Als je niet voldoet aan de NIS2-richtlijn, kun je te maken krijgen met boetes tot 10 miljoen euro of 2% van je wereldwijde jaaromzet, afhankelijk van welk bedrag hoger uitvalt. Bovendien kunnen bestuurders persoonlijk aansprakelijk worden gesteld. In Nederland wordt NIS2 vertaald naar de Cyberbeveiligingswet, die naar verwachting in het tweede kwartaal van 2026 in werking treedt. In dit artikel beantwoorden we de meest gestelde vragen over NIS2-sancties, toezicht en wat je als MKB-bedrijf kunt doen om compliant te blijven.
Hoe hoog kunnen de NIS2-boetes oplopen?
De NIS2-boetes kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet van een organisatie, waarbij het hoogste bedrag van toepassing is. Dit geldt voor zogenoemde essentiële entiteiten. Voor belangrijke entiteiten liggen de maximale boetes iets lager: tot 7 miljoen euro of 1,4% van de jaaromzet.
De hoogte van een boete hangt af van meerdere factoren, zoals de ernst van de overtreding, hoe lang de niet-naleving heeft geduurd en of de organisatie aantoonbaar stappen heeft gezet om risico’s te beheersen. Een eenmalige fout waarbij je direct corrigerend hebt gehandeld, weegt anders dan structurele nalatigheid zonder enige actie.
Naast financiële sancties kan de toezichthouder ook andere maatregelen opleggen, zoals een tijdelijk verbod op bepaalde activiteiten, verplichte audits of het openbaar maken van overtredingen. Die reputatieschade kan voor veel organisaties even ingrijpend zijn als de boete zelf.
Wie is verantwoordelijk als een organisatie de NIS2 overtreedt?
Bij een overtreding van de NIS2-richtlijn is in eerste instantie de organisatie zelf verantwoordelijk. Maar de richtlijn gaat verder: bestuurders en directieleden kunnen persoonlijk aansprakelijk worden gesteld als zij onvoldoende toezicht hebben gehouden op de naleving van de beveiligingsverplichtingen.
Dit is een belangrijk verschil met eerdere regelgeving. Cybersecurity is niet langer alleen een IT-vraagstuk, maar een bestuurlijke verantwoordelijkheid. Directeuren en managers worden geacht actief betrokken te zijn bij het risicobeheer rondom digitale veiligheid. Zij moeten aantoonbaar weten welke risico’s er spelen en welke maatregelen er zijn genomen.
Persoonlijke aansprakelijkheid betekent in de praktijk dat bestuurders kunnen worden verplicht trainingen te volgen, dat hun naam openbaar wordt gemaakt bij ernstige overtredingen, of dat zij tijdelijk worden uitgesloten van bepaalde functies. Het is dus verstandig dat ook het management actief betrokken is bij het NIS2-traject binnen de organisatie.
Welke organisaties vallen onder de NIS2-plicht?
De NIS2-richtlijn is van toepassing op middelgrote en grote organisaties in kritieke sectoren. Denk aan sectoren zoals energie, transport, gezondheidszorg, drinkwater, digitale infrastructuur en ICT-dienstverlening. Organisaties met meer dan 50 medewerkers of een jaaromzet van meer dan 10 miljoen euro in deze sectoren vallen in principe onder de wet.
Er wordt onderscheid gemaakt tussen twee categorieën:
- Essentiële entiteiten: grote organisaties in de meest kritieke sectoren, zoals energie, transport en gezondheidszorg.
- Belangrijke entiteiten: middelgrote organisaties in kritieke sectoren of grote organisaties in minder kritieke sectoren.
Belangrijk om te weten: ook als je organisatie zelf niet direct onder de NIS2-plicht valt, kun je er toch mee te maken krijgen. Klanten die wél onder de wet vallen, zijn namelijk verplicht eisen te stellen aan hun leveranciers en ketenpartners. Dit noemen we ketenverantwoordelijkheid. Als jij software levert, IT beheert of data verwerkt voor een NIS2-plichtige organisatie, kun je worden gevraagd aan te tonen dat jouw beveiliging op orde is. Bekijk ook onze informatie over ICT-beveiliging voor het MKB voor meer context.
Wat controleert de toezichthouder bij een NIS2-audit?
Bij een NIS2-audit controleert de toezichthouder of jouw organisatie aantoonbaar risicobeheer toepast en passende technische en organisatorische maatregelen heeft genomen om digitale risico’s te beheersen. Het gaat niet alleen om het hebben van beveiligingsmaatregelen, maar om te kunnen bewijzen dat ze effectief zijn.
Concreet kijkt de toezichthouder onder andere naar:
- Of je een actuele risicoanalyse hebt uitgevoerd
- Of er beleid is voor toegangsbeheer, encryptie en patchbeheer
- Of medewerkers aantoonbaar zijn getraind op cybersecurity
- Of er een incidentresponsplan aanwezig is
- Of je leveranciers en ketenpartners ook voldoen aan beveiligingseisen
- Of incidenten tijdig zijn gemeld bij de bevoegde autoriteit
Documentatie speelt een cruciale rol. Je moet niet alleen maatregelen hebben getroffen, maar ook kunnen aantonen dat je dat hebt gedaan. Organisaties die al werken met een gestructureerd beveiligingsframework, zoals ISO 27001, staan hierbij sterker.
Wanneer moet je een beveiligingsincident melden onder NIS2?
Onder NIS2 ben je verplicht een significant beveiligingsincident binnen 24 uur te melden bij de bevoegde toezichthouder. Een incident is significant als het ernstige operationele verstoringen veroorzaakt of andere organisaties kan treffen. Binnen 72 uur volgt een uitgebreidere melding, en binnen een maand een volledig rapport.
Een incident hoeft niet per se een datalek te zijn. Ook een succesvolle cyberaanval die jouw systemen tijdelijk heeft platgelegd, of een incident dat jouw dienstverlening aan klanten heeft verstoord, valt onder de meldplicht. De drempel ligt bewust laag: liever een melding te veel dan te weinig.
Het niet of te laat melden van een incident is zelf ook een overtreding die tot boetes kan leiden. Zorg daarom dat je intern een duidelijk proces hebt voor het herkennen, registreren en melden van incidenten. Dat begint bij bewustzijn bij medewerkers en goede monitoring van je systemen.
Hoe voorkom je NIS2-boetes als MKB-bedrijf?
Als MKB-bedrijf voorkom je NIS2-boetes door tijdig te beginnen met een risicoanalyse, de juiste technische maatregelen te treffen en een duidelijk incidentmeldproces in te richten. Je hoeft geen groot budget of een grote IT-afdeling te hebben om compliant te zijn, maar je moet wel aantoonbaar werk maken van digitale veiligheid.
Praktische stappen die je kunt zetten:
- Breng in kaart of jouw organisatie onder de NIS2-plicht valt
- Voer een risicoanalyse uit en documenteer de uitkomsten
- Activeer multifactorauthenticatie (MFA) voor alle gebruikers
- Zorg voor een actueel patchbeheerproces
- Stel een toegangsbeleid op: wie heeft toegang tot welke systemen?
- Train medewerkers regelmatig op phishing en andere dreigingen
- Leg afspraken met leveranciers vast over hun beveiligingsniveau
Veel van deze maatregelen zijn te realiseren met tools die je mogelijk al gebruikt, zoals Microsoft 365. Microsoft 365-beveiliging biedt ingebouwde functies voor toegangsbeheer, encryptie en compliance-rapportage die direct bijdragen aan NIS2-naleving.
Hoe IT Aanspreekpunt helpt met NIS2-compliance
NIS2-compliance vraagt om concrete actie, maar je hoeft dat niet alleen te doen. Wij helpen MKB-bedrijven stap voor stap om aan de Cyberbeveiligingswet te voldoen, zonder dat jij je hoeft te verdiepen in alle juridische en technische details.
Wat wij voor je regelen:
- Een risicoanalyse afgestemd op jouw organisatie en sector
- Implementatie van MFA, encryptie, patchbeheer en toegangsbeleid
- Inrichting van Microsoft 365 als beveiligde werkomgeving
- Compliance-rapportage waarmee je aantoonbaar voldoet aan de eisen
- Begeleiding bij ISO 27001-certificering als extra bewijs van jouw beveiligingsniveau
- Continu toezicht via monitoring en updates van je systemen
We nemen de tijd om jouw organisatie echt te leren kennen, zodat we geen standaardoplossing leveren maar een aanpak die past bij jouw situatie. Wil je weten waar jouw organisatie nu staat en wat er nog moet gebeuren? Neem contact met ons op voor een vrijblijvend gesprek.