Hoe hoog zijn de boetes bij overtreding van de NIS2-richtlijn?
Bij overtreding van de NIS2-richtlijn kunnen organisaties rekenen op forse boetes: voor essentiële entiteiten loopt de maximale boete op tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, en voor belangrijke entiteiten tot 7 miljoen euro of 1,4% van de jaaromzet. Welk bedrag het hoogst uitvalt, is bepalend. De exacte hoogte hangt af van de ernst van de overtreding, de mate van nalatigheid en de omvang van de organisatie. In dit artikel beantwoorden we de meest gestelde vragen over NIS2-boetes, aansprakelijkheid en wat je kunt doen om sancties te voorkomen.
Wie legt de NIS2-boetes op en hoe werkt dat?
In Nederland worden NIS2-boetes opgelegd door de bevoegde nationale toezichthouder. Welke toezichthouder dat precies is, hangt af van de sector waarin je organisatie actief is. Voor digitale dienstverleners en ICT-bedrijven is dat doorgaans het Agentschap Telecom. Voor andere sectoren kunnen dat sectorspecifieke toezichthouders zijn, zoals de Nederlandse Zorgautoriteit (NZa) voor de zorgsector.
De Nederlandse vertaling van NIS2 is de Cyberbeveiligingswet (CBW), die naar verwachting in het tweede kwartaal van 2026 in werking treedt. Zodra de wet van kracht is, krijgen toezichthouders de bevoegdheid om inspecties uit te voeren, informatie op te vragen en bij overtredingen handhavend op te treden. Het handhavingsproces verloopt doorgaans in stappen: eerst een waarschuwing of aanwijzing, dan een last onder dwangsom, en bij aanhoudende of ernstige overtredingen een directe boete.
Toezichthouders beoordelen niet alleen of je technisch voldoet, maar ook of je als organisatie aantoonbaar werk maakt van cybersecurity. Dat betekent dat documentatie, risicoanalyses en incidentregistraties een cruciale rol spelen bij een eventueel onderzoek.
Hoe hoog zijn de maximale boetes onder de NIS2-richtlijn?
De maximale NIS2-boetes zijn afhankelijk van de categorie waarin je organisatie valt. De richtlijn maakt onderscheid tussen essentiële entiteiten en belangrijke entiteiten, met bijbehorende boeteplafonds.
- Essentiële entiteiten: maximaal 10 miljoen euro of 2% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
- Belangrijke entiteiten: maximaal 7 miljoen euro of 1,4% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
Essentiële entiteiten zijn organisaties in sectoren die als kritiek worden beschouwd, zoals energie, drinkwater, transport en gezondheidszorg. Belangrijke entiteiten omvatten onder andere digitale dienstverleners, productiebedrijven en ICT-aanbieders. Voor grotere organisaties met een hoge omzet kan het percentage zwaarder uitvallen dan het vaste maximum, wat de financiële impact aanzienlijk vergroot.
Naast directe boetes kunnen toezichthouders ook tijdelijke operationele beperkingen opleggen, zoals een verbod om bepaalde diensten aan te bieden totdat de situatie is hersteld. Voor organisaties die afhankelijk zijn van hun digitale dienstverlening kan dat even ingrijpend zijn als de boete zelf. Je kunt meer lezen over hoe security binnen Microsoft 365 bijdraagt aan aantoonbare naleving van dit soort verplichtingen.
Welke overtredingen leiden het vaakst tot een NIS2-sanctie?
De meest voorkomende NIS2-overtredingen zijn het ontbreken van een risicoanalyse, het niet tijdig melden van beveiligingsincidenten en het verwaarlozen van ketenbeveiliging. Dit zijn precies de gebieden waar veel organisaties nog stappen te zetten hebben.
Concreet gaat het om overtredingen zoals:
- Het niet uitvoeren of documenteren van een risicoanalyse voor netwerk- en informatiesystemen.
- Het te laat of niet melden van een significant beveiligingsincident bij de bevoegde autoriteit (de meldtermijn is doorgaans 24 uur voor een eerste melding).
- Het ontbreken van een incident response plan of crisisprotocol.
- Onvoldoende aandacht voor de beveiliging van leveranciers en ketenpartners.
- Het niet aantoonbaar trainen van bestuurders op het gebied van cybersecurity.
Wat opvalt, is dat sancties niet alleen volgen op technische tekortkomingen. Juist het gebrek aan aantoonbaarheid is een veelvoorkomend struikelblok: organisaties die wel maatregelen nemen, maar dit niet vastleggen, kunnen bij een inspectie alsnog in de problemen komen.
Zijn bestuurders persoonlijk aansprakelijk bij NIS2-overtredingen?
Ja, de NIS2-richtlijn en de Nederlandse Cyberbeveiligingswet maken bestuurders persoonlijk verantwoordelijk voor de naleving van de cybersecurityverplichtingen binnen hun organisatie. Dit is een van de meest ingrijpende veranderingen ten opzichte van eerdere wetgeving.
Concreet betekent dit dat bestuurders niet alleen verantwoordelijk zijn voor het goedkeuren van beveiligingsmaatregelen, maar ook aantoonbaar moeten beschikken over de kennis om deze maatregelen te beoordelen. Het Cyberbeveiligingsbesluit legt expliciet vast dat bestuurders via training moeten aantonen dat zij cyberrisico’s kunnen wegen en de juiste beslissingen kunnen nemen.
Bij ernstige overtredingen kan een toezichthouder een bestuurder tijdelijk verbieden bepaalde leidinggevende functies uit te oefenen. Deze maatregel is weliswaar een uiterste middel, maar het onderstreept hoe serieus de wetgever de bestuurlijke verantwoordelijkheid neemt. Voor directeuren en IT-managers die eindverantwoordelijkheid dragen, is dit een directe aanleiding om cybersecurity niet langer als een puur technisch vraagstuk te behandelen, maar als een bestuurlijke prioriteit.
Hoe voorkom je NIS2-boetes als organisatie?
NIS2-boetes voorkom je door tijdig en aantoonbaar te voldoen aan de zorgplicht, meldplicht en governanceverplichtingen die de wet stelt. Dat vraagt om een gestructureerde aanpak, geen eenmalige actie.
De belangrijkste stappen om sancties te voorkomen zijn:
- Voer een risicoanalyse uit voor je netwerk- en informatiesystemen en documenteer de uitkomsten zorgvuldig.
- Stel een incident response plan op en zorg dat de juiste mensen weten wat ze moeten doen bij een beveiligingsincident.
- Richt een meldproces in zodat je significante incidenten binnen de wettelijke termijn kunt rapporteren aan de bevoegde autoriteit.
- Beveilig je keten door leveranciers en ketenpartners te beoordelen op hun cybersecurityniveau en afspraken vast te leggen in contracten.
- Train je bestuurders zodat zij aantoonbaar in staat zijn cyberrisico’s te beoordelen en de juiste beslissingen te nemen.
- Leg alles vast: beleid, maatregelen, trainingen en incidenten. Aantoonbaarheid is minstens zo belangrijk als de maatregelen zelf.
Compliance is geen eindpunt maar een doorlopend proces. Organisaties die cybersecurity structureel inbedden in hun bedrijfsvoering, lopen het minste risico op sancties en staan bovendien sterker bij een eventuele inspectie.
Geldt de NIS2-richtlijn ook voor jouw organisatie?
De NIS2-richtlijn geldt voor organisaties in aangewezen sectoren die een bepaalde omvang hebben. In de meeste gevallen gaat het om organisaties met meer dan 50 medewerkers of een jaaromzet van meer dan 10 miljoen euro, actief in sectoren zoals energie, transport, zorg, drinkwater, digitale infrastructuur en ICT-dienstverlening.
Maar ook als je organisatie niet direct onder de wet valt, kan NIS2 indirect van toepassing zijn. Lever je diensten aan organisaties die wél onder NIS2 vallen, dan stellen die opdrachtgevers steeds vaker eisen aan de cybersecurity van hun leveranciers. Je bent dan misschien geen wettelijk verplichte entiteit, maar wel een schakel in een keten die aan de wet moet voldoen.
Twijfel je of jouw organisatie in scope valt? De Cyberbeveiligingswet verplicht organisaties die onder de wet vallen ook tot zelfregistratie bij de bevoegde autoriteit. Het is dus niet iets wat je kunt afwachten: je moet zelf bepalen of je in scope bent en daar actie op ondernemen.
Hoe Puur ICT helpt met NIS2-compliance
Wij begrijpen dat NIS2-compliance voor veel organisaties een complexe en tijdrovende opgave is, zeker als je geen eigen CISO of groot IT-team hebt. Als Microsoft 365-specialist en gecertificeerde ICT-dienstverlener helpen wij je stap voor stap naar aantoonbare naleving. Wat wij concreet voor je doen:
- Nulmeting en gap-analyse: we brengen je huidige beveiligingssituatie in kaart en bepalen waar de grootste risico’s en tekortkomingen zitten.
- Technische en organisatorische maatregelen: we adviseren en implementeren de juiste beveiligingsoplossingen binnen het Microsoft-ecosysteem, van security binnen Microsoft 365 tot ketenbeveiliging.
- Bestuurderstraining: via onze CBW-compliancetraining maken we bestuurders aantoonbaar bekwaam op het gebied van cyberrisico’s en hun persoonlijke aansprakelijkheid.
- Doorlopend beheer en rapportage: we ondersteunen je niet alleen bij de implementatie, maar ook bij het structureel bijhouden van documentatie, incidentregistratie en periodieke evaluaties.
- Persoonlijk aanspreekpunt: geen losse leveranciers, maar één vertrouwde partner die proactief meedenkt en heldere taal spreekt.
Wil je weten of jouw organisatie onder de NIS2-richtlijn valt en wat je moet doen om boetes te voorkomen? Neem contact met ons op voor een vrijblijvend gesprek. We helpen je graag verder, in begrijpelijke taal en met een aanpak die past bij jouw organisatie.
Gerelateerde artikelen
- Hoe werk je met meerdere mensen tegelijk aan hetzelfde document zonder versiechaos?
- Wat moet je regelen in Microsoft 365 voor een ISO 27001-certificering?
- Wat is een goede strategie om je organisatie snel te laten herstellen na een cyberaanval?
- Hoe zorg je dat je digitale werkomgeving meegroeit met de manier waarop je organisatie verandert?
- Hoe ziet een Microsoft 365-migratietraject eruit van begin tot livegang?














