Bedrijven zijn volop geïnteresseerd in de NIS2 boetes. Met de Europese NIS2-richtlijn en de Nederlandse Cyberbeveiligingswet (Cbw) komen scherpere eisen én stevige sancties bij niet-naleving. Hieronder lees je wat er verandert, wanneer de wet in Nederland ingaat en welke boetes gelden voor organisaties en bestuurders.
Wat is NIS2 en wat regelt de Cyberbeveiligingswet?
NIS2 is de EU-richtlijn die de digitale weerbaarheid van lidstaten verhoogt. Nederland zet NIS2 om in de Cyberbeveiligingswet (de “cybersecuritywet”), die de huidige Wbni vervangt. De richtlijn schrijft o.a. riskmanagement, meldplicht en toezicht voor bij essentiële en belangrijke entiteiten.
Status & tijdlijn (Nederland)
- 14 december 2022: NIS2 vastgesteld (EU).
- 17 oktober 2024: NIS2 geldt op EU-niveau; NL heeft nog niet omgezet in nationale wet.
- Ingediend bij Tweede Kamer (2025): wetsvoorstellen Cbw & Wwke ingediend.
- Huidige verwachting: inwerkingtreding Cyberbeveiligingswet tweede kwartaal 2026 (planning aangepast).
Zie ook de actuele uitleg over de cybersecuritywet op de site van het NCSC.
Welke NIS2 boetes kunnen worden opgelegd?
Onder NIS2 (en straks de Cyberbeveiligingswet) zijn bestuurlijke boetes mogelijk bij o.a. schending van de NIS2 zorgplicht (art. 21) en meldplicht (art. 23). De richtlijn bepaalt maximumhoogtes per entiteitstype.
Maxima volgens NIS2 (artikel 34)
- Essentiële entiteiten: max. €10.000.000 of 2% van wereldwijde jaaromzet (wat hoger is).
- Belangrijke entiteiten: max. €7.000.000 of 1,4% van wereldwijde jaaromzet (wat hoger is).
Daarnaast kunnen toezichthouders periodieke dwangsommen en andere handhavingsmaatregelen inzetten.
Bestuurders: verantwoordelijkheid en persoonlijke gevolgen
De managementorganen (bestuur) moeten de NIS2-maatregelen goedkeuren en toezicht houden op de uitvoering. Bij nalatigheid kan handhaving ook persoonlijk bestuurders raken, afhankelijk van nationale uitwerking en toezicht. NIS2 bestuurdersaansprakelijkheid staat hiermee nadrukkelijk op de handhavingsagenda.
Wat kun je nu al doen (ook vóórdat de wet geldt)?
- Check of je onder essentiële of belangrijke entiteiten valt en registreer tijdig waar nodig.
- Voer een NIS2 gap-analyse uit op risico’s, NIS2 zorgplicht en meldplicht (bestuursaansprakelijkheid).
- Werk beleid, processen en technische maatregelen bij en test je incident response periodiek.
- Versterk security awareness bij medewerkers en bestuur (overweeg een NIS2 boardroomtraining).
- Borg leveranciers- en ketenrisico’s (contractueel en operationeel).
Handige interne links
De komst van de Cyberbeveiligingswet (de “cybersecuritywet”) maakt naleving van NIS2 onvermijdelijk. De mogelijke NIS2 boetes zijn fors en raken zowel organisaties als bestuurders. Begin op tijd met voorbereiden om risico’s, kosten en reputatieschade te beperken. Kynexis helpt graag.