TLDR

De Rijksinspectie Digitale Infrastructuur handhaaft actief en persoonlijk. NIS2 is niet een IT-compliance-traject — het is een bestuurdersverantwoordelijkheid met persoonlijke aansprakelijkheid, inclusief de mogelijkheid van een tijdelijk bestuursverbod. 60 procent van de Nederlandse bestuurders weet niet eens in welke NIS2-categorie hun organisatie valt.

Boardroom-schok: handhaving begint niet met een hack

Aan het begin van 2026 ontving een Nederlandse zorginstelling een formeel handhavingsbesluit van de Rijksinspectie Digitale Infrastructuur. Geen datalek, geen ransomware-aanval, geen melding in de media. De grondslag voor het handhavingsbesluit was structureler: het ontbreken van aantoonbaar cybersecurity-beleid op bestuursniveau, geen aangewezen eindverantwoordelijke in de Raad van Bestuur, en een incident response-procedure die op papier bestond maar bij toetsing niet operationeel bleek. De bestuurder die tekende voor het jaarverslag — inclusief de paragraaf over "adequate informatiebeveiliging" — ondertekende daarmee ook zijn persoonlijke aansprakelijkheid voor de kloof tussen belofte en praktijk.

Nederland is niet de vroegste handhaver. Duitsland, waar een NIS2-equivalent al langer van kracht is, zag de BSI (Bundesamt für Sicherheit in der Informationstechnik) in de eerste zes maanden van 2025 meer dan €100 miljoen aan boetes uitdelen aan organisaties die hun meldverplichtingen niet nakwamen of structurele beveiligingstekortkomingen hadden. België legde in het tweede kwartaal van 2025 een boete van €750.000 op aan een financiële dienstverlener die een incident niet binnen de verplichte 24-uursgrens had gemeld. De Europese handhavingspraktijk is niet abstract meer — zij is een calibratiepunt voor wat de RDI in 2026 en verder zal doen.

Het meest verontrustende gegeven: AON Cyber in Focus 2024 stelde vast dat 60 procent van de Nederlandse bestuurders niet weet of hun organisatie als NIS2-essentieel of NIS2-belangrijk is geclassificeerd. De inspectie weet het wel. Zij heeft een register.

€10 mln
maximale boete voor essentiële entiteiten — of 2% van de wereldwijde omzet (CBW Art. 26)
24 uur
voor eerste melding na ontdekking van significant incident — niet na interne consensus
60%
van Nederlandse bestuurders kent de NIS2-classificatie van hun organisatie niet (AON 2024)
Bestuursverbod
RDI kan bestuurders tijdelijk verbieden een leidinggevende functie te vervullen (NIS2 Art. 20)

Wat NIS2 concreet van u vraagt

NIS2 — geïmplementeerd als Cyberbeveiligingswet (CBW), in werking getreden Q1 2026 — is niet een IT-standaard die u aan uw CISO delegeert. Artikel 20 van de richtlijn bepaalt expliciet dat de managementorganen van essentiële en belangrijke entiteiten de cybersecurity-risicobeheermaatregelen moeten goedkeuren, verantwoordelijkheid dragen voor de uitvoering en een opleiding dienen te volgen die hen in staat stelt risico's te beoordelen en de impact van beslissingen op de organisatie te begrijpen. Het is geen informatieplicht. Het is een competentieplicht.

De verplichte maatregelen onder Artikel 21 omvatten: een risicobeheerbeleid met documentatieplicht, een incident response-plan dat aantoonbaar operationeel is, business continuïteitsmaatregelen inclusief back-upbeheer en herstelcapaciteit, supply chain-risicobeheer voor tier-1 leveranciers, implementatie van encryptie en MFA, en een 24-uursmeldverplichting bij significante incidenten. Elk van deze vereisten heeft een bestuurlijke handtekening nodig. Elke tekortkoming is een handhavingsgrond.

"'Ik wist het niet' is onder NIS2 geen verweer. Het is een bekentenis: u was niet op de hoogte van iets waarvoor u wettelijk verantwoordelijk bent. Dat verergert de situatie."

Waarom dit ertoe doet

De overgang van cybersecurity als IT-verantwoordelijkheid naar bestuurdersverantwoordelijkheid is niet incrementeel — hij is structureel. Artikel 20(2) van NIS2 geeft bevoegde autoriteiten de bevoegdheid om bestuurders van essentiële entiteiten tijdelijk te verbieden een leidinggevende functie te vervullen bij aantoonbare nalatigheid. Dit is geen theoretische bepaling. De Belgische en Duitse handhavingspraktijk laat zien dat autoriteiten bereid zijn dit instrumentarium te gebruiken. Een persoonlijk bestuursverbod heeft gevolgen die ruim verder reiken dan de organisatie die is beboet.

Het 24-uursmeldvenster is operationeel de meest kritieke vereiste. De verplichting geldt voor het eerste meldingsmoment — niet voor een volledig incident-rapport, maar voor een initiële notificatie dat een significant incident heeft plaatsgevonden. Dit betekent dat uw escalatieprocedure uw CISO, juridische afdeling en bestuurder in staat moet stellen om binnen vier tot zes uur na ontdekking een meldingsbesluit te nemen. De meeste bestaande IR-procedures zijn niet op dit tempo ingericht. De procedure die "binnen werkdagen" reageert, voldoet niet.

NIS2 staat niet op zichzelf. DORA (Digital Operational Resilience Act, van kracht januari 2025) geldt voor meer dan 500 Nederlandse financiële instellingen en vereist vergelijkbare bestuurlijke betrokkenheid bij ICT-risicobeheer, derde-partij-contractbeheer en operationele veerkrachttests. De CRA stelt eisen aan softwareproducenten. De AI Act vereist risicobeheersystemen voor hoog-risico AI-toepassingen die overlappen met NIS2-verplichtingen voor wie AI inzet in kritieke processen. U staat niet voor drie afzonderlijke compliance-trajecten — u staat voor één geïntegreerd governance-programma dat u ofwel centraal inricht, ofwel gefragmenteerd probeert bij te benen.

Beleidscontext

De Cyberbeveiligingswet (CBW) — de Nederlandse implementatie van NIS2, Staatsblad 2025 — geeft de RDI bevoegdheden tot bestuurlijke boetes (Art. 26: €10 miljoen of 2% wereldwijde omzet voor essentiële entiteiten, €7 miljoen of 1,4% voor belangrijke entiteiten), last onder dwangsom, en het tijdelijk opleggen van een bestuursverbod. De RDI heeft een handhavingsteam van 40 fte dat proactief toezicht houdt — niet reactief na een incident, maar op basis van periodieke audits en thematisch onderzoek.

De essentiële-entiteiten-classificatie omvat sectoren zoals energie, transport, bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, digitale infrastructuur en overheid. Belangrijke entiteiten omvatten post, afvalbeheer, chemie, voedselproductie en een brede categorie digitale aanbieders. De sectorale grenzen zijn ruimer dan veel organisaties aannemen — uw IT-dienstverlener, uw logistiek platform of uw medisch hulpmiddel kan u in scope plaatsen. Organisaties die twijfelen, kunnen de zelfscan van het NCSC gebruiken als eerste indicatie, maar de formele kwalificatie vereist juridische analyse.

Wat kunt u morgen doen?

  • Stel vast of uw organisatie als essentieel of belangrijk is geclassificeerd. Dit is de meest urgente stap. U kunt geen NIS2-compliance inrichten als u niet weet in welke categorie u valt, welke sectorspecifieke eisen gelden en welke toezichtsautoriteit voor u bevoegd is. Gebruik de NCSC-zelfscan als startpunt en laat de uitkomst juridisch valideren. Dit is een taak voor de komende twee weken, niet het komend kwartaal.
  • Laat een NIS2 gap-analyse uitvoeren door een externe partij. Niet door uw eigen CISO of IT-afdeling — hun belang bij een positieve beoordeling is te groot. Een externe audit identificeert de kloof tussen wat uw beleidsdocumenten beloven en wat uw systemen en procedures daadwerkelijk leveren. Die kloof is de handhavingsgrond. Weet u waar die kloof zit voordat de RDI het u vertelt.
  • Wijs een bestuurder aan als NIS2-eigenaar in de RvB. Niet de CISO — de CISO is de uitvoerder. De eigenaar in de Raad van Bestuur is degene die het risicobeheerbeleid formeel accordeert en verantwoording aflegt aan toezichthouders. Zonder formele bestuurlijke eigenaar is elke andere maatregel architectonisch gebrekkig — er is geen beslisser wanneer het erop aankomt.
  • Test uw 24-uursmeldcapaciteit. Simuleer een significant incident — een ransomware-detectie om 22:00 uur op een vrijdag — en test of uw escalatieprotocol uw CISO, juridische adviseur en bestuurder in staat stelt om voor 22:00 uur de volgende dag een initiële melding bij de RDI in te dienen. Als dat niet lukt, heeft u een compliance-gap die bij het eerste echte incident direct zichtbaar wordt voor de toezichthouder.
  • Agendeer cybersecurity als vast bestuurspunt, minimaal per kwartaal. Niet als bijlage bij het IT-rapport, maar als zelfstandig agendapunt met kwartaalrapportage over incidenten, kwetsbaarheden, compliance-status en supply chain-risico's. NIS2 Art. 20 vereist dat het managementorgaan "regelmatig" op de hoogte wordt gehouden. "Regelmatig" in handhavingspraktijk is minimaal vier keer per jaar, met gedocumenteerde besluitvorming.

Bronnen: Cyberbeveiligingswet (CBW), Staatsblad 2025 — implementatie NIS2-richtlijn Nederland; NIS2-richtlijn (EU) 2022/2555 — Art. 20 (bestuurlijke verantwoordelijkheid en aansprakelijkheid), Art. 21 (risicobeheermaatregelen), Art. 32-33 (handhaving); RDI — handhavingsteam samenstelling en bevoegdheden, jaarplan 2026; BSI (Bundesamt für Sicherheit in der Informationstechnik) — handhavingsrapportage H1 2025 (€100M+ boetes); CCN Belgium — sanctiebesluit Q2 2025 (€750.000 meldplichtschending); AON Cyber in Focus Netherlands 2024 (60% bestuurders onbekend met NIS2-classificatie); ENISA NIS2 Implementation Progress Report 2025 (60% essentiële entiteiten niet voldoet aan meldverplichting); DORA — Verordening (EU) 2022/2554 (financiële sector); CRA — Verordening (EU) 2024/2847; NCSC-NL NIS2 Zelfscan (beschikbaar via ncsc.nl)