De NIS2-richtlijn tilt handhaving naar een nieuw niveau. Waar de oorspronkelijke NIS1-richtlijn nauwelijks tanden had, introduceert NIS2 aanzienlijke boetes, persoonlijke aansprakelijkheid voor bestuurders en vergaande toezichtbevoegdheden. Voor organisaties die nog niet zijn begonnen met implementatie, is het verstandig de risico’s goed te begrijpen — niet uit angst, maar om bewuste prioriteiten te stellen.
De boetecategorieën van NIS2
NIS2 onderscheidt twee categorieën organisaties met bijbehorende maximumboetes:
| Categorie | Maximumboete | Alternatief |
|---|---|---|
| Essentiële entiteiten | €10.000.000 | 2% van de wereldwijde jaaromzet (hoogste van de twee) |
| Belangrijke entiteiten | €7.000.000 | 1,4% van de wereldwijde jaaromzet (hoogste van de twee) |
De boetes gelden per overtreding. Bij meerdere tekortkomingen tegelijkertijd kunnen de bedragen cumuleren, al hebben nationale toezichthouders wel ruimte om rekening te houden met de omstandigheden en proportionaliteit.
In Nederland is het Nationaal Cyber Security Centrum (NCSC) betrokken bij de coördinatie, maar de handhaving ligt bij sectorspecifieke toezichthouders. Voor de energiesector is dat de ACM, voor de zorgsector de IGJ, voor financiële instellingen DNB en de AFM.
Tip: Wacht niet op een incident of toezichtsonderzoek om te beginnen. Toezichthouders in andere EU-landen zijn al actief aan het handhaven. De kans dat ook Nederlandse toezichthouders snel in actie komen, neemt toe naarmate de wetgeving langer van kracht is.
Wanneer worden boetes opgelegd?
Niet elke tekortkoming leidt automatisch tot een boete. Toezichthouders hanteren doorgaans een escalerende aanpak:
- Informele communicatie — de toezichthouder signaleert een tekortkoming en vraagt om een reactie
- Bindende instructie — de toezichthouder geeft een formele opdracht tot herstel binnen een bepaalde termijn
- Dwangsom — bij niet-naleving van de instructie kan een periodieke dwangsom worden opgelegd
- Bestuurlijke boete — bij ernstige of herhaalde overtredingen, of bij bewuste nalatigheid
- Tijdelijk verbod — in uitzonderlijke gevallen kan een toezichthouder bestuurders tijdelijk verbieden hun functie uit te oefenen
De zwaarste sancties zijn gereserveerd voor situaties waarbij aantoonbaar sprake is van nalatigheid, opzet of het bewust niet melden van incidenten. Organisaties die aantoonbaar werken aan implementatie en incidenten tijdig melden, worden doorgaans milder behandeld.
Persoonlijke aansprakelijkheid voor bestuurders
Een van de meest ingrijpende elementen van NIS2 is de persoonlijke aansprakelijkheid voor bestuurders van essentiële entiteiten. NIS2 vereist dat het bestuur actief betrokken is bij het cybersecuritybeleid en daarvoor verantwoordelijkheid draagt.
Concreet kan dit inhouden dat:
- Bestuurders persoonlijk aansprakelijk worden gesteld voor schade als gevolg van ernstige nalatigheid bij de naleving van de zorgplicht
- Toezichthouders een tijdelijk verbod kunnen uitspreken op het uitoefenen van leidinggevende functies
Dit is een fundamenteel andere benadering dan bij NIS1, waarbij de verantwoordelijkheid bij de organisatie als geheel lag. Bestuurders moeten nu aantoonbaar kennis hebben van de cybersecurityrisico’s en actief toezicht houden op de naleving.
De meldplicht en de gevolgen van niet melden
Naast de zorgplicht introduceert NIS2 ook een meldplicht bij ernstige incidenten. De termijnen zijn strak:
- 24 uur: eerste vroegtijdige waarschuwing aan de toezichthouder
- 72 uur: gedetailleerde incidentmelding met eerste beoordeling en genomen maatregelen
- 1 maand: eindrapport met grondoorzaakanalyse en structurele maatregelen
Het bewust niet melden van een ernstig incident is een van de situaties die het hardst worden bestraft. Toezichthouders beschouwen dit als een fundamentele schending van de vertrouwensrelatie die NIS2 beoogt te bevorderen.
Hoe verkleint je het risico op boetes?
De beste bescherming is een aantoonbaar functionerend beveiligingsprogramma. Dat betekent:
Documenteer alles: Beleidsdocumenten, risicoanalyses, trainingsrecords en auditrapportages zijn je bewijs van naleving. Zonder documentatie kun je geen naleving aantonen, ook al heb je in de praktijk alles op orde.
Implementeer de tien maatregelengebieden: De zorgplicht uit artikel 21 NIS2 is het primaire toetsingskader. Zorg dat je op elk van de tien gebieden aantoonbare maatregelen heeft genomen.
Train je bestuur: Bestuurders moeten begrijpen wat NIS2 van hen verlangt. Organiseer een specifieke sessie voor de directie over cybersecuritygovernance en persoonlijke aansprakelijkheid.
Oefen incidentrespons: Een meldprocedure die voor het eerst in werking treedt bij een echt incident, zal de 24-uurs termijn niet halen. Oefen regelmatig met tabletop-scenario’s.
Veelgestelde vragen
Kunnen boetes worden opgelegd zonder voorafgaand onderzoek? In de meeste gevallen begint een handhavingstraject met een onderzoek of een verzoek om informatie. Spontane boetes zonder voorafgaand contact zijn zeldzaam, maar niet uitgesloten bij evidente en ernstige overtredingen.
Telt een ISO 27001-certificaat als bewijs van naleving? Een ISO 27001-certificaat is geen wettelijk bewijs van NIS2-compliance, maar toezichthouders beschouwen het wel als een positieve indicator van een serieus beveiligingsprogramma.
Wat als mijn organisatie net onder de NIS2-drempel valt? Organisaties die niet direct onder NIS2 vallen, kunnen alsnog worden aangewezen als “essentieel” door de lidstaat. Bovendien kunnen zij als leverancier in de toeleveringsketen van NIS2-entiteiten te maken krijgen met contractuele beveiligingseisen.
Hoe lang heeft een toezichthouder om een boete op te leggen na een incident? De verjaringstermijnen worden per lidstaat vastgesteld in de nationale implementatiewetgeving. Raadpleeg de Nederlandse implementatiewet voor de actuele termijnen.
Is er beroep mogelijk tegen een NIS2-boete? Ja. Organisaties kunnen een bestuurlijke boete aanvechten via de reguliere bestuursrechtelijke procedures.
Wil je weten hoe je organisatie er voor staat ten opzichte van de NIS2-verplichtingen? Control One voert gap-analyses uit en begeleidt je naar aantoonbare compliance. Bekijk onze tarieven op de prijzenpagina.
Compliant aan NIS2, AVG of DORA?
Control One koppelt wettelijke verplichtingen aan je ISO-controls, beleid en risicoanalyse. Eén platform voor zowel ISO als wetgeving.
Gerelateerde artikelen
AVG datalekken melden: procedure en verplichting
Een datalek melden bij de AP — wanneer verplicht, binnen welke termijn en wat vermeldt je?
NIS2 en leveranciersketen: hoe beheert je ketenrisico's?
NIS2 verplicht aandacht voor supply chain security. Hoe beheert je risico's in je leveranciersketen?
NIS2 zorgplicht: concrete maatregelen voor je organisatie
De NIS2 zorgplicht vertaalt zich naar 10 concrete maatregelengebieden. Wat moet je implementeren?
Cyber Resilience Act: wat betekent het voor Nederlandse bedrijven?
De CRA stelt cybersecurity-eisen aan software en hardware. Wat verandert er voor producenten en importeurs?