Stapel afgewezen compliance-documenten met rode stempels op verlaten bureau, verwelkende plant, dramatische schaduw door jaloezieën

Wat als je niet voldoet aan NIS2?

in

Niet voldoen aan de NIS2-richtlijn kan ernstige gevolgen hebben voor jouw organisatie. Je riskeert boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, persoonlijke aansprakelijkheid voor bestuurders, operationele beperkingen en aanzienlijke reputatieschade. Met de deadline van 2026 in zicht is het essentieel om nu te begrijpen wat er op het spel staat en welke stappen je moet nemen om compliant te worden.

Welke sancties en boetes riskeer je bij NIS2-non-compliance?

Bij het niet naleven van NIS2 kunnen toezichthouders forse financiële sancties opleggen. De boetecategorieën verschillen per type organisatie. Essentiële entiteiten riskeren boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten gelden boetes tot 7 miljoen euro of 1,4% van de omzet.

De hoogte van de daadwerkelijke boete hangt af van verschillende factoren die toezichthouders meewegen:

  • De ernst en duur van de overtreding
  • Of er sprake is van opzet of nalatigheid
  • Eerdere overtredingen van de organisatie
  • De mate van medewerking met toezichthouders
  • Welke maatregelen de organisatie heeft genomen om schade te beperken

Deze sancties zijn bedoeld om organisaties te motiveren hun cybersecurity serieus te nemen. In tegenstelling tot eerdere regelgeving kent NIS2 een strenger handhavingsregime met proactief toezicht voor grote organisaties in kritieke sectoren.

Wat betekent persoonlijke aansprakelijkheid voor bestuurders onder NIS2?

Een belangrijke wijziging ten opzichte van eerdere cybersecurityregelgeving is de persoonlijke aansprakelijkheid voor bestuurders en topmanagement. Directieleden kunnen individueel verantwoordelijk worden gehouden wanneer hun organisatie niet voldoet aan de NIS2-vereisten voor cybersecurityrisicomanagement.

Dit betekent dat bestuurders actief betrokken moeten zijn bij cybersecuritygovernance. De juridische consequenties kunnen onder meer inhouden:

  • Persoonlijke boetes voor nalatige bestuurders
  • Tijdelijke ontzetting uit bestuursfuncties
  • Civielrechtelijke aansprakelijkheid bij schade door cyberincidenten

De NIS2-richtlijn verplicht bestuurders om cybersecurityrisicobeoordelingen goed te keuren en toe te zien op de implementatie van maatregelen. Cybersecurity is daarmee geen IT-project meer, maar een organisatorisch traject met bestuurlijke verantwoordelijkheid. Veel organisaties maken de denkfout dat NIS2 kan worden uitbesteed aan de IT-leverancier, terwijl de eindverantwoordelijkheid altijd bij het bestuur blijft liggen.

Welke operationele gevolgen heeft NIS2-non-compliance voor je organisatie?

Naast financiële sancties kunnen toezichthouders ook operationele beperkingen opleggen die de bedrijfsvoering direct raken. Deze niet-financiële consequenties kunnen op lange termijn zelfs ingrijpender zijn dan de boetes zelf.

Mogelijke operationele gevolgen zijn:

  • Verplichte audits en inspecties door toezichthouders, met bijbehorende kosten en tijdsinvestering
  • Openbare bekendmaking van overtredingen, wat leidt tot reputatieschade
  • Tijdelijke opschorting van bepaalde bedrijfsactiviteiten tot compliance is bereikt
  • Uitsluiting van aanbestedingen en samenwerkingen met overheidsinstanties

De impact op zakelijke relaties kan aanzienlijk zijn. Partners en klanten stellen steeds vaker eisen aan de cybersecurity van hun leveranciers. Non-compliance kan leiden tot verlies van contracten of het niet kunnen afsluiten van nieuwe overeenkomsten. In een tijd waarin cyberaanvallen steeds verfijnder worden en de gemiddelde schade van een hack aanzienlijk is, verwachten zakelijke partners dat je jouw cybersecurity op orde hebt.

Hoe weet je of jouw organisatie onder de NIS2-richtlijn valt?

De NIS2-richtlijn is van toepassing op organisaties die actief zijn in specifieke sectoren én voldoen aan bepaalde groottecriteria. Middelgrote en grote ondernemingen in de aangewezen sectoren vallen onder de richtlijn, terwijl kleine organisaties (minder dan 50 werknemers én een omzet onder 10 miljoen euro) doorgaans zijn uitgezonderd.

De richtlijn maakt onderscheid tussen essentiële en belangrijke entiteiten. Essentiële entiteiten zijn onder meer actief in:

  • Energie (elektriciteit, olie, gas)
  • Transport (luchtvaart, spoor, water, weg)
  • Bankwezen en financiële marktinfrastructuur
  • Gezondheidszorg
  • Drinkwater en afvalwater
  • Digitale infrastructuur en ICT-dienstverlening

Belangrijke entiteiten omvatten sectoren zoals post- en koeriersdiensten, afvalbeheer, chemie, voeding en digitale aanbieders. Bij twijfel over de classificatie van jouw organisatie kunnen nationale autoriteiten duidelijkheid verschaffen. Proactief toezicht geldt voor grote organisaties (meer dan 250 werknemers of een omzet boven 50 miljoen euro) in Annex I-sectoren.

Welke stappen moet je nemen om NIS2-non-compliance te voorkomen?

Met de operationele deadline in 2026 is het verstandig om nu te starten met je voorbereidingen. Een gestructureerde aanpak helpt om tijdig compliant te worden zonder de organisatie te overbelasten.

Een praktisch stappenplan omvat de volgende actiepunten:

  • Voer een nulmeting uit om je huidige cybersecurityniveau te beoordelen en hiaten te identificeren
  • Stel een risicobeoordeling op waarin je de kroonjuwelen van je organisatie en de grootste risico’s documenteert
  • Ontwikkel incidentresponsplannen zodat je snel kunt reageren op cyberaanvallen en adequaat kunt herstellen
  • Beoordeel je supply chain security en stel eisen aan leveranciers
  • Implementeer security awareness-training voor medewerkers
  • Beleg verantwoordelijkheden en wijs een security officer aan
  • Documenteer je beleid in een helder informatiebeveiligingsbeleid

De kernvraag die veel organisaties stellen, is: wat moeten wij concreet doen om aan NIS2 te voldoen? Succesvolle implementatie vraagt om interne verantwoordelijkheid, bestuurlijke betrokkenheid én externe begeleiding voor structuur en borging. Stappenplannen en checklists zijn daarbij effectiever dan uitgebreide juridische uitleg.

Hoe helpt Hoek en Blok IT bij NIS2-compliance?

Hoek en Blok IT ondersteunt organisaties bij het volledige NIS2-compliancetraject met een pragmatische en betaalbare aanpak. Het team van NOREA-gecertificeerde EDP-auditors combineert technische expertise met auditervaring om jouw organisatie doelgericht naar compliance te begeleiden.

Concrete diensten voor NIS2-compliance:

  • NIS2-nulmeting: beoordeling van je huidige cybersecurityniveau met identificatie van hiaten en risico’s
  • IT-audits en assurance-rapportages: ISAE 3000-, ISAE 3402-verklaringen en SOC 2-rapportages
  • Penetratietests en securityassessments: identificatie van kwetsbaarheden in je IT-infrastructuur
  • IT Security Officer as-a-Service: externe invulling van de security officer-rol voor organisaties die dit niet intern kunnen beleggen
  • Security awareness-training: verhoging van het beveiligingsbewustzijn bij medewerkers

De nulmeting levert concrete deliverables op: een risicoregister, een overzicht van geïmplementeerde en ontbrekende maatregelen, een informatiebeveiligingsbeleid en een helder adviesrapport. Zo weet je precies waar je staat en welke stappen je moet zetten.

Neem contact op met Hoek en Blok IT voor een vrijblijvend adviesgesprek en ontdek hoe jouw organisatie tijdig NIS2-compliant kan worden.

Wat zijn de operationele deadlines voor NIS2 in 2026?Wandkalender 2026 met rode stempel op deadline, EU-compliancemappen en koperen klok op mahonie kantoorwandHanden van compliance officer onderzoeken regelgevingsdossier met vergrootglas op mahonie bureau, auditchecklists ernaastHoe bereid je je voor op een DORA-audit?