en insolventie (2021).

In deze publicatie gaat het over de cyberrisico’s. Het document legt uit waarom en hoe kmo’s rekening moeten houden met cyberrisico’s en hoe ze die risico’s kunnen beperken, en hoe hun accountant hen daarbij het best kan ondersteunen. Het document bevat een checklist die de accountant kan gebruiken om de weerbaarheid van zijn kmo-klanten tegen cyberrisico’s te verbeteren. De checklist kan dienen als basis voor een bespreking of als eerste beoordeling van de cyberweerbaarheid van de klant. Het kan ook de cyberweerbaarheid en het bewustzijn van cyberrisico’s in het accountantskantoor zelf vergroten.

De economische beroepsbeoefenaars hoeven niet elk punt van de checklist zelf aan te pakken, maar ze moeten kunnen herkennen wanneer ze hun klanten moeten doorwijzen naar een technische expert.

1. Met welke cyberrisico’s krijgen kmo’s te maken?

Het 2021 Global Risks Report van het World Economic Forum (WEF) identificeert het falen van cyberbeveiliging als het op drie na grootste duidelijke en aanwezige risico dat een kritieke bedreiging voor de wereld kan vormen.

Het staat daarmee maar net onder andere kritieke risico’s, zoals klimaatrampen of besmettelijke ziekten.

Cyberrisico’s komen voort uit de steeds meer digitaliserende economieën en bedrijfsmodellen, bijvoorbeeld met betrekking tot bedrijfsprocessen, betalingen, klanten- en contactlijsten of product- en dienstontwerpen. Kmo’s zien dankzij de technologie hun efficiëntie, innovatie, productiviteit en management verbeteren. Maar ze moeten zich ook bewust zijn van de risico’s die die mogelijkheden met zich mee kunnen brengen en die beperken om het potentieel van de digitale technologie ten volle te benutten.

Cyberdreigingen behoren tot de belangrijkste risico’s veroorzaakt door digitalisering. Ze kunnen grofweg worden ingedeeld in menselijke fouten en cyberaanvallen:

• Menselijke fouten ontstaan door onopzettelijke fouten van werknemers, managers of zakenpartners die toegang hebben tot de gedigitaliseerde workflows of databases van het bedrijf. Voorbeelden zijn onopzettelijke openbaarmakingen van klantenlijsten of andere gevoelige gegevens, vergeten wachtwoorden, gewiste digitale content of overtredingen van wetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie.

• Bij cyberaanvallen gaat het om kwaadwillende partijen – dat kunnen externe partijen, zakenpartners of eigen personeelsleden van de kmo zijn – die opzettelijk de gedigitaliseerde inhoud en processen van het bedrijf beschadigen, vernietigen, bespioneren, delen, publiceren of anderszins misbruiken (zie hieronder voor enkele specifieke voorbeelden).

Een doeltreffende strategie voor de beperking van cyberrisico’s heeft betrekking op beide dimensies, aangezien ze onderling verbonden zijn: menselijke fouten kunnen het bedrijf blootstellen aan cyberaanvallen, terwijl cyberaanvallen kunnen leiden tot menselijke fouten.

41% phishing

40% webgebaseerde aanvallen

39% algemene malware

19% kwaadwillende insider

12% denial of service

11% social engineering

7% gecompromitteerd/gestolen apparaat.

Volgens een rapport van 2021 van het EU-agentschap voor cyberveiligheid (ENISA) waren de meest voorkomende cyberincidenten waarmee Europese kmo’s te maken kregen:

2. Welke impact kunnen cyberrisico’s hebben op kmo’s?

Kmo’s worden een steeds populairder doelwit voor cyberaanvallen. Ze hebben drie keer meer kans om het doelwit van cybercriminelen te worden dan grote bedrijven.

Voorbeelden van negatieve gevolgen van cyberincidenten voor kmo’s zijn:

• financieel verlies: cyberincidenten leiden vaak tot een aanzienlijk financieel verlies als gevolg van:

diefstal van bedrijfsinformatie, financiële informatie –bijv. bankgegevens of betaalkaartgegevens – of geld;

onderbreking van de activiteiten, bijv. onmogelijkheid om online-transacties uit te voeren, ernstige verstoring van de productie of van andere belangrijke IT-gestuurde processen;

– herstellingskosten voor de getroffen systemen, netwerken en apparaten;

• zakelijk verlies: in zakenrelaties is vertrouwen cruciaal. Cyberaanvallen kunnen de reputatie van de kmo schaden en het vertrouwen van klanten en zakenpartners aantasten. Dat kan dan weer leiden tot verlies van klanten, zakenpartners en omzet;

• juridische gevolgen: de wetgeving inzake gegevensbescherming en privacy verplicht bedrijven om de beveiliging van alle persoonsgegevens die ze bewaren – van personeel, cliënten of zakenpartners – te beheren. Als die gegevens per ongeluk of opzettelijk worden gecompromitteerd en de kmo niet de nodige

beveiligingsmaatregelen heeft genomen, kan ze worden bestraft met boetes en wettelijke sancties.

3. Wat zijn de grootste obstakels voor de cyberweerbaarheid van kmo’s?

Een betere cyberweerbaarheid is voor kmo’s van cruciaal belang om de hierboven genoemde risico’s en negatieve gevolgen van cyberincidenten te beperken. Zoals ENISA, het European Union Agency for Cybersecurity, aanhaalt, kunnen bepaalde obstakels de inspanningen op dit gebied belemmeren.

3.1. Gebrek aan bewustzijn

Het grootste obstakel voor de beperking van cyberrisico’s is een gebrek aan bewustzijn en betrokkenheid van het management. In de praktijk moeten managers budget en middelen toewijzen en doeltreffende cyberveiligheidsprocessen implementeren. Veel kmo-eigenaars hebben het echter bijzonder druk met het draaiende houden van hun bedrijf en zijn zich niet bewust van het enorme risico waaraan cyberveiligheidsfouten en -aanvallen hun bedrijf kunnen blootstellen. Daarom geven ze misschien geen prioriteit aan preventieve maatregelen om hun bedrijf te beschermen en ontdekken ze de kosten pas wanneer er iets gebeurt.

Ook bij het personeel is een beperkt bewustzijn van de cyberrisico’s een probleem. Elke persoon in een kmo

met toegang tot de informatietechnologiesystemen kan ongewild een cyberincident veroorzaken. Het is dus cruciaal dat elk personeelslid alert is voor potentiële cyberveiligheidsproblemen.

3.2. Zwakke bescherming van kritieke en gevoelige informatie

Kmo’s verwerken allerlei informatie, zoals personeelsdossiers, klanteninformatie, productie- en inkoopgegevens, financiële gegevens, beleidslijnen, procedures, enz. Al die gegevens zijn essentieel voor het bedrijf. De kmo’s kunnen ook verplicht zijn om die gegevens te beschermen in het kader van wetten, voorschriften of overeenkomsten.

Wanneer er geen specifiek back-upbeleid is, er geen bijgewerkte antimalwareoplossingen voor alle soorten apparaten zijn of er verouderde of ongepatchte software wordt gebruikt, kan de kritieke en gevoelige informatie van het bedrijf ernstig in gevaar worden gebracht. Zo wordt de kmo een gemakkelijk doelwit voor de hierboven beschreven soorten cyberaanvallen.

3.3. Onvoldoende budget

Om bepaalde cyberveiligheidsoplossingen correct uit te voeren en te beheren is echter gespecialiseerde IT-kennis nodig. Het is cruciaal om de mogelijke beperkingen van een werknemer die verantwoordelijk is voor cyberbeveiliging en de situaties waarin tijdelijk extra deskundigheid in huis moet worden gehaald, te erkennen.

Het sneeuwbaleffect van de pandemie

Cyberrisico’s worden nog verergerd door recente trends: door de COVID-19-pandemie werken bedrijven meer online en op afstand. Tijdens de pandemie zagen we bijvoorbeeld 667% meer phishing-mails.

Naarmate een kmo groeit en verandert, verandert ook de technologie die ze gebruikt. Dat betekent dat het landschap met cyberdreigingen zal evolueren. Kmo’s zullen dus continu en consistent inspanningen moeten blijven leveren op het gebied van cyberveiligheid. Als de onderneming intern geen werknemers heeft met gespecialiseerde IT-kennis (wat typisch is voor niet-technische kmo’s), moet worden geïnvesteerd in externe deskundige bijstand.

3.5. Gebrek aan geschikte richtsnoeren

Een goede cyberbeveiliging vergt aanzienlijke investeringen, onder meer voor bewustmaking, cyberbeveiligingscontroles, inschakeling van externe deskundigen en gespecialiseerde opleidingen voor personeelsleden. Veel kmo’s zien cyberbeveiliging eerder als een kostenpost, dan als een belangrijke investering in hun bedrijf.

Kmo’s moeten dus meer inzicht krijgen in de risico’s waaraan cyberveiligheidsproblemen hun bedrijf blootstellen en dienen passende budgetten toe te wijzen om te investeren in de nodige controles om de kritieke domeinen van hun bedrijf te beschermen.

3.4. Gebrek aan deskundigheid en personeel

De cyberveiligheid in een kmo beheren is een grote uitdaging. Cyberveiligheid is een onderwerp dat gespecialiseerde kennis vereist. In een kmo is het echter gebruikelijk dat mensen multitasken en meerdere rollen toegewezen krijgen. Een werknemer van een kmo kan dus verantwoordelijk zijn voor cyberveiligheid en andere interne processen.

Ook de beperkte beschikbaarheid en geschiktheid van richtsnoeren in de vorm van normen, whitepapers en dergelijke, is een grote struikelblok. Dergelijke documenten bestaan al, maar ENISA stelt dat de meeste ervan ofwel te algemene informatie verstrekken, ofwel te complex zijn, zodat kmo’s er specifieke IT-expertise voor moeten inroepen. Bovendien weten veel kmo’s gewoon niet dat dergelijke richtsnoeren bestaan, welke van die richtsnoeren het geschiktst zijn voor hun bedrijf of waar ze moeten beginnen.

4. Waarom is de accountant goed geplaatst om te helpen?

Professionele accountants zijn goed geplaatst om kmo’s te helpen een aantal van de in de vorige rubriek beschreven obstakels te overwinnen. De meeste accountants zijn geen IT-deskundigen. Ze bevinden zich echter in een unieke positie om de cyberweerbaarheid van kmo’s te helpen opbouwen omdat:

• ze vertrouwde adviseurs zijn voor kmo’s;

• de meeste kmo’s in Europa al een beroep doen op accountants voor diensten als bedrijfsplanning, financieel en cashflowbeheer, fiscaliteit en naleving, boekhouding en financieel advies. Daardoor hebben ze vaak een gedetailleerde kennis van de IT-systemen van hun klanten, met name van hun financiële systemen;

• kmo-eigenaars regelmatig samenzitten met hun accountants, en die accountants hun eerste aanspreekpunt kunnen zijn;

• kmo’s vertrouwen op accountants om advies te geven en veronderstellingen over hun bedrijfsvoering in twijfel te trekken.

Accountants of accountantskantoren kunnen honderden kmo-klanten hebben. Ze weten dus uit ervaring wat werkt voor bedrijven. Accountants begrijpen dan ook de onderliggende fundamenten van de bedrijven waarvoor ze werken.

Op het gebied van cyberveiligheid kunnen accountants helpen:

• met bewustmaking – van het management en de personeelsleden van de kmo’s – over de noodzaak om cyberrisico’s te beperken;

• met advies om in te schatten welke bedrijfsactiviteiten of -praktijken de grootste cyberrisico’s met zich meebrengen;

• met het identificeren van welke delen van het bedrijf het belangrijkst zijn voor de dagelijkse activiteiten en dus bijzondere aandacht en maximale bescherming moeten krijgen. Van boekhoudsystemen moet bijvoorbeeld een back-up worden gemaakt om een relatief minimale verstoring te garanderen, terwijl een onderbreking van de IT-gestuurde productie veel ernstiger gevolgen kan hebben voor de kmo en die systemen dus goed moeten worden beveiligd;

Al doende leren

Niet alle accountants in Europa hebben de nodige kennis wat cybervaardigheden, cyberrisicobewustzijn en de bijbehorende dienstverlening betreft. Wie interesse heeft in het leveren van cyberweerbaarheidsdiensten aan kmo-klanten, begint best bij zijn eigen kantoor.

Een goed startpunt is een zelfevaluatie van het kantoor – bijvoorbeeld aan de hand van een checklist (zie p. 8) –gevolgd door een geleidelijke verbetering van de eigen cyberweerbaarheid. Het kantoor en zijn gegevens zullen beter beschermd zijn tegen cyberrisico’s, maar het is ook een manier om ervaring en deskundigheid op het gebied van cyberweerbaarheid op te bouwen en om een netwerk van cyberdeskundigen te ontwikkelen naar wie de accountant uiteindelijk zijn klanten kan doorwijzen.

• met advies over de meest kritieke maatregelen die moeten worden genomen en die afgestemd zijn op de specifieke kenmerken van het bedrijf bij het opstellen van de begroting en planning van de investeringen in cyberweerbaarheid van de kmo;

• met het identificeren van waar en wanneer er gespecialiseerde IT-expertise nodig is voor de invoering van specifieke stappen voor cyberweerbaarheid en met het in contact brengen van de kmo met de relevante deskundigen uit het netwerk van de accountant;

• met het informeren over relevante wetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG), en met het ondersteunen bij de nalevingsstappen;

• met het op een onafhankelijke wijze verschaffen van zekerheid over de cyberweerbaarheidssystemen van de kmo, zolang het gaat om een andere persoon en een ander bedrijf dan de persoon die, of het bedrijf dat, de kmo heeft geadviseerd bij het opzetten ervan;

• met het adviseren over de ontwikkeling van noodplannen in geval van een cyberaanval.

De hiernavolgende rubriek bevat een eenvoudige checklist voor de accountant ter ondersteuning van zijn werk om weerbaarheid tegen cyberrisico’s op te bouwen bij zijn kmo-klanten.

5. Checklist voor accountants

Een beroep doen op gespecialiseerde IT-deskundigen of zelf een IT-deskundige tewerkstellen is voor een kmo een dure aangelegenheid. Er zijn echter enkele basisstappen die een kmo kan nemen om haar weerbaarheid tegen cyberrisico’s te vergroten. De accountant van de kmo kan een checklist (zie p. 8) gebruiken om de huidige situatie van de kmo met betrekking tot cyberrisico’s vast te stellen en om, waar nodig, maatregelen op te zetten. De accountant moet ook kunnen beoordelen en adviseren wanneer gespecialiseerde IT-expertise vereist is.

5.1. Stap 1 – het netwerk

Accountants moeten beginnen met de uitbouw van een netwerk van ICT-deskundigen op wie ze kunnen rekenen voor aanvullende inzichten en naar wie ze hun kmo-klanten kunnen doorwijzen wanneer dat nodig is.

De accountant kan de kmo’s bewustmaken van de cyberrisico’s, hen overtuigen om actie te ondernemen en hen adviseren over enkele eenvoudige eerste stappen.

De meeste accountants beschikken echter niet over de nodige IT-expertise om, indien nodig, geavanceerdere oplossingen voor te stellen. Accountants moeten zich ook houden aan de professionele voorschriften om ervoor te zorgen dat ze geen werk uitvoeren zonder over de nodige vaardigheden te beschikken.

Definities en terminologie

Phishing: een vorm van social engineering waarbij een aanvaller een frauduleuze (bijv. gespoofte, valse of anderszins bedrieglijke) boodschap verstuurt om een persoon ertoe aan te zetten gevoelige informatie aan de aanvaller te verstrekken of om kwaadaardige software op de infrastructuur van het slachtoffer te installeren, zoals ransomware.

Denial Of Service: een DoS-aanval voorkomt dat gebruikers toegang krijgen tot een dienst door de fysieke middelen of netwerkverbindingen ervan te overweldigen.

Webgebaseerde aanvallen: wanneer criminelen kwetsbaarheden in de codering uitbuiten om toegang te krijgen tot een server of database, noemen we dit soort cybervandalisme aanvallen op de toepassingslaag. Gebruikers vertrouwen erop dat de gevoelige persoonsgegevens die ze op uw website verstrekken privé en veilig worden bewaard.

Malware: is de verzamelnaam voor kwaadaardige softwarevarianten, waaronder virussen, ransomware en spyware. Het woord is een samentrekking van ‘malicious software’ en malware bestaat meestal uit door cyberaanvallers ontwikkelde code die is ontworpen om grote schade toe te brengen aan gegevens en systemen of om ongeoorloofd toegang te krijgen tot een netwerk.

Kwaadwillende insider: ook wel een turncloak genoemd, iemand die kwaadwillig en opzettelijk misbruik maakt van legitieme inloggegevens, meestal om informatie te stelen voor financiële of persoonlijke doeleinden.

Social engineering: is een manipulatietechniek waarbij gebruik wordt gemaakt van menselijke fouten om privé-informatie, toegang of waardevolle zaken te verkrijgen.

Multifactorauthenticatie: MFA is een elektronische authenticatiemethode waarbij een gebruiker pas

5.2. Stap 2 – het evaluatieschema

Dit schema is gebaseerd op een eenvoudige tool die werd ontwikkeld door het SMESEC-consortium (Cybersecurity for Small and Medium-sized Enterprises) en die specifiek gericht is op kmo’s met beperkte middelen, achtergrondkennis en deskundigheid met betrekking tot cyberveiligheid. Het schema invullen en de eerste stappen voor verbetering zetten zou voor veel kmo’s eenvoudig en

toegang krijgt tot een website of toepassing nadat hij met succes twee of meer bewijsstukken heeft voorgelegd.

Ransomware: is een soort malware die dreigt de persoonlijke gegevens van het slachtoffer te publiceren of de toegang ertoe permanent te blokkeren als er geen losgeld wordt betaald.

Systeembeheerdersrechten: de machtiging om grote wijzigingen aan te brengen in een systeem, meestal een besturingssysteem. Het kan ook verwijzen naar grote softwareprogramma’s, zoals een databasemanagementsysteem.

Whitelist, allowlist of passlist: is een mechanisme dat uitdrukkelijk bepaalde geïdentificeerde entiteiten toegang verleent tot een bepaald voorrecht, een bepaalde dienst, mobiliteit of erkenning, d.w.z. het is een lijst van dingen die zijn toegestaan wanneer alles standaard is geblokkeerd.

WLAN: wireless local area network – draadloos netwerk van computers en randapparatuur.

kosteneffectief moeten zijn. De accountant moet het gebruiken als basis voor zijn gesprek met kmo-klanten over hun weerbaarheid tegen cyberrisico’s. De checklist kan ook worden gebruikt om de cyberweerbaarheid en het cyberbewustzijn in het accountantskantoor zelf op te bouwen. De accountant moet zelf niet elk punt van de checklist kunnen aanpakken, maar moet kunnen herkennen wanneer hij zijn klanten moet doorwijzen naar een technische expert.

Checklist voor cyberrisico’s

Zijn de klanten van de kmo zich bewust van cyberrisico’s en is het onwaarschijnlijk dat zij de kmo aan cyberdreigingen blootstellen?

Weet het personeel van de kmo hoe het verdachte of onveilige e-mails, hyperlinks naar websites en hardwareinbreuken moet herkennen en aanpakken, en erop moet reageren?

Bijv. onveilige USB-sticks?

Hoe zit het met de leveranciers?

Krijgen de werknemers van de kmo regelmatig opleiding rond cyberveiligheid?

Heeft de kmo een informatiebeveiligingsbeleid opgesteld dat aan de werknemers wordt bezorgd en uitgelegd?

Back-ups

Zijn gevoelige en kritieke gegevens die door de kmo worden bewaard, versleuteld, inclusief de gegevens op mobiele apparaten?

Verwerkt de kmo persoonsgegevens en gevoelige informatie in overeenstemming met de AVG van de Europese Unie?

Beschermt de kmo de fysieke toegang tot haar computers, servers en netwerk?

Externe aandeelhouders?

Eigendom?

Belangrijkste financieringsbronnen

Heeft de kmo een persoon aangewezen die verantwoordelijk is voor cyberveiligheid? D.w.z. een vertrouwde medewerker aan wie cyberinbreuken en -fouten worden gemeld, die verantwoordelijk is voor de aanpak na een cyberaanval en instaat voor een verhoging van het bewustzijn van het personeel?

Heeft die persoon de kennis en vaardigheden om de belangrijkste soorten cyberaanvallen, zoals ze worden beschreven in dit document, aan te pakken?

Heeft die persoon de bevoegdheid / macht binnen de kmo om verbeteringsacties te ondernemen?

Heeft de kmo een plan om de negatieve economische gevolgen van een geslaagde cyberaanval te beperken?

Heeft de kmo een recente back-up van haar gegevens en systemen?

Is er een back-up offline beschikbaar, of ten minste op een andere locatie en volledig losgekoppeld van de systemen?

Heeft de kmo al eens geprobeerd een gegevens- en / of systeemback-up te herstellen om te zien of dat lukt?

Worden accounts beschermd via multifactorauthenticatie (MFA)? Bijv. wachtwoord gecombineerd met een pincode of een beveiligingstoken?

Zijn de wachtwoorden van de kmowerknemers sterk en uniek voor elke gebruikersaccount en elk systeem, en worden ze regelmatig gewijzigd?

Heeft elke werknemer alleen toegang tot de systemen waartoe hij toegang nodig heeft voor zijn functie?

Wordt de toegang van voormalige werknemers tot de systemen afdoende geblokkeerd?

Als een werknemer het slachtoffer is geworden van een cyberaanval, wordt het wachtwoord van die werknemer dan gewijzigd?

Is er een routine om het gebruik van systeembeheerdersrechten te beperken en te beschermen?

Wordt alle software op de apparaten van de kmo-werknemers bijgewerkt? Bijv. toepassingen en besturingssystemen?

Wordt de malwarebescherming van de kmo regelmatig bijgewerkt? Bijv. antivirusprogramma’s, spamfilters?

Wordt alle software op de servers en apparaten van de eigenaar van de kmo regelmatig bijgewerkt, inclusief de firewall?

Wordt het IT-netwerk van de kmo beschermd door een firewall die haar systemen beschermt tegen aanvallen van buitenaf?

Zijn de apparaten, systemen en toepassingen van de kmo beschermd tegen malware? Bijv. antivirusprogramma’s, bescherming tegen ransomware, spamfilters?

Heeft de kmo haar malwarebescherming geconfigureerd om e-mailbijlagen, downloads, via netwerken ontvangen bestanden en aangesloten opslagmedia te scannen?

Wordt alle software op de servers en apparaten van de eigenaar van de kmo regelmatig bijgewerkt, inclusief de firewall?

Worden de wachtwoorden en verzonden gegevens tussen de clients en de server versleuteld?

Is het WLAN van de eigenaar van de kmo versleuteld en beveiligd, en moeten zijn werknemers thuis een VPN gebruiken om toegang te krijgen tot de systemen van het bedrijf?

5.3. Stap 3 – de resultaten analyseren en passende maatregelen nemen

Tel het aantal JA-antwoorden op en bekijk het resultaat in de tabel hieronder:

0 – 10

Is de persoon die verantwoordelijk is voor cyberbeveiliging in staat een cyberaanval te stoppen en de gevolgen ervan te beperken?

Weten de managers en medewerkers van de kmo wat ze moeten doen bij een cyberincident? Zijn er procedures en duidelijk toegewezen rollen?

Als de klanten of leveranciers van de kmo het slachtoffer zouden worden van een cyberaanval, zouden zij dan de kmo op de hoogte brengen van de aanval als die een impact op de onderneming heeft?

Heeft de kmo een IT-expert die ze in geval van nood om hulp kan vragen?

Heeft de kmo een verzekering voor IT-gerelateerde onderbrekingen van de activiteiten, waaronder cyberaanvallen, en de gevolgen daarvan voor het bedrijf?

11 – 24

De kmo is een gemakkelijke prooi. Help de kmo de gemakkelijkste NEE- of WEET NIETantwoorden te identificeren en zet ze om in een JA.

De kmo heeft een goede basis, maar er is nog werk aan de winkel. Stel een veranderingsplan op om binnen de 6 maanden een score van 24 of hoger te bereiken.

25 – 30

De kmo doet al veel rond cyberbeveiliging. Bespreek samen op welke vlakken ze nog meer kan doen.

31 – 38

De kmo is een referentie en een voorbeeld dat door andere kmo’s zou moeten worden gevolgd.

6. Conclusie

Is het WLAN voor werknemers gescheiden van het WLAN voor gasten?

Heeft de kmo gedefinieerd wie verantwoordelijk is voor de beveiliging van elk van haar softwareproducten en -diensten?

Heeft de kmo haar code geïnspecteerd, met name om kwetsbaarheden en hiaten in de beveiliging op te sporen?

Heeft de kmo blackbox testing gedaan voor gangbare cyberdreigingen?

De bedrijfsactiviteiten en het voortbestaan van kmo’s kunnen ernstig in gevaar worden gebracht door cyberincidenten – of die nu kwaadwillend zijn of veroorzaakt werden door een menselijke fout. Het is cruciaal dat eigenaars en werknemers van kmo’s zich bewust worden van die potentiële cyberrisico’s, ze samenwerken om de risico’s te beperken en om doeltreffend op te treden als zich een cyberincident voordoet. De accountants van de kmo’s kunnen daarbij helpen. Zij kennen de kmo’s en kunnen hen adviseren over zaken als inzicht in cyberrisico’s, beperkende stappen, bewustmaking en meer. De checklist in dit document is bedoeld om de accountant te helpen met zijn kmo-klanten een eerste gesprek te voeren om hun cyberrisico’s in kaart te brengen. Maar, ondanks alle inspanningen om cyberrisico’s te beperken, kunnen die zich toch voordoen. Kmo’s en hun accountants moeten doeltreffende procedures, backups en systemen opzetten om de bedrijfscontinuïteit en het systeemherstel te waarborgen bij een incident. Ook daarbij kan de checklist helpen.

Accountancy Europe

https://www.accountancyeurope.eu

(Deels) elektrische bedrijfswagens en laadpalen: de directe belastingen anno 2023

Anno 2021 zette de regering de vergroening van de mobiliteit in door een grondige hervorming van de fiscaliteit inzake de bedrijfswagens. Het doel van de regering: vanaf 2026 moeten alle nieuwe bedrijfswagens koolstofemissievrij rijden. In de praktijk gaat dit dan voornamelijk over elektrische bedrijfswagens. De uitbreiding van het elektrisch rijden gaat gepaard met een uitbreiding van een netwerk waarbij elektrisch ‘tanken’ vlot kan gebeuren. Om dit te stimuleren, werden ook maatregelen genomen om de investering in laadpalen aan te moedigen.

Ondertussen zijn we 2023, middenin een overgangsregeling. Hoe zit het met de bedrijfswagens of laadpalen die werden aangekocht en waarop letten we best voor de aankopen die nog moeten gebeuren?

Waarover gaat het?

Sedert de invoering van de diverse wetsbepalingen in functie van de vergroening van de mobiliteit werd in Circulaire 2021/C/115 van 22 december 2021 een eerste uitgebreide toelichting gebracht omtrent de vergroening van de autofiscaliteit. In 2022 werden bijkomende wetswijzigingen doorgevoerd (op het vlak van de laadstations). De toelichting over de wijzigingen van 2022 werd in Circulaire 2023/C/1 van 2 januari 2023 opgenomen. Een volledige uiteenzetting over deze circulaires zou ons te ver leiden, maar in dit artikel worden de belangrijkste aandachtspunten uiteengezet.

1. Bedrijfswagens: aftrekbaarheid in de directe belastingen

Als men vandaag elektrisch wil rijden, dan is er keuze tussen:

1. (plug-in) hybride wagens; of

2. elektrische wagens.

De eerste categorie kan fiscaal interessant zijn, dankzij de lage CO2-uitstoot, maar het gaat hier nog steeds om wagens met een fossiele brandstof. De fiscale aanmoediging van dit type wagen is beperkt in de tijd. De 100% elektrische wagen wordt op langere termijn de enige bedrijfswagen die nog de fiscale aftrekbaarheid zal kunnen genieten.

Om te bepalen welk aftrekpercentage er van toepassing is op een hybride wagen, zal rekening moeten worden gehouden met de volgende formule:

120% – (0,5% × C 1 × Coëfficiënt 2)

1 C staat voor de CO2-uitstoot van de betrokken bedrijfswagen.

2 De coëfficient is:

Het is deze formule die bepaalt welke procentuele aftrek mogelijk is voor alle bedrijfswagens die gebruikmaken van fossiele brandstoffen en aangekocht zijn tot 31 december 2025. Vanaf 1 januari 2026 zijn alle aangekochte hybride wagens (ook al rijden ze deels elektrisch) op geen enkele wijze nog een aftrekbare kost.

Maar ook vóór 31 december 2025 wordt best het tijdstip van aankoop van de bedrijfswagens met fossiele brandstoffen in de gaten gehouden. Voor het bepalen van de datum van aankoop moet er rekening worden gehouden met de datum van de bestelbon, het huurcontract of

leasecontract. De bedrijfswagens moeten dus nog niet geleverd zijn.

Bedrijfswagens aangekocht tot 31 december 2022 genieten de meest ‘gunstige’ fiscaliteit. Alle kosten m.b.t. deze bedrijfswagens worden bepaald door de bovenvermelde formule, waarbij de procentuele minimumgrens op 40% 1 ligt. De maximumgrens werd op 100% aftrekbaarheid vastgelegd. Die procentuele aftrekbaarheid wordt ook gedurende de hele looptijd gegarandeerd.

Bedrijfswagens aangekocht tussen 1 januari 2023 en 30 juni 2023 genieten, gedurende de hele looptijd ook nog het voorgaande ‘gunstige’ fiscaal stelsel, behalve voor de brandstofkosten . De brandstofkosten volgen wel nog het aftrekpercentage van de wagen, maar er is slechts een maximale aftrek van 50% op toegelaten.

Alle bedrijfswagens die fossiele brandstoffen verbruiken en aangekocht zijn vanaf 1 juli 2023 , zullen een minder gunstige fiscaliteit genieten. Deze wagens krijgen in eerste instantie dezelfde aftrekbaarheid als bepaald voor de wagens aangekocht tussen 1 januari 2023 en 30 juni 2023, maar de aftrekbaarheid wordt niet langer gedurende de hele looptijd gegarandeerd: al deze wagens genieten tot 31 december 2015 het ‘gunstige’ fiscaal stelsel, maar zij zullen vanaf aanslagjaar 2026 een gewijzigde minimum- en maximumgrens krijgen, met name:

Vanuit fiscaal oogpunt is het dus belangrijk dat de aankoop van een bedrijfswagen met een fossiele brandstof (zoals ook de CO2-vriendelijke plugin-hybridebedrijfswagen) beter vóór 30 juni 2023 gebeurt. Vanaf aanslagjaar 2029 zal het enkel nog mogelijk zijn om de kosten m.b.t. een bedrijfswagen op een fossiele brandstof in aftrek te nemen als de wagen werd aangekocht vóór 30 juni 2023.

1.2. Elektrische wagens (of voertuigen zonder uitstoot)

De fiscaal meest interessante optie voor een nieuwe bedrijfswagen is de elektrische bedrijfswagen (een voertuig zonder CO2-uitstoot). Voor deze bedrijfswagens geldt er geen wettelijke aftrekbeperking en mogen de kosten

1 Voor wagens met minder dan 200 g CO2-uitstoot is de minimumgrens 50%. In de personenbelasting is de minimumgrens 75% wanneer de wagen aangekocht werd vóór 2018.

100% in aftrek worden genomen gedurende de hele looptijd . Dit blijft van toepassing op alle wagens aangekocht tot 31 december 2026

Elektrische wagens die op of na 1 januari 2027 worden aangekocht, zullen wel aan een aftrekbeperking worden onderworpen.

2. Bedrijfswagens: voordeel van alle aard voor privégebruik

De regels omtrent de berekening van het voordeel van alle aard zijn sinds 2021 ongewijzigd gebleven. De berekening gebeurt nog altijd aan de hand van de volgende formule:

Cataloguswaarde × CO2-% × leeftijdscoëfficiënt × 6/7

Er geldt een forfaitair minimumbedrag dat als voordeel van alle aard moet worden toegepast, met name:

2.1. CO2-percentage

Het CO2-percentage in de formule voor het bepalen van het voordeel van alle aard wordt vastgelegd op basis van de volgende formule:

5,5 + [ 0,1 × (CO2-uitstoot van de wagen – R) ] / 100

‘R’ staat voor de referentie-CO2-uitstoot van de gemiddelde CO2-uitstoot van de nieuw ingeschreven wagens. Deze referentie-uitstootcijfers zijn:

Er geldt voor het CO2-percentage een minimum van 4% en een maximum van 18%.

2.2. Voordeliger voordeel van alle aard voor elektrische wagens

Ondanks de ongewijzigde formule valt het op dat er bij de wagens met fossiele brandstoffen jaar na jaar een stijging van het voordeel van alle aard is. Mede dankzij de hervormingsmaatregelen en de algemene vergroening van het wagenpark is namelijk de gemiddelde CO2-uitstoot van nieuw ingeschreven wagens de laatste jaren fors gedaald.

Aangezien elektrische wagens niet aan die formule onderworpen zijn en zij steeds het minimumpercentage van

4% genieten, heeft de vergroening van het wagenpark in België geen invloed op de berekening van het voordeel van alle aard. De effectieve uitkomst van het jaarlijkse voordeel van alle aard biedt dus meer zekerheid bij elektrische wagens dan bij wagens met fossiele brandstoffen.

3. Laadpalen

Om het elektrisch tanken toegankelijker te maken, is het voor de eigenaars of bestuurders van een wagen die elektrisch rijdt, interessant om ook in een laadpaal te investeren. Daarom heeft de regering voor die investeringen diverse fiscaal interessante maatregelen uitgewerkt, die het investeren in laadinfrastructuur zowel door particulieren als door bedrijven aanmoedigen.

3.1. Particuliere laadstations

Particulieren kunnen sinds 1 september 2021 voor de installatie van laadpalen een belastingvermindering in de personenbelasting krijgen, namelijk:

De belastingvermindering kan maar eenmaal aangevraagd worden en mag niet in voorgaande belastbare tijdperken zijn gevraagd.

Sinds 1 januari 2023 is het ook mogelijk om de belastingvermindering aan te vragen tot een investeringsbedrag van 8.000 euro indien het om een bidirectioneel laadstation gaat. Dat is een laadstation dat elektriciteit in 2 richtingen kan sturen, namelijk van de laadpaal naar de elektrische wagen én van de elektrische wagen naar de laadpaal voor een ander gebruik. De stroom van de wagen zou dan gebruikt kunnen worden op het elektriciteitsnet waaraan de laadpaal is verbonden.

Om het fiscaal voordeel niet te verliezen, is het ook belangrijk te weten dat bij de aangifte in de personenbelasting vanaf aanslagjaar 2023 de factuur en het keuringsattest verplicht moeten worden toegevoegd.

3.2. Laadstations bij ondernemingen

Wanneer een onderneming een laadstation installeert, dan geldt, in tegenstelling tot de andere kosten van de bedrijfswagen er voor de aftrekbaarheid van dit laadstation géén beperking. De kost is dus integraal aftrekbaar en bovendien is een verhoogde fiscale aftrek mogelijk. De verhoogde aftrek bedraagt:

Er zijn wel bijkomende voorwaarden waarmee men rekening dient te houden:

1. Het moet telkens gaan om een zogenaamd ‘intelligent’ laadstation: de laadtijd en het laadvermogen moeten door een energiebeheersysteem gestuurd kunnen worden. Het laadstation moet via een gestandaardiseerd protocol digitaal gekoppeld kunnen worden met een beheersysteem.

2. Het laadstation mag enkel groene stroom verbruiken. Dit kan door:

• een energiecontract af te sluiten met een leverancier die zich verbindt om enkel stroom te leveren die geproduceerd is op basis van hernieuwbare energiebronnen;

• het ter plaatse opwekken van stroom door middel van hernieuwbare energiebronnen; of

• een mix van bovenvermelde opties.

3. De installatie moet vast zijn én goedgekeurd door een erkend keuringsorganisme.

Het maximum investeringsbedrag dat in aanmerking mag worden genomen is:

Levering en plaatsing van de laadinstallatie Verhoogde aftrek 01/09/2021 – 31/03/2023 200% 01/04/2023 – 31/08/2024 150%

Voor de verhoogde kostenaftrek zijn er bijkomende voorwaarden. Het laadstation moet:

1. intelligent zijn;

2. publiek toegankelijk zijn;

3. permanent in de grond of aan de muur zijn bevestigd;

4. afgeschreven worden op ten minste 5 jaar;

De verhoogde aftrek is niet alleen van toepassing op de kost van het laadstation zelf, maar kan ook toegepast worden op de bijkomende kosten, zoals de installatiekosten, studie- en expertisekosten, de elektriciteitscabine, enz.

Niet onbelangrijk is nog dat de verhoogde kostenaftrek niet gecombineerd kan worden met de toepassing van de investeringsaftrek voor het laadstation.

Taxshelter voor starters en groeibedrijven: vergelijkende studie

Kmo’s dragen in het algemeen bij tot de economische groei en tot de creatie van arbeidsplaatsen. Maar voor startende ondernemingen en groeibedrijven is de zoektocht naar financiering vaak een hindernissenparcours. Sommige financiële instellingen zijn immers terughoudend om risico’s te nemen, aangezien deze kleine bedrijven maar beperkte garanties kunnen bieden. Daarom heeft de wetgever fiscale steunmaatregelen ingevoerd: respectievelijk de ‘taxshelter start-up’, opgenomen in artikel 145/26 van het WIB 1992, en de ‘taxshelter scale-up’, die we terugvinden in artikel 145/27 van het WIB 1992. De taxshelters helpen startende kmo’s en kleine groeibedrijven bij het vinden van kapitaal door een belastingvermindering toe te kennen aan de burgers die in die nieuwe ondernemingen of groeibedrijven investeren.

De taxshelter start-up is van toepassing sinds aanslagjaar 2016.

Vanaf aanslagjaar 2019 werd die fiscale stimulans aangevuld met een nieuwe belastingvermindering om ook de groeibedrijven te helpen.

De algemene principes van beide maatregelen worden hieronder uiteengezet. Onze analyse is tevens gebaseerd op de fiscale circulaires 2018/C/111, 2019/C/57 en 2022/C/53

In welke context kan de belastingvermindering toegekend worden?

Taxshelter start-up

Taxshelter scale-up

De aandelen moeten in geld ingebracht worden en moeten volledig volstort zijn.

Welke vermindering kan de belastingplichtige genieten?

De belastingvermindering bedraagt:

Taxshelter start-up Taxshelter scale-up

30% van het geïnvesteerde bedrag

45% van het geïnvesteerde bedrag voor investeringen in microvennootschappen, zoals bedoeld in artikel 1:25 van het WVV.

25% van het geïnvesteerde bedrag

Dit is een belastingvermindering

Dit is een belastingvermindering voor sommen die in geld gestort worden voor de verwerving van nieuwe aandelen van groeibedrijven

bij de oprichting van een vennootschap of bij een kapitaalverhoging binnen vier jaar na de oprichting van de vennootschap.

bij een kapitaalverhoging tussen het vijfde en het tiende jaar na de oprichting van de vennootschap.

De datum van oprichting is hier de datum van neerlegging van de oprichtingsakte op de griffie van de ondernemingsrechtbank.

Deze belastingvermindering is een federale belastingvermindering die wordt toegepast op de inkomsten die globaal aan het progressieve tarief worden belast, en niet op de inkomsten die aan afzonderlijke tarieven worden belast.

De belastingvermindering is van toepassing op het belastbaar tijdperk waarin de investering plaats vond.

Ze wordt slechts toegekend in de mate dat er voldoende belastingen zijn om de vermindering te kunnen aanrekenen; ze kan niet overgedragen worden aan de partner of naar een volgend belastbaar tijdperk.

Neem de rekenmachine erbij! Alvorens te investeren met het oog op een belastingvermindering, moet dus eerst

nagegaan worden of het geraamde bedrag aan te betalen belastingen minstens gelijk is aan het bedrag van de belastingvermindering. Het kan misschien interessanter zijn om de investering te spreiden over meerdere aanslagjaren, in plaats van het hele bedrag in één keer te betalen.

Voorbeeld

• De heer X wil 60.000 euro investeren in een groeibedrijf.

• De potentiële belastingvermindering bedraagt 60.000 euro × 25% = 15.000 euro.

• De heer X is getrouwd, heeft geen kinderen ten laste en woont in Waterloo. Zijn echtgenote heeft geen beroepsinkomsten.

• Hun gemiddelde belastingtarief over het voorgaande aanslagjaar bedroeg 30%.

In ‘Situatie 1’ is het bijvoorbeeld beter om de investering over twee jaar te spreiden, om het belastingvoordeel te maximaliseren.

In ‘Situatie 2’ zijn de belastingen voldoende hoog om de vermindering in zijn geheel te kunnen toepassen over één jaar.

In ‘Situatie 3’ en ‘Situatie 4’ levert een investering in de taxshelter scale-up geen enkel fiscaal voordeel op, aangezien de belastingvermindering niet van toepassing is op afzonderlijk belastbare inkomsten.

Hoe investeren?

Investeren in nieuwe aandelen kan op verschillende manieren gebeuren: ofwel rechtstreeks door de burger, ofwel via een crowdfundingplatform, ofwel door in te schrijven op de nieuwe beleggingsinstrumenten die worden uitgegeven door een financieringsvehikel dat op zijn beurt investeert in de aandelen van de vennootschap.

In het kader van startende ondernemingen kan de investering ook nog gebeuren via een publiek startersfonds of via een private starters-privak.

Voorwaarden ten aanzien van de investeerder

Om de belastingvermindering te kunnen genieten die verbonden is aan de taxshelter start-up of scale-up, moet de belastingplichtige aan de hiernavolgende voorwaarden voldoen.

De investeerder is een rijksinwoner die onderworpen is aan de personenbelasting.

Ook bepaalde niet-inwoners, die onderworpen zijn aan de belasting der niet-inwoners en die geregulariseerd werden, kunnen in aanmerking komen voor de vermindering als ze ten minste 75% van hun beroepsinkomsten in België verwerven. Aan deze voorwaarde moet voldaan zijn gedurende de 48 maanden die volgen op de kapitaalinbreng.

De investeerder moet de aandelen of beleggingsinstrumenten gedurende een periode van 48 maanden aanhouden, te rekenen vanaf de datum van verwerving van de aandelen (of beleggingsinstrumenten).

Op het ogenblik van de inbreng mag de investeerder geen bestuursfunctie uitoefenen in de betrokken vennootschap, niet op rechtstreekse, maar ook niet op onrechtstreekse wijze. Indien de investeerder binnen de 48 maanden die volgen op de kapitaalinbreng bedrijfsleider wordt, mag hij hiervoor geen vergoeding ontvangen. Hij mag, als vaste vertegenwoordiger van een andere vennootschap, geen mandaat van bestuurder of vereffenaar uitoefenen, en hij mag ook geen leidinggevende functie bekleden via een aannemingsovereenkomst. Aan deze laatste voorwaarde moet worden voldaan op het ogenblik van de kapitaalinbreng en gedurende een periode van 48 maanden na de volstorting van het kapitaal.

Maximum

De investeerder kan per jaar maximum 100.000 euro investeren voor de twee belastingverminderingen taxshelter start-up en taxshelter scale-up samen. Echtgenoten en wettelijk samenwonenden hebben elk afzonderlijk recht op dat maximumbedrag.

Voorbeeld

De heer X schrijft in op nieuwe aandelen van vennootschap A (start-up) ter waarde van 75.000 euro en van vennootschap B (scale-up), eveneens ter waarde van 75.000 euro.

Aangezien de grens van 100.000 euro hier overschreden werd, kan X enkel aanspraak maken op een belastingvermindering van 25.000 euro. Omdat het om aandelen op naam gaat, zal de belastingvermindering worden toegekend aan de belastingplichtige op wiens naam de aandelen ingeschreven werden. X kan dus niet een deel van zijn investering overdragen aan zijn echtgenote; hij kan het ‘overschot’ ook niet overdragen naar een volgend belastbaar tijdperk.

De belastingplichtige is vrij om te kiezen hoe hij de in zijn aangifte op te nemen bedragen optimaliseert.

De investeerder mag via de inschrijving op nieuwe aandelen niet meer dan 30% van het kapitaal van de betrokken vennootschap vertegenwoordigen. De uitsluiting van de belastingvermindering geldt enkel voor het gedeelte van de kapitaalinbreng dat dit percentage overschrijdt.

Voorbeeld

Een belastingplichtige schrijft in op 5.000 nieuwe aandelen voor een bedrag van 50.000 euro in een kmo met maatschappelijk kapitaal na verhoging van 100.000 euro, vertegenwoordigd door 10.000 aandelen. De maximale belastingvermindering waarop hij aanspraak kan maken is 30.000 euro, oftewel 30% van 100.000 euro.

De investeerder mag de belastingvermindering van de taxshelter start-up of scale-up niet cumuleren met de belastingvermindering voor de verwerving van werkgeversaandelen of de belastingvermindering voor inschrijving op een ontwikkelingsfonds.

Voorwaarden in hoofde van de begunstigde vennootschap

De taxshelter start-up stelt 11 voorwaarden waaraan de begunstigde vennootschap moet voldoen. De taxshelter scale-up kent er 13.

De specifieke voorwaarden zijn:

1) De vennootschap is een binnenlandse vennootschap of een vennootschap waarvan de voornaamste inrichting of zetel van bestuur of beheer gevestigd is in een andere lidstaat van de Europese Economische Ruimte (EER) en die in België over een Belgische inrichting beschikt in de zin van artikel 229 van het WIB 1992, én:

Taxshelter start-up

De vennootschap is ten vroegste opgericht op 01/01/2013

Taxshelter scale-up

Het is geen vereiste dat de vennootschap ten vroegste werd opgericht op 01/01/2013.

2) Criteria ten aanzien van het groeibedrijf inzake het aantal voltijdse equivalenten:

Taxshelter start-up

Taxshelter scale-up

De vennootschap stelt ten minste 10 voltijdse equivalenten tewerk, krachtens arbeidsovereenkomsten, gedurende de 12 maanden die volgen op de volstorting van de aandelen.

3) Criteria ten aanzien van het groeibedrijf inzake de evolutie van de omzet of het aantal voltijdse equivalenten in de twee laatste boekjaren:

Taxshelter start-up Taxshelter scale-up

In de twee aanslagjaren voorafgaand aan de volstorting van de aandelen is de omzet van de vennootschap met gemiddeld 10% per aanslagjaar gestegen of is het aantal werknemers (in voltijdse equivalenten) toegenomen met gemiddeld 10% per aanslagjaar.

4) Het bedrag dat mag worden opgehaald in het kader van de taxshelter start-up en de taxshelter scale-up is beperkt:

Taxshelter start-up

De vennootschap heeft niet meer dan 500.000 euro ontvangen.

Dit bedrag wordt eventueel verminderd met het bedrag dat tijdens het belastbaar tijdperk werd ontvangen in het kader van de taxshelter scale-up.

Taxshelter scale-up

De vennootschap heeft niet meer dan 1.000.000 euro ontvangen.

Dit bedrag wordt eventueel verminderd met het bedrag dat tijdens het belastbaar tijdperk werd ontvangen in het kader van de taxshelter start-up.

De programmawet van 27 december 2021 heeft het grensbedrag van de inbrengen die vennootschappen op een fiscaalvriendelijke manier mogen ophalen, verdubbeld vanaf 1 januari 2021. Zo is het maximumbedrag dat vennootschappen in de loop van hun bestaan mogen ontvangen in het kader van de belastingvermindering taxshelter start-up verhoogd van 250.000 euro naar 500.000 euro, terwijl het maximumbedrag dat vennootschappen kunnen ontvangen in het kader van de vermindering taxshelter scale-up is opgetrokken van 500.000 euro naar 1.000.000 euro. Dat bedrag moet vooraf verminderd worden met het bedrag dat ontvangen werd in het kader van de belastingvermindering taxshelter start-up.

Voorbeeld

Een vennootschap, opgericht in 2018, ontving in het kader van de taxshelter start-up een kapitaalinbreng in contanten van 100.000 euro. De belastingvermindering werd berekend op dit bedrag van 100.000 euro.

In de loop van 2023 zal dezelfde vennootschap de inbreng verhogen door uitgifte van nieuwe aandelen op naam. Het maximumbedrag dat kan worden opgehaald in het kader van de belastingvermindering taxshelter voor groeibedrijven bedraagt 900.000 euro.

Als het bedrag van de kapitaalverhoging de grens van 900.000 euro overschrijdt, geeft enkel het bedrag van 900.000 euro recht op de belastingvermindering.

De overige voorwaarden zijn voor beide maatregelen vergelijkbaar:

5) De vennootschap mag niet opgericht zijn in het kader van een fusie of splitsing van vennootschappen.

6) De vennootschap wordt beschouwd als een kleine vennootschap, zoals gedefinieerd in artikel 1:24, §§ 1 tot 6 van het Wetboek van vennootschappen en verenigingen (WVV) voor het aanslagjaar dat verbonden is aan het belastbaar tijdperk waarin de kapitaalinbreng

wordt gedaan. De groottecriteria moeten in aanmerking worden genomen op de balansdatum. De criteria inzake omzet en balanstotaal worden berekend op geconsolideerde basis.

7) De vennootschap mag geen beleggings-, thesaurie- of financieringsvennootschap zijn, en dit gedurende de 48 maanden die volgen op de volstorting van de aandelen.

8) De vennootschap mag geen vastgoedvennootschap zijn, en dit gedurende de 48 maanden die volgen op de volstorting van de aandelen (voor de exacte definitie van dit type vennootschap, zie de artikelen 145/26 en 145/27 van het WIB 1992). Het gaat hier om vennootschappen met als activiteit of statutair doel: de oprichting, de verwerving, het beheer, de verbouwing, de verkoop of de verhuur van vastgoed voor eigen rekening of elke vennootschap met een zakelijk recht op een onroerend goed waarvan de gemandateerde bedrijfsleider, diens echtgenoot of kinderen het gebruik hebben.

9) De vennootschap is geen managementvennootschap gedurende de 48 maanden die volgen op de volstorting van de aandelen: de vennootschap mag niet zijn opgericht met het oog op het afsluiten van management- of bestuursovereenkomsten; zij mag ook niet haar voornaamste bron van inkomsten halen uit dergelijke overeenkomsten.

10) De vennootschap is niet beursgenoteerd.

11) De vennootschap mag, voorafgaand aan de uitgifte van de nieuwe aandelen nog geen kapitaalvermindering doorgevoerd hebben (behoudens kapitaalverminderingen ter aanzuivering van een geleden verlies of om een reserve te vormen tot dekking van een voorzienbaar verlies) of dividenden uitgekeerd hebben.

12) De vennootschap mag de ontvangen sommen niet gebruiken voor de uitkering van dividenden of de aankoop van aandelen, noch voor het verstrekken van leningen, en dit gedurende een periode van vier jaar volgend op de volstorting van de aandelen.

13) De vennootschap maakt niet het voorwerp uit van een collectieve insolventieprocedure of bevindt zich niet in de voorwaarden van een dergelijke procedure.

Belastingaangifte en attesten

De belastingplichtige moet het bedrag dat hij betaald heeft vermelden in kader X onder code 1334 of 2334 van zijn belastingaangifte.

Hij moet, op verzoek van de administratie, het door de startende onderneming of het groeibedrijf opgestelde fiscaal attest ter beschikking stellen. Dat attest bevestigt dat de investering aan alle wettelijke voorwaarden voldoet. Het

attest bevestigt dat op 31 december van het jaar waarin de aandelen werden verworven en op 31 december van elk van de vier daaropvolgende belastbare tijdperken, de aandelen nog steeds in het bezit zijn van de belastingplichtige.

Terugname van de belastingvermindering

Wanneer de voorwaarden gedurende de termijn van 12 of 48 maanden niet gerespecteerd worden, zal de eerder verleende belastingvermindering gedeeltelijk worden teruggenomen. De terugname gebeurt voor het jaar waarin de voorwaarden niet langer vervuld zijn, onder de vorm van een federale belastingvermeerdering in kader X van de belastingaangifte, onder code 1328 of 2328 voor de startende ondernemingen, of code 1343 of 2343 voor de groeibedrijven, en wordt berekend in functie van het aantal resterende volle maanden vanaf de datum waarop de voorwaarde niet langer is vervuld tot het einde van de termijn van 12 of 48 maanden.

Het attest met het aantal resterende maanden moet worden afgeleverd voor een correcte raming van het terug te nemen bedrag van de belastingvermindering.

Voorbeeld

De heer Peeters verwerft op 06/08/2018 rechtstreeks aandelen van een groeibedrijf voor een bedrag van 10.000 euro. Hij is geen bedrijfsleider van de betrokken

vennootschap. De heer Peeters geniet een belastingvermindering ten belope van 2.500 euro.

Op 04/10/2020 wordt hij bestuurder van het groeibedrijf en wordt hij daarvoor betaald.

De heer Peeters heeft gedurende 26 maanden aan de voorwaarden voldaan. Het aantal resterende maanden tot de termijn van 48 maanden bedraagt 22 maanden. De terugname van de belastingvermindering bedraagt:

2.500 euro × 22/48 = 1.145,83 euro.

Voorbeeld

Op 05/12/2021 schrijft de heer Peeters in op 20 aandelen van een groeibedrijf voor een bedrag van 10.000 euro en geniet hij een belastingvermindering van 2.500 euro.

Op 20/02/2023 verkoopt hij de helft van zijn aandelen.

De heer Peeters heeft gedurende 15 maanden aan de voorwaarden voldaan. Het aantal resterende maanden tot de termijn van 48 maanden bedraagt 33 maanden. De terugname van de belastingvermindering bedraagt:

2.500 euro × 10/20 verkochte aandelen × 33/48 maanden = 859,38 euro.

eStox, uw beveiligde digitale effectenregister

Discretie verzekerd

UBO-verplichtingen worden automatisch nagekomen

Een digitaal register met talrijke voordelen, aangeboden door de notarissen, de accountants en de belastingadviseurs.

www.estox.be

Altijd en overal beschikbaar