Gebarsten ijzeren hangslot op beton met officiële documenten eronder, verlicht door rood waarschuwingslicht in dramatische schaduw.

Wat zijn de sancties bij niet-naleving van NIS2?

Bij niet-naleving van de NIS2-richtlijn kunnen organisaties te maken krijgen met forse financiële boetes, operationele sancties en in ernstige gevallen persoonlijke aansprakelijkheid van bestuurders. Voor essentiële entiteiten lopen de boetes op tot maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet, voor belangrijke entiteiten tot 7 miljoen euro of 1,4%. De NIS2-sancties zijn daarmee bewust ontworpen om cybersecurity een boardroomprioriteit te maken. In dit artikel beantwoorden we de meest gestelde vragen over NIS2-handhaving, boetes en wat u kunt doen om risico’s te beperken.

Hoe hoog zijn de boetes voor NIS2-overtredingen?

De hoogte van een NIS2-boete hangt af van de categorie waartoe een organisatie behoort. Essentiële entiteiten riskeren boetes tot maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet, waarbij het hoogste bedrag van de twee van toepassing is. Belangrijke entiteiten kunnen worden beboet tot maximaal 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.

Deze boeteplafonds gelden als maximumbedragen. In de praktijk zal een toezichthouder bij het bepalen van de hoogte van een boete rekening houden met de ernst van de overtreding, de mate van nalatigheid, de schade die is ontstaan en of de organisatie aantoonbaar stappen heeft gezet om te voldoen. Een eerste overtreding waarbij de organisatie direct corrigerende maatregelen neemt, zal doorgaans anders worden behandeld dan structurele noncompliance.

In Nederland wordt de NIS2-wetgeving omgezet via de Cyberbeveiligingswet (Cbw), waarvan de inwerkingtreding wordt verwacht in het tweede kwartaal van 2026. De boetebevoegdheden zijn daarin verankerd op basis van de Europese richtlijn. Organisaties die nu al investeren in NIS2-compliance verkleinen hun risico op sancties aanzienlijk zodra de wet van kracht wordt.

Welke toezichthouders handhaven de NIS2-richtlijn in Nederland?

In Nederland is de handhaving van de NIS2-richtlijn verdeeld over meerdere toezichthouders, afhankelijk van de sector. De Rijksinspectie Digitale Infrastructuur (RDI) is aangewezen als primaire toezichthouder voor de overheidssector, met uitzondering van waterschappen. Voor waterschappen is dat de Inspectie Leefomgeving en Transport (ILT).

Voor andere sectoren, zoals energie, transport, financiën en gezondheidszorg, zijn sectorspecifieke toezichthouders verantwoordelijk. Welke toezichthouder bevoegd is, hangt af van de sector waarin een organisatie actief is en of zij als essentieel of belangrijk wordt aangemerkt.

De RDI maakt bij het overheidstoezicht zo veel mogelijk gebruik van bestaande verantwoordingsstructuren om de administratieve lasten te beperken. Voor gemeenten betekent dit dat de ENSIA-methodiek als basis dient voor het NIS2-toezicht. Voor rijkspartijen zijn dat het jaarlijkse Informatiebeveiligingsbeeld van de Audit Dienst Rijk (ADR) en de rapportages van de Algemene Rekenkamer (ARK). De verwachting is dat naarmate overheidsorganisaties volwassener worden in hun informatiebeveiligingspraktijk, er minder actief toezicht nodig is.

Wat zijn de niet-financiële sancties bij NIS2-overtredingen?

Naast financiële boetes voorziet de NIS2-richtlijn ook in een reeks niet-financiële handhavingsmaatregelen. Deze kunnen worden ingezet als aanvulling op of alternatief voor boetes, afhankelijk van de ernst van de situatie en de mate van naleving.

De meest voorkomende niet-financiële sancties zijn:

  • Bindende aanwijzingen: de toezichthouder verplicht een organisatie specifieke maatregelen te nemen binnen een bepaalde termijn.
  • Bevelen tot naleving: een formele opdracht om te stoppen met een overtreding of om een bepaalde beveiligingsmaatregel te implementeren.
  • Tijdelijke schorsing van diensten: in ernstige gevallen kan een toezichthouder een essentiële entiteit opdragen bepaalde activiteiten tijdelijk te staken totdat aan de vereisten is voldaan.
  • Publicatie van de overtreding: de toezichthouder kan besluiten een overtreding openbaar te maken, wat reputatieschade tot gevolg kan hebben.
  • Verplichte audits: een organisatie kan worden verplicht een onafhankelijke beveiligingsaudit te laten uitvoeren.

Niet-financiële sancties kunnen in de praktijk ingrijpender zijn dan een boete, zeker wanneer een tijdelijke schorsing of publicatie van een overtreding het vertrouwen van klanten, partners of burgers schaadt. De combinatie van reputatierisico en operationele verstoring maakt NIS2-compliance tot een strategisch vraagstuk.

Wanneer kan een bestuurder persoonlijk aansprakelijk worden gesteld?

De NIS2-richtlijn legt de verantwoordelijkheid voor cyberweerbaarheid expliciet bij het bestuur van een organisatie. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld wanneer er sprake is van grove nalatigheid bij ernstige cyberbeveiligingsincidenten die het gevolg zijn van het structureel negeren van verplichtingen.

Concreet betekent dit dat bestuurders geacht worden voldoende kennis te hebben van de cybersecurityrisico’s waarmee hun organisatie te maken heeft. De Cyberbeveiligingswet verplicht alle bestuursleden een training te volgen die hen leert beveiligingsrisico’s te herkennen, risicobeheersmaatregelen te beoordelen en de gevolgen van die risico’s voor de organisatie in te schatten. Bestuurders hebben na inwerkingtreding van de wet maximaal twee jaar om aan deze trainingsplicht te voldoen.

Een belangrijk onderscheid geldt voor overheidsorganisaties: de NIS2-bepaling over persoonlijke aansprakelijkheid van bestuurders bij niet-naleving is uitdrukkelijk niet van toepassing op overheidsinstanties. De Cyberbeveiligingswet brengt voor private organisaties geen nieuwe aansprakelijkheden met zich mee buiten wat al bestond: bestuurders konden al bij grove nalatigheid aansprakelijk worden gesteld op basis van het bestaande recht. NIS2 versterkt echter de normatieve verwachting en maakt het lastiger om onwetendheid als verweer aan te voeren.

Hoe verschilt NIS2-handhaving van de AVG-handhaving?

NIS2-handhaving en AVG-handhaving lijken op elkaar omdat beide Europese regelgeving betreffen met forse boetebevoegdheden, maar er zijn wezenlijke verschillen in focus, reikwijdte en handhavingssystematiek.

De AVG richt zich primair op de bescherming van persoonsgegevens en de rechten van betrokkenen. De handhaving is in Nederland belegd bij de Autoriteit Persoonsgegevens (AP), die optreedt bij datalekken en schendingen van privacyrechten. De boeteplafonds zijn hoger: tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.

NIS2 richt zich op de weerbaarheid van netwerk- en informatiesystemen van organisaties die kritieke of belangrijke diensten leveren. Het gaat niet uitsluitend om persoonsgegevens, maar om de continuïteit en veiligheid van systemen en processen. De handhaving is sectoraal georganiseerd en belegd bij meerdere toezichthouders, afhankelijk van de sector.

Een ander verschil is de proactieve aard van NIS2. Waar de AVG-handhaving vaak reactief is na een incident of klacht, voorziet NIS2 in actief toezicht op de naleving van de zorgplicht, ongeacht of er een incident heeft plaatsgevonden. Organisaties moeten kunnen aantonen dat zij structureel werken aan cyberbeveiliging. Beide wetten kunnen overigens tegelijk van toepassing zijn: een cyberincident waarbij persoonsgegevens zijn gelekt, kan leiden tot handhaving onder zowel de NIS2 als de AVG.

Hoe verklein je het risico op NIS2-sancties?

Het risico op NIS2-sancties verklein je door aantoonbaar en structureel te werken aan cyberbeveiliging, ruim voordat een toezichthouder aan de deur staat. De kern is niet perfecte beveiliging, maar een gedocumenteerde, risicogebaseerde aanpak die laat zien dat uw organisatie haar verplichtingen serieus neemt.

Concrete stappen die het risico significant verlagen:

  1. Bepaal of uw organisatie onder NIS2 valt en of u als essentieel of belangrijk wordt aangemerkt. Gebruik hiervoor de NIS2 Zelfevaluatietool van de RVO.
  2. Implementeer een risicogebaseerd beveiligingsbeleid dat minimaal de NIS2-zorgplicht dekt: toegangsbeheer, cryptografie, incidentrespons, bedrijfscontinuïteit en supply chain-beveiliging.
  3. Stel een meldproces in voor cyberincidenten. NIS2 vereist dat significante incidenten binnen 24 uur worden gemeld bij de bevoegde autoriteit, met een vervolgmelding binnen 72 uur en een eindverslag binnen een maand.
  4. Train uw bestuurders op de drie verplichte leerdoelen: risicoherkenning, beoordeling van maatregelen en impactbeoordeling.
  5. Breng uw toeleveringsketen in kaart en toets de cybersecuritymaatregelen van uw leveranciers. De NIS2-zorgplicht vereist inzicht in de beveiligingspraktijken in uw keten.
  6. Documenteer alles. Aantoonbaarheid is cruciaal: een toezichthouder beoordeelt niet alleen wat u doet, maar ook of u kunt bewijzen dat u het doet.

Voor overheidsorganisaties geldt dat naleving van de BIO2 een logisch en effectief startpunt is, omdat dit normenkader wettelijk wordt verankerd als sectoraal kader onder de Cyberbeveiligingswet. Wie de BIO2 al toepast, heeft een sterke basis voor NIS2-compliance.

Hoe Q-Cyber helpt met NIS2-compliance

NIS2 is complex, maar met de juiste begeleiding hoeft het niet overweldigend te zijn. Wij helpen organisaties stap voor stap richting aantoonbare compliance, zonder onnodige complexiteit en zonder binding aan softwarepartijen. Onze aanpak is pragmatisch, onafhankelijk en afgestemd op uw specifieke situatie.

Wat wij voor uw organisatie kunnen doen:

  • Gap-analyse: we brengen in kaart waar uw organisatie nu staat ten opzichte van de NIS2-vereisten en welke stappen prioriteit hebben.
  • Beleidsvorming: we schrijven cybersecuritybeleid op maat dat aansluit op de zorgplicht en uw risicoprofiel.
  • Bestuurderstrainingen: we verzorgen trainingen die de drie verplichte leerdoelen dekken en bestuurders in staat stellen hun verantwoordelijkheid waar te maken.
  • Technische toetsing: via penetratietesten en vulnerability scans toetsen we de technische weerbaarheid van uw systemen.
  • Virtuele CISO: via Continuous-Q bieden we doorlopende begeleiding door een team van specialisten, zonder de kosten van een fulltime CISO.
  • Supply chain-advies: we helpen u de cybersecuritymaatregelen van uw leveranciers in kaart te brengen en te borgen.

De Rijksoverheid adviseert organisaties om niet te wachten totdat de Cyberbeveiligingswet in werking treedt. De risico’s zijn er nu al, en wie nu in actie komt, staat straks aanzienlijk sterker. Neem contact op en ontdek hoe wij uw organisatie kunnen begeleiden naar NIS2-compliance.