Klik op de knop inhoud bewerken om de inhoud te bewerken/toe te voegen.

Hoe hoog zijn de boetes bij niet-naleving van NIS2?

3 juni 2026

De boetes bij niet-naleving van de NIS2-richtlijn kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, en tot 7 miljoen euro of 1,4% van de jaaromzet voor belangrijke entiteiten. Welk bedrag van toepassing is, hangt af van de categorie waarin jouw organisatie valt en de ernst van de overtreding. Naast financiële sancties zijn er ook persoonlijke consequenties voor bestuurders en andere handhavingsinstrumenten die toezichthouders kunnen inzetten. In dit artikel beantwoorden we de meest gestelde vragen over NIS2-boetes, sancties en wat je kunt doen om ze te voorkomen.

Welke organisaties vallen onder de NIS2-richtlijn?

Een organisatie valt direct onder de NIS2-richtlijn als zij actief is in één van de 18 aangewezen sectoren én voldoet aan de omvangsdrempel. Middelgrote organisaties met 50 tot 249 medewerkers en meer dan 10 miljoen euro omzet vallen onder de richtlijn, net als grote organisaties met 250 of meer medewerkers en meer dan 50 miljoen euro omzet. De Nederlandse implementatie van NIS2 heet de Cyberbeveiligingswet (CBW).

De 18 sectoren zijn verdeeld in twee categorieën. Essentiële sectoren (Bijlage I) omvatten onder andere energie, transport, bankwezen, gezondheidszorg, drinkwater, digitale infrastructuur en ICT-dienstenbeheer. Belangrijke sectoren (Bijlage II) omvatten post- en koeriersdiensten, afvalbeheer, de chemische industrie, de voedingsmiddelenindustrie en digitale dienstverleners zoals zoekmachines en online marktplaatsen.

Sommige organisaties vallen ongeacht hun omvang altijd onder de wet. Dit geldt voor aanbieders van openbare elektronische communicatienetwerken, verleners van vertrouwensdiensten, DNS-dienstverleners en overheidsorganisaties.

Naast deze directe scope bestaat er ook een indirecte scope. Organisaties die leveren aan NIS2-plichtige entiteiten kunnen via ketenverantwoordelijkheid worden verplicht om beveiligingsmaatregelen te treffen. Naar schatting raakt dit 50.000 tot 100.000 extra MKB-bedrijven in Nederland. Denk aan een softwareleverancier of een facilitaire dienstverlener die toegang heeft tot systemen van een zorginstelling of energiebedrijf: die leverancier krijgt indirect te maken met NIS2-vereisten, ook al is hij zelf niet direct NIS2-plichtig.

Hoe hoog zijn de boetes voor essentiële entiteiten?

Voor essentiële entiteiten bedraagt de maximale boete bij NIS2-niet-naleving 10 miljoen euro of 2% van de totale wereldwijde jaaromzet, waarbij het hoogste bedrag van toepassing is. Dit zijn de zwaarste financiële sancties binnen de NIS2-richtlijn en ze gelden voor organisaties in de meest kritieke sectoren, zoals energie, transport, gezondheidszorg en digitale infrastructuur.

Essentiële entiteiten vallen onder het strengste toezichtregime. De toezichthouder heeft de bevoegdheid om proactief te controleren, nog voordat er sprake is van een incident of overtreding. Dit betekent dat je als essentiële entiteit op elk moment kunt worden onderworpen aan audits, inspecties en verzoeken om documentatie.

Het boetebedrag is altijd het hoogste van de twee berekeningsmethoden. Voor een grote internationale organisatie met een wereldwijde omzet van 1 miljard euro betekent 2% een potentiële boete van 20 miljoen euro. In dat geval geldt het omzetpercentage, omdat dit hoger uitvalt dan de vaste grens van 10 miljoen euro. Voor kleinere essentiële entiteiten geldt in de praktijk vaker het vaste maximumbedrag.

Hi, how are you doing?
Can I ask you something?
Hoi! Ik zie dat je je verdiept in NIS2-boetes en wat die voor jouw organisatie kunnen betekenen. Veel MKB-bedrijven worstelen op dit moment met precies deze vraag. Hoe zou jij jouw situatie omschrijven?
Dat herkennen we — veel organisaties zijn nog bezig met het in kaart brengen van hun positie. Wat past het beste bij jullie situatie op dit moment?
Dat klinkt urgent — en terecht, want de risico's bij niet-naleving zijn aanzienlijk. NTNT helpt MKB-bedrijven al meer dan 25 jaar met precies dit soort vraagstukken: van NIS2-zelfevaluatie en gap-analyse tot technische maatregelen en documentatie. Laat je gegevens achter, dan neemt ons team zo snel mogelijk contact met je op voor een vrijblijvende NIS2-scan.
Goed om te weten. Veel organisaties in jullie fase starten met een duidelijk beeld van wat er al goed gaat en wat nog ontbreekt. Welke onderwerpen spelen er bij jullie? (Meerdere antwoorden mogelijk)
Bedankt! Je aanvraag is ontvangen. Ons team bekijkt je gegevens en neemt contact met je op om te bespreken waar jouw organisatie staat ten opzichte van NIS2 en welke stappen het meest urgent zijn. Fijn dat je de tijd hebt genomen — we helpen je graag verder.
NTNT helpt MKB-bedrijven stap voor stap richting NIS2-compliance — zonder dat je verdwaalt in technische details of juridisch jargon.

Hoe hoog zijn de boetes voor belangrijke entiteiten?

Voor belangrijke entiteiten liggen de NIS2-sancties iets lager dan voor essentiële entiteiten: de maximale boete bedraagt 7 miljoen euro of 1,4% van de totale wereldwijde jaaromzet, opnieuw waarbij het hoogste bedrag geldt. Belangrijke entiteiten vallen in sectoren als de maakindustrie, afvalbeheer en digitale dienstverlening.

Het verschil in boetehoogte weerspiegelt het verschil in toezichtregime. Waar essentiële entiteiten onder proactief toezicht staan, geldt voor belangrijke entiteiten een reactief toezichtregime. Dat betekent dat de toezichthouder doorgaans pas optreedt na een melding, klacht of aanwijzing van een incident. Toch zijn de sancties ook hier aanzienlijk genoeg om serieus te nemen.

Het onderscheid tussen essentieel en belangrijk is dus niet alleen relevant voor de hoogte van de boete, maar ook voor hoe intensief je als organisatie wordt gevolgd. Beide categorieën zijn echter verplicht om dezelfde tien technische zorgplichtmaatregelen te implementeren, zoals beschreven in artikel 21 van de NIS2-richtlijn.

Welke overtredingen leiden tot de zwaarste sancties?

De zwaarste NIS2-sancties worden opgelegd bij structurele nalatigheid op de meest fundamentele verplichtingen: het ontbreken van een risicoanalyse en beveiligingsbeleid, het niet melden van een ernstig cyberincident binnen de wettelijke termijnen, en het aantoonbaar negeren van toezichtsmaatregelen. Hoe groter de impact van de overtreding op de continuïteit van diensten of de veiligheid van ketenpartners, hoe zwaarder de sanctie.

De NIS2-richtlijn schrijft tien concrete maatregelen voor waarop organisaties worden beoordeeld. Tekortkomingen op de volgende gebieden worden als bijzonder ernstig beschouwd:

  • Meldplicht: het niet of te laat melden van een cyberincident aan de toezichthouder. NIS2 schrijft strikte meldtermijnen voor, waarbij een eerste melding binnen 24 uur na ontdekking vereist is.
  • Incidentafhandeling: het ontbreken van een aantoonbaar incident response plan met heldere rolverdeling en communicatieprocedures.
  • Risicoanalyse: geen gedocumenteerde, actuele risicoanalyse of geen door het bestuur goedgekeurd cybersecuritybeleid.
  • Bedrijfscontinuïteit: geen vastgelegde back-up- en herstelprocessen, of het ontbreken van een Business Continuity Management-plan.
  • Supply chain security: het nalaten om leveranciers te beoordelen op cybersecuritymaatregelen of het niet contractueel vastleggen van beveiligingseisen.

Toezichthouders kijken bij het bepalen van de boetehoogte ook naar de intentie en het gedrag van de organisatie. Een organisatie die aantoonbaar bezig is met compliance maar nog niet volledig op orde is, wordt anders behandeld dan een organisatie die structureel niets heeft gedaan.

Zijn boetes de enige consequentie van niet-naleving?

Nee, NIS2-boetes zijn niet de enige consequentie van niet-naleving. De richtlijn introduceert ook persoonlijke bestuurdersaansprakelijkheid, de mogelijkheid van tijdelijke schorsing van leidinggevenden, en reputatieschade door verplichte publicatie van overtredingen. Voor organisaties in kritieke sectoren kan de toezichthouder bovendien operationele beperkingen opleggen.

De persoonlijke aansprakelijkheid van bestuurders is een van de meest ingrijpende vernieuwingen van NIS2. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld als zij aantoonbaar hebben nagelaten om de juiste cybersecuritymaatregelen te treffen en implementeren. Dit gaat verder dan een boete voor de organisatie: het raakt de bestuurder zelf. Mede daarom schrijft NIS2 ook een trainingsplicht voor bestuurders voor, die binnen twee jaar na inwerkingtreding van de Cyberbeveiligingswet moet zijn afgerond.

Andere mogelijke consequenties zijn:

  • Tijdelijke schorsing van leidinggevenden bij herhaalde of ernstige overtredingen
  • Verplichte publicatie van de overtreding, wat directe reputatieschade veroorzaakt bij klanten en partners
  • Bindende aanwijzingen van de toezichthouder die je verplichten specifieke maatregelen te treffen binnen een gestelde termijn
  • Verhoogde aansprakelijkheid richting klanten of ketenpartners die schade lijden door een incident dat het gevolg is van jouw nalatigheid

Hoe wordt NIS2-naleving gecontroleerd en gehandhaafd in Nederland?

In Nederland wordt de NIS2-richtlijn gehandhaafd via de Cyberbeveiligingswet (CBW), die de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) vervangt. De handhaving ligt bij sectorspecifieke toezichthouders, aangevuld met een coördinerende rol voor het Nationaal Cyber Security Centrum (NCSC). Essentiële entiteiten staan onder proactief toezicht; voor belangrijke entiteiten geldt reactief toezicht.

Proactief toezicht betekent dat de toezichthouder zonder aanleiding audits en inspecties kan uitvoeren. Reactief toezicht houdt in dat de toezichthouder optreedt naar aanleiding van een melding, incident of klacht. In beide gevallen kan de toezichthouder om documentatie vragen, systemen inspecteren en beveiligingsscans laten uitvoeren.

Organisaties die direct onder de Cyberbeveiligingswet vallen, zijn verplicht zich te registreren bij het NCSC zodra de wet in werking treedt. Deze registratie is een formele voorwaarde voor naleving en maakt het voor de toezichthouder mogelijk om een actueel beeld te houden van de NIS2-plichtige organisaties in Nederland.

Er is geen wettelijke overgangstermijn vastgesteld. In de praktijk zal handhaving in de beginfase gericht zijn op voorlichting en het stimuleren van naleving, maar dit biedt geen garantie dat sancties uitblijven. Organisaties die aantoonbaar niets hebben ondernomen, lopen ook in een vroeg stadium risico op handhavingsmaatregelen.

Wat kunnen MKB-bedrijven doen om NIS2-boetes te voorkomen?

MKB-bedrijven voorkomen NIS2-boetes door eerst te bepalen of zij direct of indirect onder de richtlijn vallen, vervolgens een gap-analyse uit te voeren op de tien verplichte maatregelen, en daarna stap voor stap de ontbrekende onderdelen te implementeren en te documenteren. Aantoonbaarheid is daarbij net zo belangrijk als de maatregelen zelf.

Een praktische aanpak begint met de NIS2-zelfevaluatie via zelfevaluatie.rdi.nl, waar je kunt controleren of jouw organisatie binnen de scope valt. Daarna volgt een concrete prioritering:

  1. Bepaal je positie: controleer sector, omvang en of je levert aan NIS2-plichtige organisaties.
  2. Voer een gap-analyse uit: welke van de tien maatregelen zijn al aanwezig, wat ontbreekt, en wat zijn quick wins?
  3. Richt kernprocessen in: stel een incident response plan op, implementeer MFA op alle systemen, zet back-uptests op en start met medewerkerstraining.
  4. Documenteer alles: beleidsdocumenten, leverancierslijsten, risicoanalyses en contractuele afspraken met leveranciers.
  5. Bouw een evidence pack op: verzamel aantoonbaar bewijs van jouw maatregelen, zoals MFA-configuratiebewijzen, patchmanagement-logs, back-up- en hersteltest-rapporten en trainingsregisters.

Kleine bedrijven met minder dan 50 medewerkers en minder dan 10 miljoen omzet vallen in principe niet direct onder NIS2. Maar als je levert aan organisaties die wel NIS2-plichtig zijn, kun je via ketenverantwoordelijkheid alsnog worden gevraagd om beveiligingsmaatregelen aan te tonen. Steeds vaker ontvangen MKB-leveranciers beveiligingsvragenlijsten van hun klanten, en wie daar geen goed antwoord op heeft, riskeert het verliezen van die klantrelatie.

Hoe wij helpen met NIS2-compliance

NIS2-compliance is geen eenmalig project, maar een doorlopend proces. Wij helpen MKB-bedrijven om stap voor stap aan de NIS2-vereisten te voldoen, zonder dat je verdwaalt in technische details of juridisch jargon. Concreet ondersteunen we je op de volgende gebieden:

  • NIS2-zelfevaluatie en gap-analyse: we bepalen samen of jouw organisatie direct of indirect onder de Cyberbeveiligingswet valt en brengen in kaart wat er nog ontbreekt.
  • Technische maatregelen: van MFA-implementatie met Cisco Duo tot patchmanagement, netwerksegmentatie en beveiligde back-upprocessen.
  • Cybersecurity en bewustzijnstraining: via ons Security Awareness Training-programma met Huntress en Phished trainen we medewerkers en voldoe je aan de NIS2-trainingsplicht, inclusief documentatie voor het evidence pack.
  • Documentatie en evidence pack: we helpen je de benodigde beleidsdocumenten, risicoanalyses en leveranciersbeoordelingen op te stellen zodat je aantoonbaar compliant bent.
  • Doorlopend beheer: via onze Managed IT-services monitoren en onderhouden we jouw IT-omgeving proactief, zodat je niet alleen nu maar ook in de toekomst aan de NIS2-vereisten voldoet.

Wil je weten waar jouw organisatie staat ten opzichte van NIS2? Neem contact op met NTNT voor een vrijblijvende NIS2-scan en ontdek welke stappen voor jou het meest urgent zijn.


Delen
Foto van Dirk-Jan Padmos

Dirk-Jan Padmos

Interesse of wil je wat meer informatie?

dirk-jan.padmos@ntnt.nl
Laatste nieuws.