NIS2 boetes en risico's: wat staat er op het spel?
NIS2 introduceert hogere boetes dan de AVG en voegt persoonlijke aansprakelijkheid voor bestuurders toe. Wat zijn de concrete bedragen, wanneer worden ze opgelegd en wat kun je doen om het risico te beperken?
Van alle verplichtingen die NIS2 met zich meebrengt, trekken de boete- en aansprakelijkheidsbepalingen de meeste aandacht van bestuurders. Terecht. De maximumbedragen liggen hoger dan bij de AVG voor kleine en middelgrote organisaties, en de persoonlijke aansprakelijkheid van managers is een noviteit in Europese cybersecuritywetgeving.
Dit artikel geeft een feitelijk overzicht van de handhavingsbepalingen, zoals vastgelegd in NIS2 art. 32 en 33 en uitgewerkt in de Nederlandse Cyberbeveiligingswet (CBw).
De boetecategorieën per entiteitstype
NIS2 onderscheidt twee categorieën organisaties met bijbehorende maximumboetes.
| Categorie | Maximumboete | Alternatief op omzetbasis | Drempel |
|---|---|---|---|
| Essentiële entiteiten | €10.000.000 | 2% van de wereldwijde jaaromzet | Hoogste bedrag geldt |
| Belangrijke entiteiten | €7.000.000 | 1,4% van de wereldwijde jaaromzet | Hoogste bedrag geldt |
Voor een essentiële entiteit met een wereldwijde omzet van €800 miljoen bedraagt de maximumboete daarmee €16 miljoen (2% × €800M is hoger dan €10M). Voor een bedrijf met €30 miljoen omzet geldt het vaste maximum van €10 miljoen.
Ter vergelijking: de AVG kent een maximumboete van €20 miljoen of 4% van de wereldwijde omzet voor de zwaarste overtredingen. De NIS2-boetes zijn lager voor grote multinationals, maar steviger voor middelgrote bedrijven.
Wanneer worden boetes opgelegd?
De toezichthouder legt geen boetes op bij elke tekortkoming. Handhaving verloopt doorgaans via drie fasen.
Fase 1: Aanwijzing
De toezichthouder constateert een overtreding en geeft een aanwijzing met een hersteltermijn. Dit is de meest voorkomende interventie bij eerste overtredingen of gebrekkige documentatie.
Fase 2: Dwangsom
Als de aanwijzing niet wordt opgevolgd, kan een dwangsom worden opgelegd per dag of week dat de overtreding voortduurt. Dwangsommen variëren van enkele duizenden tot tienduizenden euro's per dag, afhankelijk van de ernst.
Fase 3: Bestuurlijke boete
Een directe bestuurlijke boete volgt bij ernstige overtredingen, aanhoudende niet-naleving of als een incident heeft plaatsgevonden waarbij gebrekkige beveiliging aantoonbaar de schade heeft vergroot.
Omstandigheden die de hoogte van een boete beïnvloeden:
| Factor | Effect op boete |
|---|---|
| Ernst en duur van de overtreding | Hoog gewicht |
| Opzet of grove nalatigheid | Verhogend |
| Medewerking aan onderzoek | Verlagend |
| Maatregelen die al zijn getroffen | Verlagend |
| Eerdere overtredingen | Verhogend |
| Schade bij derden als gevolg van incident | Verhogend |
Bestuurdersaansprakelijkheid: persoonlijk risico
Het meest ingrijpende onderdeel van NIS2 voor individuele managers is de persoonlijke aansprakelijkheid (NIS2 art. 20 jo. art. 32 lid 5). Toezichthouders kunnen bij een ernstige inbreuk:
- Bestuurders tijdelijk verbieden bepaalde managementfuncties uit te oefenen
- Bestuurders verplichten een publieke verantwoording af te leggen
- Individuele managers aansprakelijk stellen als aantoonbaar is dat hun nalaten de inbreuk heeft veroorzaakt of verergerd
Dit verschilt wezenlijk van de AVG, waar boetes doorgaans bij de rechtspersoon (het bedrijf) terechtkomen. NIS2 maakt het expliciet mogelijk om individuele bestuurders te treffen.
Praktijkscenario: een logistiek bedrijf in de transportsector (essentiële entiteit) had in 2 jaar geen enkele cybersecuritytraining georganiseerd voor medewerkers, geen incidentresponsplan en geen MFA op externe toegang. Na een ransomware-aanval die 4 dagen productie stillegde, stelde de toezichthouder een onderzoek in. De CEO kon niet aantonen dat hij de beveiligingsmaatregelen ooit formeel had goedgekeurd. Naast een bedrijfsboete van €340.000 werd een persoonlijk boete van €45.000 opgelegd en tijdelijk bestuurlijk verbod voor 6 maanden.
Overige handhavingsmaatregelen
Naast boetes beschikken toezichthouders over aanvullende bevoegdheden:
| Maatregel | Toepassing |
|---|---|
| Tijdelijke sluiting of beperkingen | Bij aanhoudend ernstig risico voor publieke veiligheid |
| Publicatie van niet-naleving | "Name and shame" bij herhaalde overtredingen |
| Verplichte externe audit | Op kosten van de entiteit |
| Verplichte melding aan klanten/gebruikers | Als incident hun belangen raakt |
Verhouding tot de AVG
Als een cybersecurityincident ook leidt tot een datalek, kunnen tegelijk NIS2-sancties en AVG-handhaving van toepassing zijn. De toezichthouders werken in Nederland samen (NCSC, AP), maar sancties kunnen naast elkaar staan.
Voor de AVG geldt een meldplicht van 72 uur na ontdekking (AVG art. 33). Voor NIS2 zijn er drie meldmomenten: 24 uur (vroegtijdige waarschuwing), 72 uur (formele melding) en 30 dagen (eindrapportage, NIS2 art. 23). Bij een incident dat onder beide regelingen valt, gelden beide meldplichten tegelijk.
Stappenplan: risico beperken in zes stappen
Stap 1: vaststellen of je essentieel of belangrijk bent
De categorie bepaalt het maximumboetebedrag. Gebruik de NIS2 zelfscan om je positie te bepalen.
Stap 2: nulmeting documenteren
Laat een schriftelijke nulmeting maken van je huidige beveiligingsmaatregelen. Bestaande maatregelen werken verlagend op een eventuele boete, maar alleen als je ze kunt aantonen.
Stap 3: beleid vaststellen en ondertekenen
Stel een informatiebeveiligingsbeleid op en laat dit door de directie ondertekenen. Dit is de minimumeis voor aantoonbare naleving van art. 20.
Stap 4: incidentresponsplan opstellen
Weet wie wat doet bij een incident. Een procedure die de 24-uurs meldtermijn borgt is onderdeel van de basisvereisten. Zie incident response plan.
Stap 5: technische basismaatregelen invoeren
Multifactorauthenticatie, patchbeheer en back-up zijn de minimale technische maatregelen. Zie NIS2 technische maatregelen.
Stap 6: bestuur trainen
Plan een cybersecuritytraining voor het management. Dit is een expliciete wettelijke verplichting en werkt sterk verlagend bij een eventuele boeteoplegging.
NIS2 versus AVG: handhaving vergeleken
Beide regelingen kunnen tegelijk van toepassing zijn na een incident waarbij persoonsdata is gelekt. Het is nuttig te begrijpen hoe ze van elkaar verschillen.
| Aspect | NIS2 | AVG |
|---|---|---|
| Maximumboete (licht) | €7 miljoen of 1,4% omzet | €10 miljoen of 2% omzet |
| Maximumboete (zwaar) | €10 miljoen of 2% omzet | €20 miljoen of 4% omzet |
| Persoonlijke aansprakelijkheid | Ja, expliciet (art. 20 en 32) | Nee, in principe alleen rechtspersoon |
| Meldplicht termijn | 24 uur (waarschuwing), 72 uur (melding), 30 dagen (rapport) | 72 uur bij datalek met risico |
| Toezichthouder | Sectorspecifiek (Agentschap Telecom, ACM, CIBG e.a.) | Autoriteit Persoonsgegevens (AP) |
| Reikwijdte | Netwerk- en informatiesystemen | Verwerking van persoonsgegevens |
| Proactief toezicht | Ja, voor essentiële entiteiten | Beperkt, voornamelijk klachtgericht |
Als een ransomware-aanval leidt tot gestolen klantdata, zijn zowel de NIS2-toezichthouder als de AP bevoegd om te handhaven. De boetes worden niet automatisch gecombineerd of gemaximeerd, maar beide toezichthouders houden rekening met elkaars besluiten bij het bepalen van de sanctie. Zorg dat je incidentprocedure beide meldtermijnen borgt.
Cyberverzekering als aanvullende bescherming
Een cyberverzekering dekt schade door incidenten maar dekt geen boetes van toezichthouders. Wel vergoedt een polis doorgaans herstelkosten, advocaatkosten bij toezichtsonderzoeken en aansprakelijkheidsclaims van derden. De jaarpremie voor een MKB-bedrijf met 50 medewerkers ligt tussen €2.000 en €6.000, afhankelijk van de sector en het huidige beveiligingsniveau. Lees meer bij cyberverzekering.
Veelgestelde vragen
Kan een MKB-bedrijf daadwerkelijk €10 miljoen boete krijgen?
Het maximum geldt, maar toezichthouders kijken naar draagkracht en proportionaliteit. Voor een bedrijf met €5 miljoen omzet is de 2%-regel leidend: maximaal €100.000. Het absolute maximum van €10 miljoen is relevant voor grote organisaties.
Worden bestuurdersboetes ook verhaald op het bedrijf?
Nee, persoonlijke boetes zijn voor rekening van de bestuurder zelf. D&O-verzekeringen (Directors & Officers) kunnen hier dekking voor bieden, maar sommige polissen sluiten boetes expliciet uit. Controleer je polis.
Hoe snel na een incident volgt handhaving?
Toezichthouders starten doorgaans een onderzoek als een significant incident is gemeld of publiek is geworden. De doorlooptijd van onderzoek tot boetebesluit varieert van 3 maanden tot meer dan een jaar.
Geldt NIS2 ook voor buitenlandse bedrijven die in Nederland actief zijn?
Ja. Buitenlandse entiteiten die diensten verlenen in Nederland en vallen onder de NIS2-sectoren, zijn onderworpen aan het toezicht van de relevante Nederlandse toezichthouder.
*Zie ook: NIS2 uitleg en reikwijdte | NIS2 stappenplan | NIS2 technische maatregelen | Geldt NIS2 voor jouw bedrijf? | Incident response plan | Cyberverzekering | Tweefactorauthenticatie*