De NIS2-richtlijn is niet langer een abstracte Europese verplichting. Met de Nederlandse Cyberbeveiligingswet die deze richtlijn omzet in nationale wetgeving, worden de consequenties van non-compliance pijnlijk concreet. Organisaties die hun cybersecurity niet op orde hebben, riskeren boetes die oplopen tot €10 miljoen of 2% van de wereldwijde jaaromzet — afhankelijk van welk bedrag hoger is.
Maar de financiële impact gaat verder dan alleen boetes. In dit artikel ontleden we wat NIS2 non-compliance werkelijk kost en waarom bestuurders persoonlijk aansprakelijk kunnen worden gesteld.
De concrete boetebedragen onder NIS2
NIS2 maakt onderscheid tussen twee categorieën organisaties, elk met eigen sanctieniveaus:
Essentiële entiteiten — denk aan energie, transport, gezondheidszorg, drinkwater en digitale infrastructuur — riskeren boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet. Dit zijn de organisaties waarvan uitval directe maatschappelijke gevolgen heeft.
Belangrijke entiteiten — zoals voedselproductie, postdiensten, afvalbeheer en digitale aanbieders — kunnen beboet worden tot €7 miljoen of 1,4% van de jaaromzet. Het onderscheid in boetehoogte weerspiegelt het verschil in maatschappelijk risico.
Voor een middelgroot bedrijf met €50 miljoen omzet betekent dit potentiële boetes van €700.000 tot €1 miljoen. Voor multinationals kunnen de bedragen in de tientallen miljoenen lopen.
Vergelijking met GDPR-boetes: dezelfde orde van grootte
De boetestructuur van NIS2 is bewust gemodelleerd naar de AVG/GDPR. Dat is geen toeval. De Europese wetgever heeft geleerd van de GDPR-ervaring: pas wanneer boetes serieus genoeg zijn, nemen organisaties compliance serieus.
Ter vergelijking: de hoogste GDPR-boete in Nederland bedroeg €3,7 miljoen (Booking.com, 2021). Europees gezien zijn boetes van €50 miljoen+ opgelegd aan techgiganten. NIS2 beweegt zich in dezelfde orde van grootte, maar richt zich specifiek op cybersecurity in plaats van gegevensbescherming.
Het verschil? NIS2-handhaving komt bovenop bestaande GDPR-verplichtingen. Een datalek door onvoldoende cybersecurity kan dus zowel een GDPR- als een NIS2-boete opleveren. Dubbele aansprakelijkheid is reëel.
Bestuurdersaansprakelijkheid: het wordt persoonlijk
Het meest ingrijpende aspect van NIS2 is wellicht de persoonlijke aansprakelijkheid van bestuurders. Artikel 20 van de richtlijn stelt dat het management van essentiële en belangrijke entiteiten cybersecuritymaatregelen moet goedkeuren, toezicht moet houden op de implementatie en aansprakelijk kan worden gesteld bij nalatigheid.
Dit betekent concreet:
- Bestuurders moeten aantoonbaar cybersecuritytraining hebben gevolgd
- Het management moet risicobeheermaatregelen formeel goedkeuren
- Bij ernstige nalatigheid kunnen bestuurders persoonlijk aansprakelijk worden gesteld
- In het uiterste geval kan een tijdelijk bestuursverbod worden opgelegd
De boodschap is helder: cybersecurity is geen IT-probleem meer — het is een bestuurlijke verantwoordelijkheid. Bestuurders die cybersecurity delegeren zonder adequate betrokkenheid lopen persoonlijk risico.
Tijdlijn: de Cyberbeveiligingswet in Nederland
De Europese NIS2-richtlijn had uiterlijk op 17 oktober 2024 in nationale wetgeving omgezet moeten worden. Nederland loopt achter op schema, maar de Cyberbeveiligingswet (Cbw) is in voorbereiding en wordt naar verwachting in 2025 aangenomen.
Organisaties die denken dat ze nog tijd hebben, vergissen zich. De richtlijn is al van kracht op Europees niveau en toezichthouders bereiden zich voor. Wachten tot de Nederlandse wet formeel ingaat, betekent dat u achter de feiten aanloopt.
De verstandige aanpak is nu beginnen met compliance. Niet omdat het moet, maar omdat de implementatie van adequate cybersecuritymaatregelen maanden kost.
De verborgen kosten van non-compliance
Boetes zijn slechts het topje van de ijsberg. De werkelijke kosten van non-compliance omvatten:
- Reputatieschade — Publieke handhavingsmaatregelen beschadigen het vertrouwen van klanten en partners
- Operationele verstoringen — Toezichthouders kunnen corrigerende maatregelen opleggen die de bedrijfsvoering raken
- Verlies van aanbestedingen — Steeds meer opdrachtgevers eisen NIS2-compliance als voorwaarde
- Hogere verzekeringspremies — Cyberverzekeraars toetsen NIS2-compliance bij de risicobeoordeling
- Incidentkosten — Zonder adequate maatregelen zijn de kosten van een daadwerkelijk incident vele malen hoger
Onderzoek van IBM becijfert de gemiddelde kosten van een datalek in 2025 op ruim €4,5 miljoen. Non-compliance vergroot niet alleen de kans op zo'n incident, maar ook de gevolgen ervan.
Wat kunt u nu doen?
Compliance begint met inzicht. Weet u welke NIS2-verplichtingen op uw organisatie van toepassing zijn? Heeft uw bestuur de risico's formeel geadresseerd? Is uw incidentresponsplan actueel?
De eerste stap is een gap-analyse: waar staat uw organisatie nu en wat is er nodig om te voldoen aan de eisen? Dit hoeft geen maandenlang traject te zijn. Met de juiste aanpak heeft u binnen weken een helder beeld van uw compliance-status.
Nexus-7 helpt organisaties bij het in kaart brengen van hun NIS2-verplichtingen en het implementeren van proportionele maatregelen — niet meer dan nodig, maar wel voldoende om compliant te zijn en uw organisatie daadwerkelijk te beschermen.
