NIS2based
Terug naar kennisbank
24 april 20265 min lezenRisico's

NIS2 boetes en risico's: wat staat er op het spel voor jouw bedrijf?

Een complete uitleg van de NIS2-boetes (€7-10 miljoen), de bestuurlijke aansprakelijkheid en de niet-financiële risico's. Plus een rekenvoorbeeld voor het Nederlandse MKB.

NIS2 is geen vrijblijvend kader. De Cyberbeveiligingswet kent één van de strengste boeteregimes in Nederlandse cybersecurity-wetgeving ooit, en — voor het eerst — kunnen ook bestuurders persoonlijk aansprakelijk worden gesteld.

In dit artikel zetten we alle risico's op een rij: financieel, persoonlijk, operationeel en reputationeel. Plus een concreet rekenvoorbeeld voor het MKB.

Niet zeker of je onder NIS2 valt? Doe de gratis check — in 2 minuten weet je het.

De boetes: hoeveel staat er op het spel?

NIS2 maakt onderscheid tussen twee categorieën entiteiten, met verschillende maximumboetes:

Type entiteitMax. boeteOf % wereldwijde omzet
Essentiële entiteit€10 miljoen2%
Belangrijke entiteit€7 miljoen1,4%

Belangrijk: het is altijd het hoogste van de twee. Voor een grote multinational is 2% van de wereldwijde omzet vaak véél hoger dan €10 miljoen.

Rekenvoorbeeld: MKB met €15 miljoen omzet

Stel: jij bent een belangrijke entiteit met €15 miljoen omzet.

  • 1,4% van €15 mln = €210.000
  • Maximum bedrag: €7 mln

Dus de maximale boete in dit geval: €210.000. Per overtreding.

Rekenvoorbeeld: groot bedrijf met €200 miljoen omzet

  • Essentiële entiteit
  • 2% van €200 mln = €4 miljoen
  • Maximum bedrag: €10 mln

Boete: €4 miljoen per overtreding.

Niet alleen boetes — andere sancties

Het toezichtsregime onder NIS2 is veel breder dan alleen boetes. Toezichthouders krijgen onder de Cyberbeveiligingswet ook deze bevoegdheden:

Voor essentiële entiteiten (proactief toezicht)

  • Onaangekondigde inspecties ter plaatse
  • Verplichte security-audits door externe partijen (op kosten van het bedrijf)
  • Verplichte aanpassingen aan systemen of beleid
  • Tijdelijke schorsing van bestuurders
  • Tijdelijke schorsing van certificeringen of vergunningen

Voor belangrijke entiteiten (reactief toezicht)

  • Inspecties na een incident of klacht
  • Bindende aanwijzingen
  • Boetes
  • Openbaarmaking van overtredingen (naming-and-shaming)

Bestuurlijke aansprakelijkheid: nieuw onder NIS2

Dit is misschien wel het meest fundamentele verschil met de oude wet (Wbni). Onder NIS2 zijn bestuurders persoonlijk verantwoordelijk voor de cybersecurity van hun organisatie.

Concreet betekent dit:

  1. Directie moet het beleid goedkeuren — een handtekening van de IT-manager is niet genoeg
  2. Directie moet trainingen volgen over cyberrisico's en NIS2-verplichtingen
  3. Directie kan persoonlijk worden beboet bij ernstige overtredingen
  4. Directie kan tijdelijk uit de functie worden ontheven door de toezichthouder

Voor DGA's en kleine MKB-besturen is dit een nieuwe realiteit: cybersecurity is geen IT-vraagstuk meer, maar een bestuurlijke verantwoordelijkheid.

De vier categorieën risico's

Boetes zijn het meest zichtbaar, maar lang niet altijd de grootste schade. Hier de vier risicocategorieën:

1. Financieel — directe boetes en kosten

  • NIS2-boetes (zie boven)
  • Kosten van verplichte audits en remediation
  • Stijgende verzekeringspremies

2. Operationeel — een incident zelf

De gemiddelde ransomware-aanval kost een MKB-bedrijf €250.000–€1 miljoen (downtime, herstel, data recovery). En dat is exclusief eventuele boetes voor te late melding.

3. Reputatie — naming and shaming

Bij ernstige overtredingen kan de toezichthouder publiekelijk maken dat jouw organisatie heeft gefaald. Voor B2B-bedrijven met aanbestedingsklanten kan dat existentieel zijn.

4. Contractueel — supply chain pressure

NIS2-plichtige bedrijven moeten hun leveranciers screenen op cybersecurity. Kun jij dat niet aantonen? Dan vlieg je uit aanbestedingen — ook als je zelf niet onder NIS2 valt.

Dit "trickle-down"-effect betekent dat veel meer bedrijven dan strict-juridisch nodig met NIS2 te maken krijgen. Als je een grote enterprise-klant hebt, ga dat gesprek niet uit de weg.

Wanneer kan een boete vallen?

Boetes worden niet automatisch opgelegd bij elk incident. De toezichthouder kijkt naar:

  • Ernst van de overtreding — was er sprake van grove nalatigheid?
  • Duur van de overtreding — hoe lang stond de deur open?
  • Eerdere overtredingen — recidive
  • Mate van medewerking — heb je actief meegewerkt aan onderzoek?
  • Geleden schade — voor jezelf én voor derden

Dat betekent: transparantie en snelle melding worden beloond. Probeer een incident verbergen, en je krijgt veel zwaardere sancties.

Hoe verlaag je het risico?

Het korte antwoord: wees in control en kun dat aantonen.

Praktische stappen voor MKB

  1. Doe nu de NIS2-check — bepaal of je eronder valt → start hier
  2. Voer een gap-analyse uit — welke van de 10 verplichte maatregelen heb je al?
  3. Documenteer alles — beleid, procedures, trainingen, incidenten
  4. Test je incident response — minstens 1× per jaar een tabletop-oefening
  5. Train de directie — verplicht onder NIS2, en cruciaal voor bewustwording

Conclusie

De NIS2-boetes zijn fors, maar ze zijn niet het grootste risico. Het écht grote risico is een combinatie van:

  • Een ernstig incident dat je business raakt
  • Bestuurlijke aansprakelijkheid die je persoonlijk treft
  • Reputatieschade die contracten kost
  • Verzekeringsuitsluiting omdat je geen NIS2-compliance kon aantonen

De goede boodschap: alle vier deze risico's worden drastisch verlaagd als je de basis op orde hebt. NIS2 dwingt je om dat structureel te doen.

Begin met weten waar je staat. Doe de gratis NIS2-check — daarna helpen we je verder met de gap-analyse.

Veelgestelde vragen

Krijg ik direct een boete als de wet ingaat op 1 juli 2026? Nee, toezichthouders zullen in de eerste maanden vooral inzetten op informeren en aanjagen. Maar bij een ernstig incident in die periode kan wel direct gehandhaafd worden.

Kan ik me verzekeren tegen NIS2-boetes? Bestuurlijke boetes zijn in Nederland niet verzekerbaar — dit is een principekeuze van de wetgever. Bestuurdersaansprakelijkheidsverzekeringen (D&O) dekken meestal wel de juridische kosten, maar niet de boete zelf.

Wat als mijn IT volledig is uitbesteed? Dan blijft jij verantwoordelijk. Je moet contractueel afdwingen dat je leverancier ook NIS2-conform werkt en moet dit kunnen aantonen aan de toezichthouder.

Hoe vergelijken NIS2-boetes met GDPR? Vergelijkbaar in opzet (max % omzet), maar GDPR gaat hoger: 4% wereldwijde omzet of €20 mln. NIS2 is dus iets milder, maar met persoonlijke aansprakelijkheid voor bestuurders gaat het in sommige opzichten verder.

Gratis whitepaper · 12 pagina's

De 10 stappen naar NIS2-compliance

Per maatregel: wat het is, concrete acties, en de valkuil. Direct als PDF in je inbox.

Vraag de whitepaper aan
Nieuwsbrief

Blijf op de hoogte van NIS2

Periodiek de belangrijkste updates over de Cyberbeveiligingswet, plus praktische tips voor het MKB. Geen spam, uitschrijven kan altijd.

Door je in te schrijven ga je akkoord met onze verwerking van je e-mailadres. Geen spam, makkelijk uitschrijven.