NIS2-incidentmelding: de deadlines van 24 uur, 72 uur en 1 maand uitgelegd
Onder NIS2 is incidentmelding niet optioneel en niet flexibel. Wanneer een significant incident optreedt, heb je 24 uur voor je eerste notificatie — geen 24 werkuren, niet "zodra redelijkerwijs mogelijk." Vierentwintig uur vanaf het moment dat je er kennis van neemt.
Dit artikel legt de drie meldingsfasen uit, verklaart wat kwalificeert als een "significant incident" en geeft je een praktisch raamwerk om je meldproces op te bouwen vóór je het nodig hebt.
De drie meldingsfasen
Artikel 23 van de NIS2-richtlijn stelt een driefasenproces vast:
NIS2 Incidentmeldingstijdlijn
24hVroege Waarschuwing
Meld het significante incident binnen 24 uur na ontdekking bij de bevoegde autoriteit (CSIRT/NCA).
Stap 172hIncidentmelding
Dien binnen 72 uur een gedetailleerde melding in met een eerste beoordeling van ernst, impact en indicatoren van compromittering.
Stap 21moEindrapport
Lever binnen één maand een uitgebreid eindrapport op met oorzaakanalyse, genomen maatregelen en grensoverschrijdende impact.
Stap 324hVroege Waarschuwing
Meld het significante incident binnen 24 uur na ontdekking bij de bevoegde autoriteit (CSIRT/NCA).
72hIncidentmelding
Dien binnen 72 uur een gedetailleerde melding in met een eerste beoordeling van ernst, impact en indicatoren van compromittering.
1moEindrapport
Lever binnen één maand een uitgebreid eindrapport op met oorzaakanalyse, genomen maatregelen en grensoverschrijdende impact.
Fase 1: Vroegtijdige waarschuwing — binnen 24 uur
Deadline: Binnen 24 uur na kennisname van het significante incident.
Bij wie melden: Je nationale bevoegde autoriteit ÉN het relevante CSIRT.
Wat je moet vermelden:
- Of het incident vermoedelijk is veroorzaakt door onrechtmatige of kwaadwillige handelingen
- Of het grensoverschrijdende impact zou kunnen hebben
Wat je nog niet nodig hebt: Een volledige analyse, oorzaak of gedetailleerde impactbeoordeling. Dit is een vroegtijdige waarschuwing — het doel is autoriteiten snel te alerteren zodat ze kunnen coördineren indien nodig.
Kernpunt: De 24-uursklok start wanneer je kennis neemt van het incident, niet wanneer het plaatsvond. Als een incident vrijdagnacht plaatsvond maar je het pas maandagochtend detecteert, start de klok maandagochtend.
Praktische tip: Heb een vooringevuld meldingssjabloon klaar. Als er een incident toeslaat, wil je niet onder druk uitzoeken welk formulier je moet invullen. Bereid het sjabloon voor, ken het meldportaal van je autoriteit en oefen het proces.
Fase 2: Incidentmelding — binnen 72 uur
Deadline: Binnen 72 uur na kennisname (dit vervangt of werkt de vroegtijdige waarschuwing bij).
Wat je moet vermelden:
- Een eerste beoordeling van de ernst en impact van het incident
- Indicators of compromise (IoC's) indien beschikbaar
- Een update van de informatie in de vroegtijdige waarschuwing
Dit is waar je de eerste inhoudelijke analyse levert. Je moet een duidelijker beeld hebben van wat er is gebeurd, welke systemen zijn getroffen, hoeveel mensen of diensten zijn geraakt en wat je eerste indammingsmaatregelen zijn.
Fase 3: Eindrapport — binnen 1 maand
Deadline: Binnen één maand na de incidentmelding (fase 2).
Wat je moet vermelden:
- Een gedetailleerde beschrijving van het incident, inclusief ernst en impact
- Het type dreiging of de oorzaak dat het incident waarschijnlijk heeft veroorzaakt
- Toegepaste en lopende mitigerende maatregelen
- Indien van toepassing, de grensoverschrijdende impact
Als het onderzoek langer duurt, moet je op het éénmaandspunt een voortgangsrapport indienen en een eindrapport wanneer het onderzoek is afgerond.
Wat kwalificeert als een "significant incident"?
Niet elk beveiligingsvoorval activeert de meldplicht. NIS2 definieert een significant incident als een incident dat:
- Ernstige operationele verstoring van de diensten of financieel verlies heeft veroorzaakt of kan veroorzaken
- Andere personen heeft getroffen of kan treffen door het veroorzaken van aanzienlijke materiële of immateriële schade
Is NIS2 van toepassing op uw organisatie?
1Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?
Ja▼Nee▼2Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?
✗NIS2 is niet rechtstreeks van toepassing op uw organisatie.
Ja▼Nee▼✓NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.
3Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?
Ja▼!NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.
1Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?
Ja ↓Nee →2Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?
Ja ↓Nee →3Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?
Ja ↓Nee →✗NIS2 is niet rechtstreeks van toepassing op uw organisatie.
✓NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.
!NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.
Van toepassingMogelijk van toepassingNiet van toepassing
Voorbeelden van significante incidenten:
- Ransomware-aanval die productiesystemen versleutelt en operaties stillegt
- Datalek dat persoonsgegevens van klanten of medewerkers blootlegt
- DDoS-aanval die je diensten langdurig onbereikbaar maakt
- Ketencompromittering waarbij een gecompromitteerde leverancier aanvallers toegang geeft tot je systemen
Voorbeelden die waarschijnlijk NIET significant zijn:
- Een phishing-e-mail die is gedetecteerd en geblokkeerd
- Een mislukte inlogpoging
- Een kwetsbaarheid ontdekt tijdens routinescanning (vóór exploitatie)
Bij twijfel: meld het. Het is beter een vroegtijdige waarschuwing te doen die achteraf onnodig blijkt, dan de 24-uursdeadline te missen voor een echt significant incident.
Bij wie meld je?
Elke EU-lidstaat wijst zijn eigen bevoegde autoriteit en CSIRT aan. Je moet bij beide melden:
| Land | Bevoegde autoriteit | CSIRT |
|---|---|---|
| België | CCB | CERT.be |
| Duitsland | BSI | CERT-Bund |
| Nederland | RDI (verwacht) | NCSC-NL |
| Frankrijk | ANSSI | CERT-FR |
| Italië | ACN | CSIRT Italia |
| Spanje | CCN-CERT / INCIBE | CCN-CERT / INCIBE-CERT |
| Polen | NASK (verwacht) | CERT Polska |
Let op: Als je incident grensoverschrijdende impact heeft, coördineert het CSIRT van jouw land met CSIRT's in andere getroffen lidstaten. Jij meldt bij je nationale autoriteit; zij regelen de grensoverschrijdende coördinatie.
Je incidentmeldproces opbouwen
Wacht niet tot je een incident hebt om het meldproces uit te zoeken. Bouw het nu op:
1. Voorbereiding vóór een incident
- Identificeer je autoriteiten — weet precies wie je nationale bevoegde autoriteit en CSIRT zijn
- Registreer op meldportalen — veel landen hebben online portalen; registreer vóór je ze nodig hebt
- Maak meldsjablonen — vul alles voor wat je kunt (organisatiegegevens, contactpersonen, sectorclassificatie)
- Definieer rollen — wie in je organisatie is verantwoordelijk voor de melding? Wie is de achtervang?
- Stel een escalatiepad vast — van detectieteam naar management naar juridisch naar externe melding
2. Tijdens het incident
Volg deze tijdlijn:
| Tijd | Actie |
|---|---|
| T+0 | Incident gedetecteerd — klok start |
| T+1u | Eerste beoordeling: is dit potentieel significant? Zo ja, activeer meldproces |
| T+4u | Informeer management — zij moeten betrokken zijn bij de formele melding |
| T+12u | Bereid vroegtijdige waarschuwing voor met beschikbare informatie |
| T+24u | DEADLINE: Dien vroegtijdige waarschuwing in bij bevoegde autoriteit en CSIRT |
| T+48u | Vervolg onderzoek, verzamel IoC's, beoordeel ernst |
| T+72u | DEADLINE: Dien incidentmelding in met eerste beoordeling |
| T+1 week | Vervolg onderzoek en herstel |
| T+1 maand | DEADLINE: Dien eindrapport in met oorzaakanalyse en mitigerende maatregelen |
3. Na het incident
- Voer een lessons learned review uit — wat werkte, wat niet, wat moet veranderen
- Werk je incidentresponsplan bij op basis van bevindingen
- Werk je meldsjablonen bij als je hiaten ontdekte tijdens het proces
- Oefen — voer een tabletop-oefening uit met het werkelijke incident als scenario
Sancties voor niet-melden
NIS2 bestraft niet alleen onvoldoende beveiligingsmaatregelen — het bestraft specifiek tekortkomingen in incidentmelding:
- Niet-melden binnen de vereiste termijnen is een afzonderlijke overtreding met eigen sancties
- Dit geldt bovenop eventuele sancties voor het onderliggende beveiligingsincident
- De boodschap is helder: zelfs als een inbreuk onvermijdelijk was, maakt niet-tijdig melden de situatie aanzienlijk erger
Veelgestelde vragen
"Wat als we niet zeker weten of het significant is?"
Meld het. Je kunt de melding altijd later bijwerken of sluiten. Het niet-melden van een significant incident binnen 24 uur is een overtreding. Te veel melden niet.
"Moeten we ook bij de politie melden?"
NIS2 vereist melding bij je bevoegde autoriteit en CSIRT. Als het incident criminele activiteit betreft, kan je bevoegde autoriteit rechtshandhaving inschakelen.
"Hoe zit het met AVG-melding?"
Als het incident persoonsgegevens betreft, moet je mogelijk ook onder de AVG melden (72-uursmelding bij de Autoriteit Persoonsgegevens). Dit zijn afzonderlijke verplichtingen. Coördineer beide meldingen.
"Kan onze incidentrespons-provider de melding namens ons doen?"
De verplichting ligt bij de entiteit. Je kunt de praktische taak delegeren, maar de juridische verantwoordelijkheid blijft bij je organisatie en haar bestuur.
Beoordeel je incidentgereedheid
Onze gratis NIS2-quickscan omvat een beoordeling van je incidentafhandeling en meldgereedheid — een van de 10 Artikel 21-maatregelcategorieën. Ontdek of je organisatie klaar is voor de 24-uursklok.
Lees ook
- NIS2 en bestuurdersaansprakelijkheid — Waarom je bestuur betrokken moet zijn bij incidentgovernance
- De 10 Artikel 21-maatregelen uitgelegd — Incidentafhandeling is maatregel 2 van 10
- NIS2 voor MSPs — MSPs moeten melden ÉN klanten informeren