Wat zijn de boetes voor niet naleving van de NIS2?

De boetes voor het niet naleven van de NIS2-richtlijn kunnen fors oplopen: voor essentiële entiteiten tot maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet, en voor belangrijke entiteiten tot 7 miljoen euro of 1,4% van de wereldwijde jaaromzet. Welk bedrag van toepassing is, hangt af van de categorie waarin jouw organisatie valt en van de ernst van de overtreding. Heb je vragen over wat dit voor jouw organisatie betekent? Neem gerust contact op en wij helpen je graag verder. In dit artikel beantwoorden we de meest gestelde vragen over NIS2-boetes, aansprakelijkheid en hoe je sancties voorkomt.

Hoe hoog kunnen de NIS2-boetes oplopen?

De NIS2-boetes zijn afhankelijk van de categorie van de organisatie. Voor essentiële entiteiten geldt een maximale boete van 10 miljoen euro of 2% van de totale wereldwijde jaaromzet. Voor belangrijke entiteiten ligt het maximum op 7 miljoen euro of 1,4% van de jaaromzet. Steeds het hoogste bedrag is van toepassing.

Dit zijn maximumbedragen. In de praktijk kijken toezichthouders naar factoren zoals de ernst van de overtreding, de mate van nalatigheid, de omvang van de schade en of de organisatie al eerder in overtreding was. Een kleine, eenmalige tekortkoming leidt doorgaans tot een lagere sanctie dan structureel wanbeleid op het gebied van informatiebeveiliging.

Naast financiële boetes voorziet de NIS2-richtlijn ook in andere handhavingsmaatregelen, zoals bindende aanwijzingen, verplichte audits op kosten van de organisatie en tijdelijke verboden op bepaalde activiteiten. Voor bestuurders zijn er aanvullende maatregelen mogelijk, waarover later meer.

Wie legt de NIS2-boetes op in Nederland?

In Nederland is de handhaving van de NIS2-richtlijn verdeeld over meerdere sectorale toezichthouders. Er is geen één centrale instantie die alle boetes oplegt. Welke toezichthouder bevoegd is, hangt af van de sector waarin jouw organisatie actief is.

Zo is het Agentschap Telecom verantwoordelijk voor aanbieders van digitale infrastructuur en telecomdiensten, terwijl de Rijksinspectie Digitale Infrastructuur (RDI) een rol speelt bij specifieke digitale dienstverleners. Voor de zorgsector ligt het toezicht bij de Inspectie Gezondheidszorg en Jeugd (IGJ), en voor de financiële sector bij De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM).

De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) speelt een overkoepelende coördinerende rol binnen het Nederlandse cybersecuritybeleid. De sectorale verdeling van toezicht betekent dat organisaties goed moeten weten welke toezichthouder voor hen relevant is, zodat ze weten aan welke rapportage- en meldplichten zij moeten voldoen.

Welke overtredingen leiden tot de hoogste sancties?

De zwaarste NIS2-sancties worden opgelegd bij overtredingen die de kern van de richtlijn raken: het structureel ontbreken van beveiligingsmaatregelen, het niet melden van ernstige incidenten en het negeren van aanwijzingen van de toezichthouder. Dit zijn de situaties waarin de hoogste boetes realistisch zijn.

Concreet gaat het om overtredingen zoals:

• Het niet implementeren van verplichte technische en organisatorische beveiligingsmaatregelen, zoals risicobeheer, toegangscontrole en encryptie
• Het niet tijdig melden van significante beveiligingsincidenten bij de bevoegde autoriteit
• Het niet uitvoeren van verplichte risicobeoordelingen
• Het negeren of niet opvolgen van bindende aanwijzingen van de toezichthouder
• Het bewust verstrekken van onjuiste informatie aan de toezichthouder

Hoe groter de potentiële maatschappelijke impact van een overtreding, hoe zwaarder de sanctie. Organisaties in sectoren als energie, drinkwater, gezondheidszorg en digitale infrastructuur lopen daardoor een groter risico op hoge boetes, omdat een beveiligingsincident bij hen direct gevolgen kan hebben voor de samenleving als geheel.

Zijn bestuurders persoonlijk aansprakelijk onder NIS2?

Ja, de NIS2-richtlijn introduceert persoonlijke aansprakelijkheid voor bestuurders. Wanneer een organisatie de NIS2-verplichtingen niet naleeft als gevolg van nalatigheid of bewuste keuzes op bestuursniveau, kunnen individuele bestuurders persoonlijk aansprakelijk worden gesteld. Dit is een van de meest ingrijpende elementen van de richtlijn.

Concreet betekent dit dat toezichthouders de bevoegdheid krijgen om tijdelijke verboden op te leggen aan bestuurders om leidinggevende functies uit te oefenen. Dit geldt specifiek voor essentiële entiteiten en is bedoeld als stok achter de deur om bestuurders te dwingen cybersecurity serieus te nemen op directieniveau.

De persoonlijke aansprakelijkheid onderstreept dat NIS2-compliance geen taak is die volledig gedelegeerd kan worden aan een IT-afdeling of externe leverancier. Bestuurders dienen aantoonbaar betrokken te zijn bij het beveiligingsbeleid, risicobeoordelingen goed te keuren en te zorgen dat er voldoende middelen beschikbaar zijn voor de uitvoering ervan. Documentatie van deze betrokkenheid is dan ook essentieel.

Hoe kan een organisatie NIS2-boetes voorkomen?

NIS2-boetes zijn te voorkomen door tijdig de juiste beveiligingsmaatregelen te implementeren, een duidelijk incidentmeldproces in te richten en aantoonbaar te voldoen aan de verplichtingen uit de richtlijn. De sleutel ligt in proactief handelen in plaats van reageren nadat een incident zich heeft voorgedaan.

Praktische stappen om NIS2-sancties te voorkomen:

1. Bepaal of en in welke categorie jouw organisatie valt (essentieel of belangrijk) en welke toezichthouder bevoegd is
2. Voer een gedegen risicobeoordeling uit en documenteer de bevindingen en genomen maatregelen
3. Implementeer de vereiste technische en organisatorische maatregelen, waaronder toegangsbeheer, encryptie, back-upbeleid en incidentrespons
4. Richt een meldproces in voor beveiligingsincidenten, inclusief duidelijke verantwoordelijkheden en tijdlijnen
5. Betrek het bestuur actief bij het beveiligingsbeleid en zorg voor aantoonbare goedkeuring van risicobeoordelingen
6. Laat je beleid periodiek toetsen door een onafhankelijke audit

Een onafhankelijke audit kan hierbij een waardevolle rol spelen. Wij helpen organisaties bij het inzichtelijk maken van hun huidige beveiligingsniveau en het identificeren van verbeterpunten. Via onze informatiebeveiligingsdiensten ondersteunen we organisaties bij het opbouwen van een solide beveiligingsfundament dat aansluit op de NIS2-vereisten.

Organisaties die al werken met een erkend normenkader zoals ISO 27001 certificering hebben een voorsprong: veel van de NIS2-vereisten overlappen met de maatregelen die in zo’n kader al zijn opgenomen. Een bestaand managementsysteem voor informatiebeveiliging biedt dan ook een sterke basis om NIS2-compliance te realiseren en aantoonbaar te maken tegenover toezichthouders.

Wil je weten waar jouw organisatie nu staat en wat er nog nodig is om NIS2-boetes te voorkomen? Neem contact op en plan een vrijblijvend gesprek met een van onze specialisten.

Gerelateerde artikelen

• Wat zijn de kosten van NEN 7510 onderhoud?
• Welke certificeringsinstelling is het beste voor NEN 7510?
• Wat is NEN 7510?
• Wat is vulnerability management volgens NEN 7510?
• Hoe bereid je je voor op hercertificering?