Conformité

NIS2-sancties en boetes: de complete gids

Boetes tot 10 miljoen euro of 2% omzet. Ontdek de NIS2-sancties, bestuurdersaansprakelijkheid en hoe u risico's beperkt.

19 mars 20265 min de lectureWarDek Team

De financiële tanden van NIS2

De NIS2-richtlijn onderscheidt zich van zijn voorganger door de aanzienlijk zwaardere sancties. Waar de oorspronkelijke NIS-richtlijn geen geharmoniseerde boetebedragen kende, introduceert NIS2 een sanctieregime dat qua impact vergelijkbaar is met de AVG (GDPR).

Voor Nederlandse organisaties betekent dit concreet: niet-naleving kan leiden tot boetes die de continuïteit van uw onderneming bedreigen.

Boeteschalen per categorie

NIS2 hanteert twee niveaus van maximumboetes, afhankelijk van de classificatie van uw organisatie:

Essentiële entiteiten

| Sanctie | Maximum | |---|---| | Administratieve boete | 10 miljoen euro of 2% wereldwijde jaaromzet (hoogste telt) | | Bevel tot naleving | Onbeperkt (dwangsom per dag mogelijk) | | Opschorting certificering | Tijdelijk verlies van operationele vergunning |

Belangrijke entiteiten

| Sanctie | Maximum | |---|---| | Administratieve boete | 7 miljoen euro of 1,4% wereldwijde jaaromzet (hoogste telt) | | Bevel tot naleving | Dwangsom per dag mogelijk | | Publieke bekendmaking | Naming and shaming bij niet-naleving |

De wereldwijde jaaromzet is het criterium — niet alleen de omzet in Nederland of de EU. Voor organisaties met internationale activiteiten kan dit de boete aanzienlijk verhogen.

Bestuurdersaansprakelijkheid: persoonlijk risico

Een van de meest opvallende aspecten van NIS2 is de persoonlijke aansprakelijkheid van bestuurders en directieleden. Dit gaat verder dan wat de meeste bestuurders gewend zijn op het gebied van cybersecurity.

Wat houdt dit in?

Praktische implicaties

Dit betekent dat de directie niet langer kan zeggen: "Dat is iets voor IT." Cybersecurity is een bestuurlijke verantwoordelijkheid, en de richtlijn formaliseert dit met concrete consequenties.

Welke overtredingen leiden tot sancties?

De toezichthouder kan sancties opleggen voor onder meer:

  1. Niet voldoen aan beveiligingsmaatregelen — onvoldoende risicobeheersing, geen incident response plan, zwakke toegangscontrole
  2. Niet melden van incidenten — overschrijding van de 24-uurs/72-uurs/1-maand meldtermijnen
  3. Onvoldoende medewerking aan toezicht — weigering van audit, onvolledige informatieverstrekking
  4. Nalatigheid in supply chain security — geen beoordeling van leveranciersrisico's
  5. Ontbreken van bestuursgoedkeuring — geen aantoonbare betrokkenheid directie bij cybersecuritybeleid

Handhaving in Nederland

In het Nederlandse systeem zijn meerdere toezichthouders betrokken bij NIS2-handhaving:

De toezichthouders krijgen vergaande bevoegdheden:

Verzachtende en verzwarende omstandigheden

Bij het bepalen van de boetehoogte houden toezichthouders rekening met:

Verzachtend

Verzwarend

5 strategieën om boeterisico's te beperken

1. Documenteer alles

Aantoonbare compliance is essentieel. Documenteer uw risicoanalyses, beveiligingsmaatregelen, trainingen en beslissingen. Bij een audit wilt u bewijs kunnen overleggen.

2. Betrek het bestuur formeel

Zorg dat cybersecuritybeslissingen op bestuursniveau worden genomen en gedocumenteerd. Bestuurlijke goedkeuring van het beveiligingsbeleid moet aantoonbaar zijn.

3. Implementeer continue monitoring

Eenmalige compliance is onvoldoende. Implementeer systemen die uw beveiligingsstatus doorlopend bewaken en afwijkingen signaleren.

4. Train uw medewerkers

Menselijke fouten zijn de belangrijkste oorzaak van beveiligingsincidenten. Investeer in bewustwordingstrainingen en test de effectiviteit ervan.

5. Bereid uw incident response voor

Een goed voorbereid incident response plan kan het verschil maken tussen een beheersbaar incident en een catastrofe — zowel qua impact als qua sancties.

NIS2 vs. AVG: dubbele aansprakelijkheid

Organisaties moeten zich bewust zijn dat een cyberincident zowel onder NIS2 als onder de AVG kan vallen. Als bij een datalek zowel de meldplicht van NIS2 als die van de AVG van toepassing is, gelden beide sanctieregimes. De boetes zijn niet cumulatief voor dezelfde overtreding, maar verschillende aspecten van hetzelfde incident kunnen wel tot afzonderlijke boetes leiden.

Handhavingspraktijk in Nederland

De Nederlandse toezichthouders hanteren een gefaseerde handhavingsaanpak. In de eerste periode na inwerkingtreding van de Cyberbeveiligingswet ligt de nadruk op voorlichting en begeleiding. Organisaties die aantoonbaar bezig zijn met compliance maar nog niet volledig voldoen, kunnen rekenen op een waarschuwing en hersteltermijn voordat zwaardere sancties worden overwogen.

Dit betekent echter niet dat organisaties kunnen afwachten. De Rijksinspectie Digitale Infrastructuur (RDI) en sectorale toezichthouders bouwen hun handhavingscapaciteit actief op. Organisaties die geen enkele stap hebben gezet richting compliance, lopen het risico als eerste in het vizier te komen bij proactieve handhavingsacties.

Het is ook belangrijk om te weten dat NIS2-sancties naast eventuele AVG-boetes van de Autoriteit Persoonsgegevens kunnen worden opgelegd. Een enkel beveiligingsincident waarbij ook persoonsgegevens betrokken zijn, kan dus leiden tot sancties onder beide regelgevingskaders.

Conclusie

De sancties onder NIS2 zijn geen theoretisch risico — ze zijn ontworpen om organisaties te motiveren hun cybersecurity serieus te nemen. Met boetes tot 10 miljoen euro en persoonlijke bestuurdersaansprakelijkheid is de boodschap helder: cybersecurity is een bestuurlijke prioriteit.

Scan uw website gratis met WarDek — OWASP, NIS2, AVG, AI Act compliance in één scan.

#NIS2#boetes#sancties#compliance

Scannez votre site gratuitement

WarDek détecte les vulnérabilités mentionnées dans cet article en quelques secondes.

Lancer un scan gratuitVoir les offres WarDek
Retour à Conformité