NIS2 boetes in Nederland: wat riskeert uw bedrijf in 2026?

De Cyberbeveiligingswet — de Nederlandse implementatie van de Europese NIS2-richtlijn — treedt op 1 juli 2026 in werking. Een van de meest gestelde vragen die we krijgen: wat zijn de boetes als ik niet op tijd compliant ben?

Het korte antwoord: die zijn fors. In dit artikel zetten we alle sancties op een rij, inclusief het verschil tussen essentiële en belangrijke entiteiten.

De twee boetecategorieën

De Cyberbeveiligingswet maakt onderscheid tussen twee typen organisaties. De boetes verschillen aanzienlijk:

De toezichthouder legt de hoogste van de twee op. Voor een bedrijf met €100 miljoen omzet betekent dat dus potentieel €2 miljoen boete.

Waarvoor krijgt u een boete?

De wet kent drie hoofdverplichtingen. Bij overtreding van elk van deze verplichtingen kan een boete worden opgelegd:

1. Zorgplicht

U bent verplicht passende technische en organisatorische maatregelen te nemen om risico's voor uw netwerk- en informatiesystemen te beheersen. Dit omvat onder andere:

• Risicoanalyse en beveiligingsbeleid
• Incidentafhandeling
• Bedrijfscontinuïteit en crisisbeheer
• Beveiliging van de toeleveringsketen
• Toegangsbeheer en encryptie
• Multifactorauthenticatie

2. Meldplicht

Bij een significant incident moet u binnen 24 uur een eerste melding doen bij het CSIRT (Computer Security Incident Response Team). Binnen 72 uur volgt een uitgebreide melding, en binnen een maand een eindverslag.

3. Registratieplicht

Organisaties die onder de wet vallen, moeten zich registreren bij de toezichthouder. Dit geldt met name voor aanbieders van essentiële diensten.

Proactief vs. reactief toezicht

Een belangrijk verschil dat veel organisaties niet kennen:

• Essentiële entiteiten vallen onder proactief toezicht — de toezichthouder mag onaangekondigd audits uitvoeren, ook als er geen aanleiding is
• Belangrijke entiteiten vallen onder reactief toezicht — de toezichthouder grijpt in na een incident of melding

Persoonlijke bestuurdersaansprakelijkheid

Een opvallend onderdeel van de wet: bestuurders zijn persoonlijk verantwoordelijk voor het naleven van de zorgplicht. Dit betekent:

• Bestuurders moeten de cyberbeveiligingsmaatregelen goedkeuren
• Bestuurders moeten toezicht houden op de naleving
• Bij grove nalatigheid kan een bestuurder persoonlijk aansprakelijk worden gesteld
• Bestuurders moeten cyberbeveiligingsopleidingen volgen

Dit gaat verder dan de meeste bestaande wetgeving. De NIS2 maakt cybersecurity expliciet een bestuurskamerthema.

Andere sancties naast boetes

Boetes zijn niet het enige risico. De toezichthouder kan ook:

• Bevelen om specifieke maatregelen te nemen binnen een termijn
• Bindende instructies geven over hoe u uw beveiliging moet inrichten
• Publicatie van overtredingen — naming and shaming
• Tijdelijk verbod voor bestuurders om hun functie uit te oefenen (bij essentiële entiteiten)

Hoe voorkomt u boetes?

De meest effectieve aanpak:

1. Bepaal eerst of u in scope bent — veel organisaties weten dit niet. Doe de gratis scope-check om dit in 60 seconden te ontdekken
2. Start met een risicobeoordeling — dit is de basis van de zorgplicht
3. Stel een incidentresponsplan op — zodat u aan de meldplicht kunt voldoen
4. Documenteer alles — bij een audit wilt u kunnen aantonen wat u heeft gedaan
5. Betrek het bestuur — gezien de bestuurdersaansprakelijkheid is dit essentieel

"De vraag is niet of de toezichthouder langs komt, maar wanneer. Essentiële entiteiten worden proactief gecontroleerd — wees voorbereid."

Bron: Rijksoverheid — Cyberbeveiligingswet

Bron: Europese Commissie — NIS2-richtlijn