De Belgische NIS2-wet is sinds 18 oktober 2024 van kracht en bevat sancties die verder gaan dan de meeste zaakvoerders beseffen. Boetes tot €10 miljoen, persoonlijke bestuurdersaansprakelijkheid en zelfs een tijdelijk bestuursverbod: het zijn geen theoretische scenario’s, maar wettelijk verankerde consequenties. In dit artikel leest u welke boetes de wet voorziet, wat u als bestuurder persoonlijk riskeert en hoe u sancties voorkomt.
De vijf NIS2-boetecategorieën in België
De Belgische NIS2-wet (Wet van 26 april 2024) hanteert een gelaagd sanctiesysteem met vijf categorieën. Elke categorie heeft een minimumboete van €500, wat betekent dat zelfs kleine overtredingen financiële gevolgen hebben.
De eerste categorie betreft de registratieplicht: wie zich niet of niet correct registreert bij het CCB (Centre for Cybersecurity Belgium) riskeert een boete van €500 tot €125.000. De registratie via Safeonweb@Work moest uiterlijk op 18 maart 2025 zijn afgerond, en al op 18 december 2024 voor digitale dienstverleners zoals cloudproviders.
De tweede en derde categorie dekken respectievelijk represailles tegen klokkenluiders (€500 tot €200.000) en niet-meewerken aan toezicht door het CCB (eveneens €500 tot €200.000). Dat laatste is bijzonder relevant: wie een inspectie belemmert of informatieverzoeken negeert, riskeert onmiddellijk sancties.
De zwaarste sancties treffen entiteiten die de kernverplichtingen rond risicobeheer en incidentmelding niet naleven:
| Categorie | Boetevork | Geldt voor |
|---|---|---|
| Niet-registratie bij CCB | €500 – €125.000 | Alle NIS2-entiteiten |
| Represailles tegen klokkenluiders | €500 – €200.000 | Alle NIS2-entiteiten |
| Niet-meewerken aan toezicht | €500 – €200.000 | Alle NIS2-entiteiten |
| Niet-naleving beveiligingsmaatregelen | €500 – €7.000.000 of 1,4% omzet | Belangrijke entiteiten |
| Niet-naleving beveiligingsmaatregelen | €500 – €10.000.000 of 2% omzet | Essentiële entiteiten |
Belangrijk detail: bij het berekenen van de omzet kan de volledige groepsomzet meetellen wanneer meerdere vennootschappen één economische eenheid vormen. Bij herhaalde overtredingen binnen drie jaar wordt de boete verdubbeld.
Twee uitzonderingen: overheidsentiteiten in de sector “overheidsdiensten” krijgen bindende instructies in plaats van boetes (maar een openbaar ziekenhuis kan wél beboet worden). Bank- en financiële instellingen vallen onder DORA in plaats van NIS2.
Bestuurdersaansprakelijkheid: de echte gamechanger
Het meest ingrijpende verschil met de GDPR zit in artikel 31 van de Belgische NIS2-wet. Waar GDPR-boetes uitsluitend de organisatie treffen, maakt NIS2 bestuurders voor het eerst persoonlijk aansprakelijk voor cybersecuritynalatigheid.
Artikel 31 legt vier concrete verplichtingen op aan het bestuursorgaan. Ten eerste: de cybersecurity-risicobeheermaatregelen goedkeuren. Ten tweede: toezicht houden op de implementatie ervan. Ten derde: aansprakelijk zijn voor inbreuken door de entiteit. En ten vierde, misschien de meest opvallende verplichting: bestuurders moeten verplicht cybersecurityopleidingen volgen om risico’s te kunnen identificeren en beoordelen.
De wet definieert “lid van een bestuursorgaan” bewust breed. Volgens de memorie van toelichting omvat dit elke persoon die bevoegd is om de entiteit te besturen, beslissingen te nemen of controle uit te oefenen. Dat betekent dat ook feitelijke bestuurders en controlerende aandeelhouders gevat kunnen worden, niet alleen de formele raad van bestuur. De controle wordt bepaald conform de artikelen 1:14 tot 1:18 van het Wetboek van Vennootschappen en Verenigingen (WVV).
Artikel 61 voegt daar nog een laag aan toe: natuurlijke personen die verantwoordelijk zijn voor een essentiële of belangrijke entiteit zijn persoonlijk aansprakelijk voor schendingen. Voor essentiële entiteiten kan het CCB bovendien een tijdelijk verbod op het uitoefenen van bestuursfuncties opleggen. Dat is een maatregel zonder equivalent in de GDPR.
De inwerkingtreding van Boek 6 van het nieuw Burgerlijk Wetboek op 1 januari 2025 versterkt deze blootstelling. De quasi-immuniteit van bestuurders tegenover derden is afgeschaft, wat betekent dat derden bestuurders nu rechtstreeks kunnen aanspreken voor buitencontractuele aansprakelijkheid bij cybersecuritynalatigheid.
Welke overtredingen leiden tot NIS2-boetes?
Voor Vlaamse zaakvoerders is het essentieel om te begrijpen welke concrete handelingen (of het uitblijven daarvan) tot sancties leiden. De Belgische wet identificeert vijf kerngebieden.
Niet-registratie bij het CCB is de meest voor de hand liggende overtreding (boete tot €125.000). Elke entiteit die onder NIS2 valt, moet zich via Safeonweb@Work registreren.
Niet-naleving van de elf verplichte beveiligingsmaatregelen vormt het hart van de verplichtingen. Denk aan risicoanalysebeleid, incidentafhandeling, bedrijfscontinuïteit, supply chain security en multifactorauthenticatie. Dit zijn de maatregelen die het CyberFundamentals framework (CyFun) concreet invult. Weet u niet welk kader bij uw organisatie past? In ons artikel over het CyberFundamentals framework leest u hoe CyFun de NIS2-verplichtingen vertaalt naar concrete stappen.
Niet-melding van incidenten is eveneens een zelfstandige overtreding. NIS2 hanteert een vijfstappenprotocol: een early warning binnen 24 uur, een volledige incidentmelding binnen 72 uur en een eindverslag binnen één maand. Komt uw bedrijf ooit in een crisissituatie terecht? In ons stappenplan bedrijf gehackt: de eerste 7 stappen leest u wat u onmiddellijk moet doen.
Niet-meewerken aan toezicht door het CCB (inspectie, informatieverzoek) levert een boete tot €200.000 op. En het niet-naleven van bestuurdersverplichtingen (geen goedkeuring van maatregelen, geen toezicht, geen opleidingen) kan leiden tot persoonlijke aansprakelijkheid en een tijdelijk bestuursverbod.
Hoe handhaaft het CCB in de praktijk?
Het CCB is de nationale toezichthouder voor NIS2 in België. Het maakt een belangrijk onderscheid tussen twee types entiteiten.
Essentiële entiteiten staan onder ex ante én ex post toezicht: zij moeten te allen tijde kunnen aantonen dat zij conform zijn, via periodieke conformiteitsbeoordelingen. Belangrijke entiteiten vallen uitsluitend onder ex post toezicht: het CCB grijpt pas in na een incident of bij aanwijzingen van niet-naleving.
De inspectiedienst van het CCB beschikt over ruime bevoegdheden: inspecties ter plaatse, controles op afstand, ad-hocaudits, beveiligingsscans en verzoeken om informatie. De sanctieprocedure voorziet in waarborgen: het CCB informeert de entiteit over de voorgenomen sanctie en geeft de kans om zich te verdedigen.
In de praktijk heeft het CCB tot op heden (maart 2026) nog geen enkele NIS2-boete opgelegd. De aanpak is tot nu toe constructief en begeleidend. Maar die overgangsperiode nadert zijn einde. Tussen oktober 2024 en september 2025 ontving het CCB 279 incidentmeldingen van NIS2-entiteiten: het gemiddeld aantal maandelijkse meldingen steeg van circa 25 naar 45. Eind 2025 waren circa 1.500 essentiële en 2.500 belangrijke entiteiten geregistreerd.
De volgende cruciale deadline is 18 april 2026: tegen die datum moeten essentiële NIS2-entiteiten hun CyFun-zelfbeoordeling of ISO 27001-documentatie aan het CCB overmaken. Tegen april 2027 moet een voortgangsrapport volgen.
NIS2 vs. GDPR: waarom de vergelijking zaakvoerders wakker schudt
Veel bestuurders kennen GDPR-handhaving al. De vergelijking met NIS2 is verhelderend. De Belgische Gegevensbeschermingsautoriteit (GBA) heeft sinds 2018 een relatief bescheiden track record opgebouwd. De hoogste overeind gebleven boete bedroeg €250.000 (IAB Europe, 2022). In 2024 legde de GBA een boete van €200.000 op aan een ziekenhuis na een ransomware-aanval: de eerste Belgische GDPR-zaak specifiek gericht op onvoldoende cybersecuritymaatregelen. In ons artikel over het GBA strategisch plan 2026 leest u hoe de GBA haar handhaving verscherpt.
Het fundamentele verschil: onder de GDPR bevat de verordening zelf geen specifieke bepalingen over persoonlijke bestuurdersaansprakelijkheid. Boetes treffen de organisatie. NIS2 doorbreekt dat patroon: het maakt bestuursorganen expliciet en rechtstreeks aansprakelijk, legt een opleidingsplicht op en voorziet in een bestuursverbod als ultieme sanctie.
| Aspect | GDPR | NIS2 |
|---|---|---|
| Maximale boete | €20 miljoen of 4% omzet | €10 miljoen of 2% omzet |
| Boete treft | De organisatie | De organisatie én de bestuurder |
| Persoonlijke aansprakelijkheid | Niet expliciet in verordening | Expliciet in art. 31 en 61 |
| Opleidingsplicht bestuurder | Nee | Ja, verplicht |
| Bestuursverbod | Nee | Ja, voor essentiële entiteiten |
| Belgische handhaving tot nu toe | Bescheiden (hoogste: €250.000) | Nog geen boetes opgelegd |
Hoe voorkomt u NIS2-boetes?
De meest effectieve bescherming tegen NIS2-sancties is proactief handelen. Een praktisch stappenplan:
- Controleer uw registratie bij het CCB via Safeonweb@Work. Nog niet geregistreerd? Doe dit onmiddellijk, want niet-registratie is de eenvoudigste overtreding om vast te stellen.
- Laat een gap-analyse uitvoeren. Een cybersecurity audit brengt in kaart waar uw organisatie staat ten opzichte van de NIS2-verplichtingen en levert een concrete roadmap met prioriteiten op.
- Kies uw compliance-kader: CyFun of ISO 27001. De meerderheid van de Belgische organisaties kiest CyFun. In ons vergelijkingsartikel leest u welk kader het beste bij uw organisatie past.
- Plan de conformiteitsbeoordeling ruim voor de deadline van 18 april 2026. Een traject van nul naar beoordeling duurt typisch 3 tot 6 maanden.
- Volg als bestuurder cybersecurityopleidingen. Dit is geen aanbeveling maar een wettelijke verplichting.
Vlaamse KMO’s kunnen voor het begeleidingstraject gebruikmaken van VLAIO-subsidies: tot 50% subsidie via het cybersecurity verbetertraject.
Wilt u weten waar uw bedrijf staat? Boek een kennismaking en ontdek hoe u NIS2-compliant wordt zonder kopzorgen.
Veelgestelde vragen over NIS2 boetes in België
Wat zijn de maximale NIS2-boetes in België?
Essentiële entiteiten riskeren boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet (het hoogste bedrag telt). Belangrijke entiteiten riskeren tot €7 miljoen of 1,4% van de omzet. Bij herhaalde overtredingen binnen drie jaar wordt de boete verdubbeld.
Kan ik als bestuurder persoonlijk beboet worden onder NIS2?
Ja. Artikel 31 en 61 van de Belgische NIS2-wet voorzien expliciet in persoonlijke aansprakelijkheid voor leden van het bestuursorgaan. Bij essentiële entiteiten kan het CCB zelfs een tijdelijk verbod op het uitoefenen van bestuursfuncties opleggen.
Zijn er al NIS2-boetes opgelegd in België?
Nee, tot maart 2026 heeft het CCB nog geen enkele NIS2-boete opgelegd. De toezichthouder kiest voorlopig voor een begeleidende aanpak, maar het wettelijk kader is volledig operationeel en de eerste conformiteitsdeadline (18 april 2026) nadert snel.
Wat is het verschil tussen NIS2-boetes en GDPR-boetes?
Het belangrijkste verschil is de persoonlijke dimensie. Onder de GDPR treffen boetes uitsluitend de organisatie. NIS2 maakt bestuurders persoonlijk aansprakelijk, legt hen een opleidingsplicht op en voorziet in een bestuursverbod. De maximale NIS2-boete (€10 miljoen of 2% omzet) is lager dan de GDPR (€20 miljoen of 4%), maar de impact op bestuurders is groter.
Wanneer is de eerstvolgende NIS2-deadline?
De eerstvolgende cruciale deadline is 18 april 2026. Tegen die datum moeten essentiële NIS2-entiteiten hun CyFun-zelfbeoordeling of ISO 27001-documentatie aan het CCB overmaken. Tegen april 2027 volgt een voortgangsrapport.
Moet ik als bestuurder een cybersecurityopleiding volgen?
Ja, dit is een wettelijke verplichting onder artikel 31 van de Belgische NIS2-wet. Leden van het bestuursorgaan moeten over voldoende kennis en vaardigheden beschikken om cybersecurityrisico’s te identificeren en risicobeheerpraktijken te beoordelen.
