Ga naar hoofdcontent
NIS2Certify
Terug naar overzicht

NIS2-boetes in 2026: €10 miljoen of 2% omzet — Wat je bestuur moet weten

Door NIS2Certify
NIS2boetesbestuurlijke aansprakelijkheidcompliancecybersecurityEU-regelgeving

Een middelgroot energiebedrijf in Duitsland krijgt een brief van de BSI. Hun NIS2-registratiedeadline lag drie maanden geleden. Ze hebben zich nooit geregistreerd. De boete? Tot €10 miljoen — of 2% van hun wereldwijde jaaromzet, naar gelang het hoogste bedrag. En onder artikel 20 van de NIS2-richtlijn kunnen de bestuurders die geen goedkeuring hebben gegeven voor cybersecurity-maatregelen persoonlijk aansprakelijk worden gesteld.

Dit is geen hypothetisch scenario. (Wilt u het volledige scala aan handhavingsbevoegdheden naast boetes begrijpen? Lees onze eerdere analyse: 7 NIS2-sancties die erger zijn dan geld.) De Duitse implementatiewet voor NIS2 is sinds december 2025 van kracht, en ongeveer 29.500 bedrijven vallen nu onder toezicht van de BSI. Nederland, Frankrijk en tientallen andere EU-lidstaten volgen snel.

Als jouw organisatie onder NIS2 valt en je bestuur heeft nog geen stappen ondernomen, dan sluit het venster om je zonder druk voor te bereiden snel.

Hoe NIS2-boetes werken

De NIS2-richtlijn (EU 2022/2555) stelt twee categorieën boetes vast onder artikel 34. De bedragen hangen af van of je organisatie als essentiële of belangrijke entiteit is ingedeeld.

Essentiële entiteiten — energie, vervoer, gezondheidszorg, bankieren, digitale infrastructuur, waterbeheer en ICT-dienstverleners — riskeren boetes tot €10 miljoen of 2% van de totale wereldwijde jaaromzet, naar gelang het hoogste bedrag.

Belangrijke entiteiten — postdiensten, afvalbeheer, voedselproductie, chemie, fabrieken en digitale aanbieders — riskeren boetes tot €7 miljoen of 1,4% van de totale wereldwijde jaaromzet, naar gelang het hoogste bedrag.

De clausule "naar gelang het hoogste bedrag" is essentieel. Voor een bedrijf met €800 miljoen jaaromzet komt 2% neer op €16 miljoen — veel hoger dan het minimum van €10 miljoen. De vaste bedragen gelden alleen voor kleinere organisaties.

Unknown comparison key: finesComparison

Deze boetes gelden voor twee soorten tekortkomingen: het niet implementeren van vereiste cybersecurity-maatregelen (artikel 21) en het niet voldoen aan meldingsverplichtingen voor incidenten (artikel 23). Nationale autoriteiten kunnen ook periodieke strafbetalingen opleggen om doorlopende naleving af te dwingen.

Een concreet voorbeeld

Denk aan een beheerde IT-serviceprovider met €50 miljoen jaaromzet, ingedeeld als essentiële entiteit. Als een toezichthouder constateert dat zij geen ordentelijke incident response-procedures en supply chain security-controles hebben, bedraagt de maximale boete €10 miljoen (omdat 2% van €50M = €1M, dus het vaste maximum geldt). Dat is 20% van hun jaaromzet — genoeg om het voortbestaan van het bedrijf in gevaar te brengen.

Je bestuur draagt persoonlijke verantwoordelijkheid

Artikel 20 van de NIS2-richtlijn introduceert iets wat veel bestuurders nog niet volledig hebben begrepen: bestuurlijke aansprakelijkheid voor cybersecurity.

Je bestuur moet:

  1. Goedkeuren van de cybersecurity risicomanagementmaatregelen die je organisatie onder artikel 21 implementeert
  2. Toezicht houden op de implementatie van deze maatregelen
  3. Regelmatige cybersecurity-training volgen — en ervoor zorgen dat medewerkers ook doorlopende training krijgen
  4. Aansprakelijkheid accepteren voor schendingen van artikel 21

Dit is geen verplichting die je kunt delegeren. De richtlijn stelt expliciet dat leidinggevende organen aansprakelijk kunnen worden gesteld voor niet-naleving. Voor essentiële entiteiten gaan artikelen 32 en 33 nog verder: bevoegde autoriteiten kunnen rechtbanken verzoeken om individuele bestuurders tijdelijk te verbieden leidinggevende functies uit te oefenen totdat de organisatie compliance bereikt.

De precieze reikwijdte van persoonlijke aansprakelijkheid verschilt per lidstaat — Duitsland, Italië en België hebben al specifieke mechanismen voor persoonlijke aansprakelijkheid in hun nationale wetten opgenomen. Maar de richting is duidelijk in heel de EU: cybersecurity is nu een bestuursniveau-verantwoordelijkheid, geen IT-afdeling probleem.

Wat dit in de praktijk betekent

Als je organisatie een ernstig cybersecurity-incident ervaart en de toezichthouder constateert dat het bestuur nooit een cybersecurity-beleid heeft goedgekeurd, nooit training heeft gevolgd, en de risicopositie van de organisatie nooit heeft herzien — dan reiken de persoonlijke gevolgen voor bestuurders veel verder dan de bedrijfsboete.

De 10 maatregelen die je organisatie moet implementeren

Artikel 21 schrijft tien minimale cybersecurity risicomanagementmaatregelen voor. Deze zijn niet optioneel en gelden voor elke entiteit die onder de regelgeving valt:

  1. Risicoanalyse en informatiebeveiliging beleid — gedocumenteerd, goedgekeurd door het bestuur
  2. Incident handling — procedures die ondersteuning bieden voor meldingsdeadlines van 24/72 uur
  3. Bedrijfscontinuïteit — back-upbeheer, rampenherstel en crisisbeheer
  4. Supply chain security — beveiligingsvereisten voor directe leveranciers en dienstverleners
  5. Beveiliging in systeemaanschaf, -ontwikkeling en -onderhoud — inclusief kwetsbaarheidsbehandeling
  6. Effectiviteitsevaluatie — beleid en procedures om te controleren of je maatregelen daadwerkelijk werken
  7. Cybersecurity-hygiëne en training — basismaatregelen voor alle medewerkers
  8. Cryptografiebeleidsregels — inclusief encryptie waar van toepassing
  9. Personeelsbeveiliging, toegangscontrole en assetbeheer
  10. Multi-factor authenticatie — en beveiligde communicatie waar van toepassing
Artikel 21 — 10 NIS2 Cybersecuritymaatregelen
Artikel 21
10 Cybersecuritymaatregelen
Governance & Strategie
1Risicoanalyse & informatiebeveiligingsbeleid
6Effectiviteitsbeoordeling van beveiligingsmaatregelen
Incidenten & Continuïteit
2Incidentafhandeling & melding
3Bedrijfscontinuïteit & disaster recovery
Toeleveringsketen & Systemen
4Beveiliging van de toeleveringsketen
5Beveiliging bij de ontwikkeling van netwerk- en informatiesystemen
Technische Beheersing
8Cryptografie & versleuteling
10Multi-factor authenticatie & veilige communicatie
Mensen & Middelen
7Cyberhygiëne & training
9HR-beveiliging & toegangscontrole

Niet zeker of uw organisatie aan deze 10 eisen voldoet? Doe de gratis NIS2 Quick Scan — het brengt uw huidige positie in kaart ten opzichte van Artikel 21 in minder dan 10 minuten.

De maatregelen die het vaakst ontbreken bij middelgrote organisaties zijn supply chain security, formele incident handling-procedures, effectiviteitsevaluatie en MFA-implementatie buiten e-mail. Dit zijn ook de gebieden waar toezichthouders naar verwachting het eerst hun focus leggen.

Incidentmeldingen: de 24-72-30 tijdlijn

Artikel 23 stelt strikte meldingsdeadlines vast waar veel organisaties niet op voorbereid zijn:

StadiumDeadlineWat je moet melden
Vroege waarschuwing24 uur nadat je ervan bewust bent gewordenOf het incident vermoedelijk malafide is; potentiële grensoverschrijdende gevolgen
Incidentmelding72 uur nadat je ervan bewust bent gewordenBijgewerkte informatie, inleidende ernstigheidsgraad, indicatoren van inbreuk
Eindrapport1 maand na meldingOorzaakanalyse, getroffen maatregelen, volledige impactbeoordeling
NIS2 Incidentmeldingstijdlijn
24h
Vroege Waarschuwing
Meld het significante incident binnen 24 uur na ontdekking bij de bevoegde autoriteit (CSIRT/NCA).
72h
Incidentmelding
Dien binnen 72 uur een gedetailleerde melding in met een eerste beoordeling van ernst, impact en indicatoren van compromittering.
1mo
Eindrapport
Lever binnen één maand een uitgebreid eindrapport op met oorzaakanalyse, genomen maatregelen en grensoverschrijdende impact.

Het missen van deze deadlines stelt je organisatie bloot aan dezelfde boetes onder artikel 34 als het niet implementeren van beveiligingsmaatregelen. De 24-uurs vroege waarschuwing is bijzonder uitdagend — het vereist dat je organisatie reeds over monitoring-, classificatie- en escalatieprocessen beschikt voordat een incident plaatsvindt.

Stand van zaken bij handhaving

Het handhavingslandschap in Europa is ongelijk, maar versnelt:

Duitsland is volledig operationeel. De NIS2UmsuCG is op 6 december 2025 van kracht geworden. Het BSI-registratieportaal opende op 6 januari 2026, met registratiedeadline 6 maart 2026. Ongeveer 29.500 entiteiten vallen onder het bereik — een stijging van 4.500 onder het vorige NIS1-regime.

Nederland volgt snel. De Cyberbeveiligingswet (Cbw) stond eind maart 2026 in parlementaire behandeling, met verwachte inwerkingtreding in Q2 2026. De RDI zal digitale infrastructuur toezien; ILT behartigt vervoer. Registratieinfrastructuur is al beschikbaar voor vroege voorbereiding.

Frankrijk heeft zijn ReCyF-framework via ANSSI gelanceerd (maart 2026) met 20 beveiligingsdoelstellingen voor essentiële entiteiten en 15 voor belangrijke entiteiten. Frankrijks transpositiewet is echter nog niet aangenomen — parlementaire behandeling staat gepland voor juli 2026.

België, Italië, Kroatië, Hongarije en verschillende andere lidstaten hebben de richtlijn volledig omgezet. De Europese Commissie diende in mei 2025 beredeneerde adviezen in bij 19 lidstaten wegens overschrijding van de oorspronkelijke deadline van oktober 2024.

NIS2 Implementatiestatus per Land (2025–2026)
Volledig van kracht
België
Kroatië
Hongarije
Litouwen
Letland
Italië
6 landen
Aangenomen — eind 2025
Duitsland
Tsjechië
Finland
3 landen
In uitvoering — verwacht 2026
Nederland
Frankrijk
Spanje
Polen
Oostenrijk
Zweden
Ierland
7 landen

De essentie: handhaving is geen toekomstig probleem. In meerdere EU-landen gebeurt dit nu.

Wat je bestuur deze week moet doen

Je hoeft niet alles in één keer op te lossen. Maar je bestuur moet wel beginnen — zichtbaar, formeel en gedocumenteerd.

Stap 1: Bepaal je indeling. Ben je een essentiële of belangrijke entiteit? De drempels zijn helder: 50+ medewerkers of €10M+ omzet in een gedekte sector. Sommige entiteiten (DNS-providers, vertrouwensdiensten) vallen altijd onder bereik, ongeacht omvang.

Stap 2: Zorg voor formele bestuurlijke betrokkenheid. Plan een bestuursvergadering in waar een cybersecurity risicomanagementbenadering wordt goedgekeurd. Documenteer dit. Dit behandelt rechtstreeks de aansprakelijkheidsverplichting onder artikel 20.

Stap 3: Boek management training. De richtlijn vereist dit. Eén sessie volstaat niet — dit moet doorlopend plaatsvinden. Zorg ervoor dat je bestuurders kunnen aantonen dat zij de cyberrisicopositie van de organisatie begrijpen.

Stap 4: Evalueer je huidige tekortkomingen. Vergelijk je bestaande beveiligingsmaatregelen met de 10 vereisten van artikel 21. Waar ben je het zwakst? Supply chain security en incident response zijn veel voorkomende leemtes.

Stap 5: Bereid je rapportagecapaciteit voor. Kan jouw organisatie een incident binnen 24 uur detecteren, classificeren en melden? Zo niet, dan moet dit proces nu worden opgebouwd — niet na het eerste incident.

Wil je weten hoe jouw organisatie ervoor staat? Start de gratis NIS2 Quick Scan — het duurt 10 minuten en geeft je een duidelijk beeld van je compliance-lacunes tegen artikel 21.

De kosten van uitstel

Elke maand vertraging vergroot je risico-expositie. Duitsland handhaaft al. Nederland is enkele weken verwijderd. Frankrijk, Spanje en Polen bevinden zich in gevorderde stadia van omzetting.

NIS2-boetes zijn ontworpen om proportioneel maar betekenisvol te zijn — groot genoeg dat het negeren van de richtlijn nooit de economisch rationele keuze is. En met persoonlijke bestuurlijke aansprakelijkheid nu ingeschreven in EU-wetgeving, reiken de gevolgen veel verder dan de balans.

De organisaties die nu handelen, zullen minder uitgeven, minder verrassingen tegenkomen en de drukte voorkomen wanneer handhaving serieus van start gaat. De compliancereis is haalbaar — maar alleen als je begint voordat de toezichthouder dat doet.

Gerelateerde lectuur: 7 NIS2-sancties die erger zijn dan geld — Naast boetes geeft NIS2 toezichthouders de bevoegdheid om bestuurders te schorsen, uw organisatie publiekelijk te benoemen en uw activiteiten op te schorten. Ken het volledige plaatje.