NIS2 boetes en aansprakelijkheid: tot 10 miljoen euro

Door Jasper van Horssen, Lead Auditor ISO 27001 · NIS2 Lead Implementer. Vakinhoudelijk gereviewd door Erik Bijkerk, Senior Consultant bij Dxfferent. Bijgewerkt juni 2026.

NIS2 introduceert boetes tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet voor essentiele entiteiten, en tot 7 miljoen euro of 1,4 procent voor belangrijke entiteiten, telkens het hoogste bedrag. Bestuurders kunnen daarnaast persoonlijk aansprakelijk worden gesteld, en bij essentiele entiteiten kan de toezichthouder een tijdelijk bestuursverbod opleggen. De boetebedragen staan vast in de richtlijn (artikel 34); de aansprakelijkheid van het bestuur in artikel 20. In Nederland gaat de handhaving lopen zodra de Cyberbeveiligingswet in werking treedt, beoogd per 1 juli 2026. In dit artikel leest u hoe het sanctieregime is opgebouwd, wat de stand van zaken in andere EU-lidstaten is (medio 2026), en welke vijf acties uw boeterisico aantoonbaar verkleinen.

Laatst bijgewerkt: 5 juni 2026. NIS2 is in Nederland nog niet van kracht: de Cyberbeveiligingswet is op 15 april 2026 door de Tweede Kamer aangenomen en ligt nu bij de Eerste Kamer, met een beoogde inwerkingtreding van 1 juli 2026.

Boetes voor essentiele entiteiten: 10 miljoen of 2 procent

Een korte kanttekening vooraf over de twee regelingen die in dit artikel langskomen. NIS2 is de Europese richtlijn met de normen en de bedragen; die nummering (artikel 21, 23, 34 en zo voort) is de bron die overal wordt aangehaald. De Cyberbeveiligingswet (Cbw), op dit moment nog een wetsvoorstel, is de operatieve Nederlandse wet die NIS2 omzet en een eigen artikelnummering hanteert. Waar wij hieronder een NIS2-artikel noemen, zetten wij het corresponderende Cbw-artikel er een keer bij, zodat u beide kunt terugvinden.

De NIS2-richtlijn legt voor essentiele entiteiten een maximumboete vast van ten minste 10 miljoen euro of ten minste 2 procent van de totale wereldwijde jaaromzet in het voorgaande boekjaar, waarbij het hoogste bedrag geldt. De richtlijntekst (artikel 34, lid 4, richtlijntekst; in de Cyberbeveiligingswet artikel 80, derde lid) formuleert dit als ondergrens (“a maximum of at least”): lidstaten mogen in hun nationale wet hoger gaan, niet lager. Voor een onderneming met 1 miljard euro omzet is de potentiele maximumboete daarom 20 miljoen euro (2 procent), omdat dat hoger is dan de 10 miljoen-ondergrens.

De boete wordt opgelegd door de bevoegde nationale toezichthouder. In Nederland wordt de RDI (Rijksinspectie Digitale Infrastructuur) de centrale toezichthouder onder de Cyberbeveiligingswet, met sectorale verdeling naar onder meer DNB (financiele sector) en de IGJ (zorg). De Cyberbeveiligingswet en onderliggende regelgeving wijzen de exacte verdeling toe.

Bij het bepalen van de boetehoogte wegen de factoren uit artikel 34, lid 2 mee: ernst en duur van de inbreuk, opzet of nalatigheid, eerdere overtredingen, mate van samenwerking met de toezichthouder, geleden schade door derden, en of de organisatie meewerkt aan beperking van de gevolgen. De richtlijn benoemt expliciet als verzwarend onder meer “herhaalde inbreuken”, “niet melden of niet verhelpen van significante incidenten”, “het belemmeren van audits of monitoringsactiviteiten” en “het verstrekken van valse of zeer onnauwkeurige informatie” over de maatregelen uit artikel 21 en 23.

Boetes voor belangrijke entiteiten: 7 miljoen of 1,4 procent

Belangrijke entiteiten kennen een lagere boetegrens: ten minste 7 miljoen euro of ten minste 1,4 procent van de wereldwijde jaaromzet (artikel 34, lid 5; in de Cyberbeveiligingswet artikel 87, derde lid), opnieuw het hoogste bedrag. Het verschil weerspiegelt het lichtere toezichtsregime, niet een lichtere set verplichtingen. Belangrijke entiteiten vallen onder reactief (ex-post) toezicht, essentiele entiteiten onder proactief toezicht. De inhoudelijke maatregelen uit artikel 21 gelden voor beide categorieen onverkort: voor de maatregelen uit artikel 20 en 21 wordt geen onderscheid gemaakt tussen essentiele en belangrijke entiteiten.

Praktisch gezien is voor de meeste belangrijke entiteiten de procentuele drempel relevanter dan de absolute. Een productieonderneming met 200 miljoen euro omzet kan een boete krijgen van 2,8 miljoen euro (1,4 procent), ruim onder de 7 miljoen-grens.

Welke maatregelen verwacht NIS2? De tien uit artikel 21

Boetes onder NIS2 gelden bij inbreuk op artikel 21 (risicobeheermaatregelen, in de Cyberbeveiligingswet artikel 21) of artikel 23 (meldplicht, in de Cyberbeveiligingswet artikel 26 en 27). Artikel 21 schrijft een minimumset van maatregelen voor die elke essentiele en belangrijke entiteit moet treffen:

• Risicoanalyse en informatiebeveiligingsbeleid: een vastgelegd beveiligingsbeleid plus een systematische, periodieke identificatie en beoordeling van de cyberrisico’s voor uw netwerk- en informatiesystemen. Dit is het fundament waarop alle andere maatregelen rusten.
• Incidentbehandeling: procedures om beveiligingsincidenten te detecteren, te registreren, te analyseren en te mitigeren, met duidelijke escalatie-, communicatie- en herstelstappen.
• Bedrijfscontinuiteit en crisisbeheer: back-upbeheer, noodherstelplannen (disaster recovery) en crisisbeheer, zodat de dienstverlening na een incident gecontroleerd doorloopt of snel wordt hersteld.
• Beveiliging van de toeleveringsketen: beheersing van de beveiligingsrisico’s in de relaties met directe leveranciers en dienstverleners, inclusief contractuele afspraken en toezicht op hun beveiligingsniveau.
• Veilige aanschaf, ontwikkeling en onderhoud: beveiliging gedurende de hele levenscyclus van systemen, inclusief kwetsbaarhedenbeheer (vulnerability management) en gecoordineerde melding van kwetsbaarheden.
• Beoordeling van de effectiviteit: beleid en procedures om te toetsen of de maatregelen daadwerkelijk werken, via monitoring, interne audits en periodieke evaluatie.
• Basale cyberhygiene en training: structurele bewustwording en opleiding van medewerkers en bestuur, plus elementaire hygiene zoals tijdig patchen, wachtwoordbeleid en het principe van minimale rechten.
• Cryptografie en versleuteling: beleid voor het versleutelen van gegevens in opslag en tijdens transport, met passend beheer van de sleutels.
• Personeelsbeveiliging, toegangsbeleid en assetbeheer: screening waar passend, rolgebaseerd toegangsbeheer op basis van need-to-know, en een actueel beheer van bedrijfsmiddelen.
• Multifactorauthenticatie en beveiligde communicatie: MFA of continue authenticatie op kritieke toegang, plus beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatie.

De technische en methodologische invulling van deze maatregelen is voor een aantal digitale subsectoren op EU-niveau vastgelegd in de Uitvoeringsverordening (EU) 2024/2690, die de Europese Commissie op 17 oktober 2024 publiceerde. Volgens de bijbehorende ENISA-guidance “lays down the technical and methodological requirements of the measures referred to in Article 21(2) of Directive (EU) 2022/2555”. Voor andere sectoren stellen de lidstaten de eisen op nationaal niveau vast. Bron: ENISA Technical Implementation Guidance (versie 1.0).

Bestuurlijke aansprakelijkheid: wat verandert er voor directie en commissarissen?

NIS2 introduceert in artikel 20 (in de Cyberbeveiligingswet artikel 24) expliciete verplichtingen voor het bestuur. De richtlijntekst is ondubbelzinnig: “De lidstaten zorgen ervoor dat de bestuursorganen van essentiele en belangrijke entiteiten de door deze entiteiten genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s goedkeuren om te voldoen aan artikel 21, toezien op de uitvoering ervan en aansprakelijk kunnen worden gesteld voor inbreuken door de entiteiten op dat artikel.” Concreet betekent dit dat bestuurders:

• De risicobeheermaatregelen formeel goedkeuren
• Toezicht houden op de implementatie ervan
• Zelf periodieke training volgen om cybersecurityrisico’s te kunnen beoordelen
• Vergelijkbare training aanbieden aan medewerkers

Bij essentiele entiteiten kan de toezichthouder een tijdelijk verbod opleggen aan een natuurlijke persoon om bestuurlijke functies uit te oefenen binnen de entiteit (artikel 32, lid 5). De Cyberbeveiligingswet werkt dit uit in artikel 78: voldoet de essentiele entiteit niet aan een hersteltermijn (het besluit uit artikel 76), dan kan de bevoegde autoriteit de burgerlijke rechter verzoeken om een of meer leden van het bestuur te schorsen zolang de entiteit niet voldoet; de schorsing wordt opgenomen in het Handelsregister. Dit is een persoonlijke sanctie, geen organisatorische, en is beperkt tot essentiele entiteiten (artikel 79 zondert overheidsinstanties uit). Voor belangrijke entiteiten bestaat deze bevoegdheid niet. In sommige lidstaten kan een opgelegd bestuursverbod doorwerken naar andere posities, afhankelijk van de nationale implementatie.

Hier voegt de Cyberbeveiligingswet een belangrijk Nederlands element toe dat de richtlijn zelf niet kent. Waar NIS2 de persoonlijke verantwoordelijkheid van het bestuur regelt via de governance-plicht (artikel 20) en het bestuursverbod (artikel 32, lid 5), introduceert de Cyberbeveiligingswet daarbovenop een expliciete persoonlijke bestuurlijke boete. Artikel 93 bepaalt dat de bevoegde autoriteit een lid van het bestuur van een essentiele of belangrijke entiteit een bestuurlijke boete kan opleggen bij overtreding van de governance-verplichtingen van artikel 24 (de Cbw-omzetting van NIS2-artikel 20: goedkeuren van de maatregelen en aantoonbare kennis en vaardigheden van iedere bestuurder). Deze boete bedraagt ten hoogste 25.000 euro en richt zich rechtstreeks op de bestuurder persoonlijk, dus niet op de entiteit. Anders dan het bestuursverbod geldt deze persoonlijke boete bovendien voor zowel essentiele als belangrijke entiteiten. Een aparte last onder dwangsom voor diezelfde governance-plicht staat in artikel 92.

Daarnaast geldt civielrechtelijke aansprakelijkheid. De aansprakelijkheidsnorm uit artikel 20 krijgt in Nederland effect via artikel 2:9 BW (interne bestuurdersaansprakelijkheid), waarbij NIS2 functioneert als open norm voor wat “behoorlijke taakvervulling” op het gebied van cybersecurity inhoudt. Bestuurders kunnen zo persoonlijk aansprakelijk zijn voor schade die voortvloeit uit grof tekortschietend toezicht. D&O-verzekeringen dekken dit risico vaak gedeeltelijk, maar doorgaans alleen onder voorwaarde van aantoonbaar actief toezicht (zie NORD Advocaten over bestuurdersaansprakelijkheid door NIS2/Cbw). De richtlijn voegt overigens toe dat artikel 20 geen afbreuk doet aan het nationale recht over aansprakelijkheid.

Commissarissen vallen niet primair onder de NIS2-bestuursdefinitie, die zich richt op het uitvoerend bestuur. Zij kunnen wel op grond van artikel 2:9 en 2:11 BW aansprakelijk zijn voor onvoldoende toezicht, zeker als zij wisten of moesten weten dat NIS2-verplichtingen niet werden nagekomen (zie SenS Juristen over NIS2-aansprakelijkheid van het bestuur).

NIS2 in de EU medio 2026: de stand van zaken per lidstaat

De omzettingsdeadline voor NIS2 was 17 oktober 2024. De richtlijn zelf werkt niet rechtstreeks tegen organisaties: dat doet pas de nationale wetgeving die de richtlijn omzet. Het tempo verschilt sterk per lidstaat. Belangrijk om te benadrukken: medio 2026 is er nog geen enkele NIS2-boete publiekelijk opgelegd. Er zijn wel eerste toezichts- en handhavingsacties, zoals waarschuwingen, lopende procedures en sectorale inspecties, maar geen afgeronde, gepubliceerde boete.

• Belgie: zette NIS2 als eerste lidstaat om (wet van 26 april 2024, in werking sinds 18 oktober 2024). De CCB (Centre for Cybersecurity Belgium) is nationale cyberautoriteit en CSIRT; registratie liep via Safeonweb@Work.
• Duitsland: het NIS2UmsuCG (wijziging van de BSIG) is aangenomen door de Bondsdag op 13 november 2025 en in werking getreden op 6 december 2025. De registratietermijn sloot op 6 maart 2026, waarbij slechts circa 38,5 procent (ongeveer 11.500 van 29.500 verwachte entiteiten) zich tijdig registreerde. Handhaving is in Duitsland dus een realiteit van 2026, geen toekomstmuziek.
• Frankrijk: heeft NIS2 medio 2026 nog niet omgezet. Het wetsvoorstel (“loi resilience”) is op 12 maart 2025 door de Senaat aangenomen en daarna in commissie herzien; finale aanname en afkondiging worden in 2026 verwacht. Registratie van entiteiten is in Frankrijk nog niet mogelijk.
• Nederland: de Cyberbeveiligingswet is op 15 april 2026 door de Tweede Kamer aangenomen en ligt nu bij de Eerste Kamer, met een beoogde inwerkingtreding van 1 juli 2026. Tot de inwerkingtreding is er geen handhaving op grond van NIS2. Zie ook de RDI over de Cyberbeveiligingswet.

De Europese Commissie startte op 28 november 2024 inbreukprocedures tegen 23 lidstaten (waaronder Nederland) die de deadline van 17 oktober 2024 niet haalden. Op 7 mei 2025 volgde een met redenen omkleed advies aan 19 nog-niet-conforme lidstaten, eveneens inclusief Nederland: de volgende stap op de escalatieladder, met als sluitstuk een mogelijke verwijzing naar het Hof van Justitie. Dit creeert geen direct boeterisico voor organisaties, maar verklaart wel waarom Nederland haast maakt met de Cyberbeveiligingswet.

De Duitse cijfers zijn een waarschuwing voor Nederlandse organisaties: zelfs na inwerkingtreding blijft de praktische naleving achter. Wie pas begint als de wet er is, loopt achter de feiten aan.

Van tientallen naar duizenden: de Nederlandse scope-explosie

Onder de oude Wet beveiliging netwerk- en informatiesystemen (Wbni) vielen slechts enkele tientallen aanbieders van essentiele diensten onder het regime. Onder de Cyberbeveiligingswet en NIS2 groeit dit naar enkele duizenden organisaties in Nederland: energie, transport, zorg, digitale infrastructuur, overheid, productie, levensmiddelen, afvalbeheer en meer. Voor het overgrote deel van die organisaties is NIS2 dus geen voortzetting van bestaande verplichtingen, maar een eerste kennismaking met cybersecuritytoezicht (zie Taylor Wessing, Global Data Hub 2026).

Dat NIS2-toezichthouders het boete-instrument daadwerkelijk inzetten, is geen theorie. Onder NIS1 legde de Nederlandse toezichthouder een telecomaanbieder al een boete van 525.000 euro op voor het te laat melden van een incident. NIS2 verhoogt de maximale boetecaps vervolgens fors.

Naast boetes: andere sancties

NIS2 voorziet in meer dan alleen geldelijke sancties. De toezichthouder beschikt over een breed instrumentarium (artikel 32). De richtlijn noemt onder meer de bevoegdheid om “de betrokken entiteiten te gelasten er op een gespecificeerde wijze en binnen een gespecificeerde termijn voor te zorgen dat hun maatregelen in overeenstemming zijn met artikel 21” en om “een controlefunctionaris aan te wijzen die gedurende een bepaalde periode duidelijk omschreven taken verricht”. Concreet:

• Waarschuwingen en bindende aanwijzingen: verplichting om binnen een termijn een specifieke maatregel te implementeren
• Publicatie van de inbreuk: openbaarmaking op de website van de toezichthouder
• Tijdelijk bestuursverbod: persoonlijke sanctie tegen bestuurders, alleen bij essentiele entiteiten
• Intrekken van vergunningen of certificeringen: bij ernstige en herhaalde inbreuken, eveneens een bevoegdheid die voor essentiele entiteiten geldt
• Aanwijzing van een controlefunctionaris of externe auditor: verplicht extern toezicht op de implementatie
• Last onder dwangsom: bij niet-naleving van een bindende aanwijzing

Naast deze publieke sancties zijn er indirecte gevolgen: reputatieschade, verlies van klanten die NIS2-bewijs eisen, hogere verzekeringspremies en lastigere financiering doordat risk officers van banken de NIS2-status meewegen.

De rol van bewijsdocumentatie

Bij een toezichtsonderzoek is documentatie doorslaggevend. In onze adviespraktijk zien we dat de aan- of afwezigheid van een gestructureerd bewijsdossier in hoge mate bepaalt hoe een onderzoek afloopt (praktijkinschatting van Dxfferent, geen externe statistiek). De toezichthouder vraagt typisch om vijf categorieen documenten:

• Bestuurlijke goedkeuringen: notulen waarin het bestuur risicoregister, beleid en maatregelen goedkeurt (precies wat artikel 20 verlangt)
• Risicoregister met statussen: elk risico met eigenaar, behandeling, deadline en bewijs van afhandeling
• Audit-rapporten: interne audit, eventueel ISO 27001-certificering, pentestrapporten
• Incident-logboek: ook subkritieke incidenten, met afhandelingsstatus
• Trainingsregister: per medewerker en bestuurder, met datum en inhoud

Het ontbreken van een van deze categorieen is op zichzelf geen boetegrond, maar weegt zwaar mee bij het bepalen van de boetehoogte via de proportionaliteitsfactoren van artikel 34, lid 2. Een organisatie die kan aantonen dat ze gestructureerd werkt, staat bij een gelijk incident aanzienlijk sterker dan een organisatie zonder structurele aanpak. De richting van dat effect volgt rechtstreeks uit de verzachtende en verzwarende factoren in de richtlijn; een exact percentage valt er niet aan te koppelen.

Hoe verklein je het boeterisico? Vijf acties

1. Documenteer alles wat je doet, ook subkritiek: bij een toezichtsonderzoek is het bewijsdossier het verdedigingsverhaal. Een goed risicoregister met onderbouwde keuzes weegt zwaar mee in de proportionaliteit.
2. Train je bestuur en leg het vast: NIS2 vereist expliciet bestuurstraining (artikel 20). Geen aantoonbare training is een verzwarende omstandigheid bij een eventuele boete.
3. Gebruik ISO 27001 als basis: een geldige ISO 27001-certificering toont aantoonbare volwassenheid en kan als verzachtende omstandigheid meewegen. Let op: ISO 27001 dekt niet automatisch alle NIS2-verplichtingen; behandel het als fundament, niet als bewijs van volledige NIS2-naleving.
4. Meld incidenten op tijd: de termijnen van artikel 23 zijn strikt: vroege waarschuwing binnen 24 uur, melding binnen 72 uur, eindrapport binnen 1 maand. Te laat melden bij het CSIRT is een zelfstandig beboetbare overtreding, los van het onderliggende incident.
5. Werk mee bij onderzoek: de toezichthouder weegt een cooperatieve houding zwaar mee. Snel toegang verlenen, eerlijk zijn over tekortkomingen en proactief mitigatieplannen presenteren verlaagt de boete.

Wil je weten waar je staat? Een gap-assessment van vier tot zes weken geeft inzicht in welke maatregelen ontbreken en welke prioriteit hebben. Dxfferent voert dit traject uit met ISO 27001 als referentiekader en levert een prioriteitenrapport voor het bestuur, plus de bewijslast-structuur die uw boete verlaagt en uw bestuurders-D&O overeind houdt.

Wat doen verzekeraars met NIS2-risico?

Cyberverzekeraars hebben hun acceptatiebeleid de afgelopen jaren aangescherpt en NIS2-status is inmiddels een vaste vraag in de risk assessment. Drie ontwikkelingen zijn relevant (marktindicatie op basis van Dxfferent-praktijk; geen verzekeraarscijfers):

• Premie-opslag bij ontbrekende NIS2-volwassenheid: verzekeraars hanteren in de praktijk een opslag boven het standaardtarief, soms aanzienlijk.
• Uitsluiting van boete-dekking: NIS2-boetes worden doorgaans niet gedekt onder cyberpolissen. Dit volgt uit het juridische beginsel dat punitieve boetes vanwege hun openbare-orde-karakter niet verzekerbaar zijn.
• D&O-polissen met cyberclausules: bestuurdersaansprakelijkheid bij een NIS2-overtreding is vaak alleen gedekt als het bestuur kan aantonen actief toezicht te hebben uitgeoefend (trainingsbewijs, vergaderbesluiten, risicoregister-review).

Voor bestuurders is dit cruciaal: zonder bewijs van actief toezicht is een eventuele D&O-uitkering kwetsbaar. Documentatie van bestuursbeslissingen rondom cybersecurity wordt zo direct waardevolle bescherming.

Hoe een boete tot stand komt: drie illustratieve scenario’s

De volgende scenario’s zijn hypothetisch en uitsluitend bedoeld om de logica van het boete-bepalingsproces te illustreren. Het zijn nadrukkelijk geen echte NIS2-zaken: medio 2026 is er nog geen enkele NIS2-boete opgelegd. De bedragen zijn indicatief en niet ontleend aan gepubliceerde besluiten.

Scenario A (illustratief): ransomware bij een regionaal ziekenhuis

Een ziekenhuis (450 FTE, 80 miljoen euro omzet, essentieel) wordt slachtoffer van ransomware die de OK-planning twee dagen platlegt. Een toezichthouder zou achteraf onderzoeken:

• Was er een geldig incident response plan? Ja (verzachtend)
• Was MFA actief op admin-accounts? Gedeeltelijk (neutraal)
• Werden backups getest? Nee, 14 maanden niet (verzwarend)
• Werd het CSIRT binnen 24 uur ingelicht? Pas na 38 uur (verzwarend, zelfstandige overtreding)
• Was het bestuur getraind? Geen bewijs (verzwarend)

Indicatieve, hypothetische uitkomst: een boete in de orde van 1 tot 2,5 miljoen euro plus een verplichte externe audit. Geen bestuursverbod, omdat grove nalatigheid niet aantoonbaar is.

Scenario B (illustratief): lekkende API bij een digitale aanbieder

Een online marktplaats (60 FTE, 14 miljoen euro omzet, belangrijk) heeft een API zonder authenticatie waardoor 800.000 klantgegevens lekken. De toezichthouder zou onderzoeken:

• Bestond een risicoanalyse op API-security? Nee (verzwarend)
• Was er een secure development lifecycle? Gedeeltelijk
• Werd direct ingegrepen na ontdekking? Ja (verzachtend)
• CSIRT-melding op tijd? Ja, binnen 18 uur
• Parallelle AVG-meldplicht: te laat naar de AP (separate boete-route)

Indicatieve, hypothetische uitkomst: een NIS2-boete in de orde van 150.000 tot 400.000 euro, plus een mogelijke AVG-boete via een los traject, plus een aanwijzing om secure development binnen 6 maanden te implementeren.

Scenario C (illustratief): energiebedrijf met herhaalde tekortkomingen

Een energieleverancier (3.500 FTE, 2 miljard euro omzet, essentieel) krijgt na een eerste auditronde aanwijzingen. Twee jaar later toont een tweede audit dezelfde tekortkomingen: bewuste niet-naleving. Omdat de 2 procent-omzetdrempel hier hoger uitkomt dan de absolute 10 miljoen-ondergrens, bepaalt het omzetpercentage het plafond.

Indicatieve, hypothetische uitkomst: een boete die kan oplopen richting de 2 procent-omzetgrens (tot 40 miljoen euro bij 2 miljard omzet), een bestuursverbod voor de verantwoordelijke bestuurder en publicatie van de inbreuk. Dit scenario illustreert waarom recidive de zwaarste verzwarende factor is.

De NIS2 Quality Mark: een van de routes naar aantoonbaarheid

Omdat NIS2 om aantoonbaarheid draait, is de vraag voor veel organisaties vooral: hoe maak ik zichtbaar dat ik aan NIS2 en de Cyberbeveiligingswet voldoe? Daar is geen voorgeschreven weg voor. Een geldige ISO 27001-certificering kan dat doen, een eigen, goed opgebouwd bewijsdossier kan dat doen, en er zijn diverse andere assurance-routes. De NIS2 Quality Mark is een van die routes: een in Nederland inmiddels bekende, gestructureerde werkwijze om dat bewijs te ordenen. Belangrijk om te weten: de NIS2 Quality Mark is niet verplicht. Noch NIS2, noch de Cyberbeveiligingswet schrijft een specifiek keurmerk voor.

Wat de werkwijze wel prettig maakt, is dat zij structuur en duidelijkheid geeft op een terrein dat dat hard nodig heeft. De Cyberbeveiligingswet en NIS2 laten zelf nog veel open en zijn behoorlijk complex; een gestructureerde route helpt om die complexiteit hanteerbaar te maken en om per onderdeel te laten zien waar u staat. De NIS2 Quality Mark werkt daartoe met drie niveaus, gebaseerd op dezelfde assurance-systematiek die het Europese cybersecurityagentschap ENISA hanteert voor de certificering van ICT-producten en -diensten: “Each scheme will specify one or more levels of assurance (Basic, Substantial, or High) based on the level of risk.” De drie niveaus, Basic, Substantial en High, onderscheiden zich door een oplopend aantal beheersmaatregelen: Substantial omvat alle maatregelen van Basic plus extra maatregelen, en High bouwt daar opnieuw op voort. Wij werken bij Dxfferent met een eigen invulling van die niveaus in ons interne compliance- en certificeringsschema.

Welke route u ook kiest, het nut voor de boetediscussie is hetzelfde: een organisatie die op een gedefinieerd assurance-niveau aantoonbaar maatregelen heeft getroffen, heeft precies het bewijsdossier dat als verzachtende factor meeweegt (artikel 34 van NIS2; in de Cyberbeveiligingswet de boetebepalingen artikel 80 voor essentiele en artikel 87 voor belangrijke entiteiten).

Lees ook

• NIS2-checklist: in tien stappen aantoonbaar compliant
• EU AI Act: wat betekent de AI-verordening voor uw organisatie?
• AI governance: grip op AI-risico’s binnen uw GRC-raamwerk

Veelgestelde vragen over NIS2 boetes

Hoe hoog zijn de NIS2-boetes?

Voor essentiele entiteiten geldt een maximumboete van ten minste 10 miljoen euro of 2 procent van de wereldwijde jaaromzet, waarbij het hoogste bedrag telt (NIS2 artikel 34, lid 4; in de Cyberbeveiligingswet artikel 80). Voor belangrijke entiteiten is dat ten minste 7 miljoen euro of 1,4 procent (NIS2 artikel 34, lid 5; in de Cyberbeveiligingswet artikel 87). De richtlijn stelt deze bedragen als ondergrens; lidstaten mogen in hun nationale wet hoger gaan.

Zijn er al NIS2-boetes opgelegd?

Nee. Medio 2026 is er nog geen enkele NIS2-boete publiekelijk opgelegd. Er zijn wel eerste toezichts- en handhavingsacties zoals waarschuwingen, onderzoeken en sectorale inspecties, maar geen afgeronde, gepubliceerde boete. In Nederland start de handhaving pas na inwerkingtreding van de Cyberbeveiligingswet, beoogd per 1 juli 2026.

Wanneer geldt NIS2 in Nederland?

NIS2 wordt in Nederland geimplementeerd via de Cyberbeveiligingswet. Die is op 15 april 2026 door de Tweede Kamer aangenomen en ligt nu bij de Eerste Kamer, met een beoogde inwerkingtreding van 1 juli 2026. De definitieve datum hangt af van de behandeling in de Eerste Kamer. Tot de inwerkingtreding is er geen handhaving op grond van NIS2.

Krijg ik direct een boete bij elke overtreding?

Nee. De toezichthouder past een proportionele escalatie toe: eerst een waarschuwing of aanwijzing, dan pas een boete bij niet-naleving. Boetes komen typisch in beeld bij ernstige overtredingen, grove nalatigheid of recidive.

Kunnen bestuurders persoonlijk aansprakelijk worden gesteld onder NIS2?

Ja. NIS2-artikel 20 (in de Cyberbeveiligingswet artikel 24) bepaalt dat bestuursorganen de risicobeheermaatregelen goedkeuren, toezien op de uitvoering en aansprakelijk kunnen worden gesteld voor inbreuken. In Nederland krijgt dit effect via artikel 2:9 BW. De Cyberbeveiligingswet voegt daar een expliciete persoonlijke bestuurlijke boete aan toe: bij overtreding van de governance-plicht van artikel 24 kan een bestuurder zelf een boete van ten hoogste 25.000 euro krijgen (artikel 93), voor zowel essentiele als belangrijke entiteiten. Bij essentiele entiteiten kan de toezichthouder bovendien een tijdelijk bestuursverbod laten opleggen via de rechter (NIS2 artikel 32, lid 5; in de Cyberbeveiligingswet artikel 78). Persoonlijk faillissement is theoretisch mogelijk bij grove nalatigheid met grote schade en zonder D&O-dekking, maar in de praktijk zeldzaam.

Telt de boete mee voor de hele groep of alleen de Nederlandse entiteit?

De richtlijn verwijst naar de “wereldwijde jaaromzet” van de onderneming, waarbij “onderneming” in EU-mededingingsrechtelijke zin wordt uitgelegd. Bij groepsstructuren wordt daarom doorgaans de omzet van de groep meegerekend, vergelijkbaar met de AVG-systematiek.

Geldt persoonlijke aansprakelijkheid ook voor commissarissen?

NIS2 richt zich primair op het uitvoerend bestuur. Commissarissen kunnen op grond van Nederlands vennootschapsrecht (artikel 2:9 en 2:11 BW) aansprakelijk zijn voor onvoldoende toezicht, vooral als zij wisten of moesten weten dat NIS2-verplichtingen niet werden nagekomen.