Klik op de knop inhoud bewerken om de inhoud te bewerken/toe te voegen.

Wat als je niet voldoet aan NIS2?

22 mei 2026

Als je niet voldoet aan NIS2, riskeer je boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van of je organisatie als essentieel of belangrijk wordt aangemerkt. Daarnaast kunnen bestuurders persoonlijk aansprakelijk worden gesteld bij grove nalatigheid. De Cyberbeveiligingswet treedt naar verwachting in werking op 1 juli 2026, zonder overgangstermijn. In dit artikel beantwoorden we de meest gestelde vragen over de gevolgen van niet-naleving, wie verantwoordelijk is en hoe je alsnog in beweging komt.

Welke sancties staan er op het niet naleven van NIS2?

Niet voldoen aan NIS2 kan leiden tot boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële organisaties. Voor belangrijke organisaties gelden boetes tot 7 miljoen euro of 1,4% van de omzet. Daarnaast zijn er niet-financiële sancties die direct ingrijpen op de bedrijfsvoering.

De sancties onder de Nederlandse Cyberbeveiligingswet zijn bewust zwaar neergezet, vergelijkbaar met de AVG. Dat is geen toeval. De Europese wetgever wil dat NIS2 serieus wordt genomen, net zoals de introductie van de AVG in 2018 de omgang met persoonsgegevens fundamenteel veranderde. De toezichthouder heeft meerdere instrumenten tot zijn beschikking:

  • Financiële boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet (essentiële entiteiten)
  • Bindende aanwijzingen om specifieke maatregelen te nemen binnen een bepaalde termijn
  • Tijdelijke schorsing van een bestuurder als verantwoordelijke bij herhaaldelijke of ernstige overtredingen
  • Verplichte publicatie van de overtreding, wat reputatieschade veroorzaakt
  • Persoonlijke aansprakelijkheid van individuele bestuurders bij grove nalatigheid

Een belangrijk onderscheid: het niet tijdig melden van een beveiligingsincident kan op zichzelf al leiden tot handhaving, los van de vraag of het incident zelf vermijdbaar was. Onder NIS2 moet een eerste melding binnen 24 uur plaatsvinden. Dat is strenger dan de 72-uurtermijn die de AVG hanteert voor datalekken.

Wie is verantwoordelijk als jouw organisatie niet voldoet?

De organisatie zelf is primair verantwoordelijk voor NIS2-naleving. Maar anders dan bij de AVG kan onder NIS2 ook de individuele bestuurder persoonlijk aansprakelijk worden gesteld bij grove nalatigheid. Onwetendheid is daarbij geen excuus.

NIS2 brengt cybersecurity en digitale beveiliging expliciet naar de boardroom. Bestuurders zijn verplicht aantoonbaar training te hebben gevolgd om cyberrisico’s te kunnen beoordelen. Die trainingsplicht moet binnen twee jaar na inwerkingtreding zijn afgerond. Dat betekent dat de klok nu al tikt.

Concreet betekent persoonlijke aansprakelijkheid dat een bestuurder bij grove nalatigheid kan worden geconfronteerd met:

  • Persoonlijke boetes opgelegd door de toezichthouder
  • Juridische procedures van aandeelhouders, klanten of partners die schade hebben geleden
  • Tijdelijke schorsing als verantwoordelijke bestuurder
  • Reputatieschade die de verdere carrière raakt

Wat veel directeuren zich niet realiseren: het uitbesteden van IT aan een leverancier verplaatst de NIS2-zorgplicht niet. De verantwoordelijkheid blijft bij de organisatie zelf. Je mag als bestuurder verwachten dat jouw IT-partner goed werk levert, maar je bent zelf verantwoordelijk voor het toezicht daarop en voor het stellen van contractuele eisen aan die leverancier.


Hi, how are you doing?
Can I ask you something?
Hoi! Ik zie dat je je verdiept in NIS2 en de gevolgen van niet-naleving. Veel MKB-bedrijven worstelen op dit moment met precies dezelfde vraag: waar staan we eigenlijk? Hoe zou jij jullie situatie omschrijven?
Dat begrijpen we goed — de deadline van 1 juli 2026 nadert en er is geen overgangstermijn. Veel organisaties in dezelfde situatie starten met een scope-analyse en gap-analyse om snel inzicht te krijgen en gericht te handelen. Wat speelt er bij jullie het meest?
Dat is precies waar veel MKB-bedrijven nu staan. Of je nu direct NIS2-plichtig bent, indirect via een klant of partner, of via marktdruk — de gevolgen kunnen groot zijn. Wat beschrijft jouw organisatie het beste?
Op basis van wat je hebt aangegeven, kan een van onze specialisten jullie snel een helder beeld geven van waar jullie staan en welke stappen nodig zijn. NTNT helpt MKB-bedrijven al meer dan 25 jaar met IT en cybersecurity — ook met NIS2-compliance, stap voor stap. Laat je gegevens achter en we nemen contact met je op.
Bedankt! Jouw gegevens zijn ontvangen. Ons team bekijkt jouw aanvraag en neemt contact met je op om samen naar jullie NIS2-situatie te kijken. Fijn dat je de eerste stap hebt gezet!
Bij vragen kun je ons altijd bereiken via de contactpagina op ntnt.nl.

Hoe groot is de kans dat niet-naleving wordt ontdekt?

De kans op ontdekking is reëel en neemt toe naarmate de Cyberbeveiligingswet verder wordt geïmplementeerd. In de beginperiode zal handhaving zich richten op voorlichting en bewustwording, maar dat biedt geen garantie. Drie concrete situaties maken niet-naleving zichtbaar.

Ten eerste vergroot een beveiligingsincident de kans op ontdekking direct. Als jouw organisatie slachtoffer wordt van een cyberaanval en je hebt de meldplicht niet nageleefd, of je kunt niet aantonen dat je de verplichte maatregelen had getroffen, dan volgt handhaving bijna automatisch. Het incident is tegelijk het bewijs van niet-naleving.

Ten tweede spelen klanten en ketenpartners een grote rol. NIS2-plichtige organisaties zijn verplicht hun leveranciers te screenen. Als jouw klant een beveiligingsvragenlijst stuurt en jij kunt die niet beantwoorden, wordt niet-naleving zichtbaar zonder dat de toezichthouder er aan te pas komt. De markt dwingt naleving af, naast de wet.

Ten derde zijn er actieve toezichtmechanismen. De toezichthouder kan steekproefsgewijs audits uitvoeren of reageren op signalen van derden. Organisaties in de 18 aangewezen sectoren staan op de radar, zeker als ze eerder incidenten hebben gehad of als ze kritieke diensten verlenen aan andere organisaties.

Wat zijn de operationele gevolgen naast de boetes?

Naast financiële boetes zijn de operationele gevolgen van niet-naleving minstens zo ingrijpend. Denk aan verlies van klanten en opdrachten, verstoorde bedrijfsvoering door verplichte maatregelen en reputatieschade die moeilijk te herstellen is.

Voor MKB-bedrijven zijn de indirecte gevolgen vaak het meest voelbaar:

  • Verlies van opdrachten: Aanbestedingen en overheidscontracten vragen steeds vaker om bewijs van cybersecuritymaatregelen. Zonder NIS2-compliance of een erkend keurmerk val je buiten de selectie.
  • Hogere verzekeringspremies of geen dekking: Cyberverzekeraars stellen hogere eisen. Wie niet kan aantonen dat basisbeveiligingsmaatregelen zijn getroffen, betaalt meer of krijgt geen dekking bij een incident.
  • Verstoorde klantrelaties: Als jouw klant NIS2-plichtig is, moet die aantonen dat jij als leverancier veilig bent. Kun jij dat niet bewijzen, dan riskeer je het verlies van die klant.
  • Verplichte herstelmaatregelen: De toezichthouder kan bindende aanwijzingen opleggen. Die maatregelen doorvoeren kost tijd en geld, vaak meer dan wanneer je proactief had gehandeld.
  • Reputatieschade door publicatie: De toezichthouder kan overtredingen openbaar maken. Dat soort publiciteit is voor veel MKB-bedrijven moeilijker te herstellen dan een boete.

Kortom: de gevolgen van niet-naleving beperken zich niet tot een boetebedrag. Ze raken de kern van hoe jouw bedrijf opereert, hoe klanten jou zien en hoe jij je kunt onderscheiden in de markt.

Valt jouw bedrijf eigenlijk onder de NIS2-verplichting?

Of jouw bedrijf onder NIS2 valt, hangt af van drie factoren: de sector waarin je actief bent, de omvang van je organisatie en de rol die je speelt in de keten. Er zijn drie groepen te onderscheiden, elk met andere verplichtingen.

Groep 1: direct verplicht

Bedrijven die actief zijn in één van de 18 aangewezen sectoren én meer dan 50 medewerkers hebben of een omzet van meer dan 10 miljoen euro, vallen direct onder de Cyberbeveiligingswet. Zij moeten volledig aan alle verplichtingen voldoen, inclusief registratie bij de toezichthouder, het treffen van technische en organisatorische maatregelen en de meldplicht bij incidenten. IT-dienstverleners zoals managed service providers vallen expliciet in deze categorie als ze aan de omvangsdrempel voldoen.

Groep 2: indirect verplicht via de keten

Bedrijven die formeel niet NIS2-plichtig zijn, maar wel leveren aan organisaties die dat wel zijn, krijgen indirect te maken met NIS2-eisen. Jouw klant is verplicht zijn leveranciers te screenen en beveiligingseisen contractueel vast te leggen. Dat resulteert in beveiligingsvragenlijsten, contractuele eisen en mogelijk verplichte certificering. Naar schatting 50.000 tot 100.000 extra MKB-bedrijven in Nederland krijgen hiermee te maken.

Groep 3: marktgedreven naleving

Zelfs als jouw bedrijf geen directe of indirecte wettelijke verplichting heeft, drijven marktomstandigheden je richting NIS2-naleving. Cyberverzekeraars stellen hogere eisen, aanbestedingen vragen vaker om bewijs van beveiligingsmaatregelen en grotere klanten hanteren steeds strengere inkoopvereisten. Kleine bedrijven met minder dan 50 medewerkers en minder dan 10 miljoen omzet vallen in principe buiten de directe scope, maar kunnen via deze route alsnog worden geraakt.

Hoe begin je alsnog met NIS2-compliance?

Beginnen met NIS2-compliance doe je door eerst vast te stellen of en in welke mate jouw organisatie onder de wet valt, gevolgd door een gap-analyse van je huidige beveiligingsmaatregelen. Van daaruit bouw je stap voor stap de vereiste documentatie en maatregelen op.

Een praktisch stappenplan ziet er als volgt uit:

  1. Bepaal je scope: Val je direct onder de Cyberbeveiligingswet, indirect via ketenverantwoordelijkheid, of alleen via marktdruk? Dit bepaalt de urgentie en diepgang van je aanpak.
  2. Voer een gap-analyse uit: Breng in kaart welke maatregelen je al hebt getroffen en wat er nog ontbreekt. Veel bedrijven hebben al meer op orde dan ze denken, maar het ontbreekt aan schriftelijke documentatie.
  3. Zorg voor bestuursbetrokkenheid: NIS2 vereist dat het beveiligingsbeleid door het bestuur wordt goedgekeurd en dat bestuurders aantoonbaar zijn getraind in cyberrisico’s. Dit is geen IT-taak, maar een bestuurstaak.
  4. Documenteer wat je doet: Stel een risicoanalyse op, leg incidentresponsprocessen vast, documenteer toegangsbeheer en back-upprocedures. Aantoonbaarheid is minstens zo belangrijk als de maatregelen zelf.
  5. Regel de meldplicht: Zorg dat je weet hoe je een incident binnen 24 uur meldt, wie dat doet en bij welke toezichthouder. Oefen dit vooraf.
  6. Stel eisen aan leveranciers: Inventariseer je leveranciers, classificeer ze op risico en leg beveiligingseisen contractueel vast.

ISO 27001 is een sterke basis voor NIS2-compliance, maar dekt niet alles. De getrapte meldplicht, bestuurstraining en NIS2-specifiek leveranciersbeheer vereisen aanvullende stappen bovenop een ISO 27001-certificering.

Wanneer is het te laat om NIS2-boetes te vermijden?

Formeel is het te laat zodra de Cyberbeveiligingswet op 1 juli 2026 in werking treedt en jouw organisatie op dat moment niet voldoet. Er is geen overgangstermijn. In de praktijk zal handhaving zich aanvankelijk richten op voorlichting, maar dat biedt geen zekerheid en zeker geen bescherming bij een incident.

Het moment waarop niet-naleving je daadwerkelijk schaadt, hoeft niet het moment te zijn waarop de toezichthouder aanklopt. Een beveiligingsincident, een klantaudit of een aanbestedingsvereiste kan eerder roet in het eten gooien. Wie op 1 juli 2026 geen aantoonbare maatregelen heeft getroffen, staat kwetsbaar in elk van deze situaties.

Wat ook telt: de trainingsplicht voor bestuurders moet binnen twee jaar na inwerkingtreding zijn afgerond. Dat geeft iets meer ruimte, maar die termijn loopt al. Wie nu begint, haalt die deadline comfortabel. Wie wacht, bouwt onnodige druk op.

De eerlijke boodschap is: de wet is er, de datum is bekend en de gevolgen zijn concreet. Hoe eerder je in beweging komt, hoe meer controle je hebt over de aanpak, de kosten en de tijdlijn.

Hoe wij helpen met NIS2-compliance

Bij NTNT begrijpen we dat NIS2 voor veel MKB-bedrijven overweldigend aanvoelt. Niet omdat de eisen onredelijk zijn, maar omdat de combinatie van technische maatregelen, documentatie, bestuursbetrokkenheid en leveranciersbeheer veel tegelijk vraagt. Wij helpen je dat stap voor stap aan te pakken, zonder dat je er zelf een IT-afdeling voor nodig hebt.

Wat we concreet voor je doen:

  • NIS2 scope-analyse: We bepalen samen of en hoe jouw organisatie onder de Cyberbeveiligingswet valt, inclusief indirecte verplichtingen via de keten.
  • Gap-analyse en prioritering: We brengen in kaart wat je al hebt en wat er nog ontbreekt, en we helpen je de juiste volgorde te kiezen.
  • Technische maatregelen: Van MFA via Cisco Duo tot beveiligd wachtwoordbeheer met Keeper en endpoint security via Huntress. We zorgen dat de technische basis op orde is.
  • Documentatie en evidence pack: We helpen je de benodigde beleidsdocumenten, risicoanalyses en logbestanden op te stellen zodat je aantoonbaar voldoet.
  • Ondersteuning bij meldplicht en incidentrespons: We zorgen dat je weet wat je moet doen als er iets misgaat, en we helpen je die processen vooraf in te richten.

Wil je weten waar jouw organisatie nu staat ten opzichte van NIS2? Neem contact op met NTNT voor een vrijblijvend gesprek. We kijken samen naar jouw situatie en geven je een helder beeld van de stappen die nodig zijn.

Delen
Foto van Dirk-Jan Padmos

Dirk-Jan Padmos

Interesse of wil je wat meer informatie?

dirk-jan.padmos@ntnt.nl
Laatste nieuws.