NIS2-meldingstemplates zijn nu officieel: wat verandert er voor jouw klanten

Op 26 mei 2026 vergaderde de NIS2-samenwerkingsgroep in Cyprus voor haar 39e plenaire zitting en bereikte overeenstemming over iets dat al ontbrak sinds de richtlijn van kracht werd: gemeenschappelijke templates voor incidentmeldingen. Elke EU-lidstaat. Één format. Voor het eerst.

Dit is belangrijker dan het klinkt. Vóór dit besluit vereiste Artikel 23 dat bedrijven significante incidenten binnen 24 uur, 72 uur en één maand moesten melden — maar hoe ze dat moesten doen, hing af van welke nationale autoriteit uw klant viel. Een Nederlandse fabrikant en een Duitse logistieke dienstverlener konden totaal verschillende meldprocedures volgen voor hetzelfde type incident. Die inconsistentie wordt nu aangepakt.

De samenwerkingsgroep — bestaande uit vertegenwoordigers van alle EU-lidstaten, de Europese Commissie en ENISA — heeft deze templates als eerste stap aangenomen. De Commissie volgt op met een uitvoeringshandeling om ze verplicht te maken in alle 27 lidstaten.

Wat de templates daadwerkelijk standaardiseren

De kernfunctie van de nieuwe templates is harmonisatie van meldvelden. In plaats van dat elke nationale CSIRT zijn eigen intakeformulier bepaalt, vullen organisaties dezelfde gestructureerde gegevenspunten in, ongeacht waar ze geregistreerd zijn.

Verwacht dat de templates betrekking hebben op: incidentclassificatie, getroffen systemen en diensten, geschat aantal getroffen gebruikers, tijdlijn van gebeurtenissen, initiële inperkingsmaatregelen en of externe leveranciers betrokken zijn. Dit is geen vereenvoudigde vragenlijst — het is een gestructureerd format ontworpen om autoriteiten snel de informatie te geven die ze nodig hebben om de ernst te beoordelen.

Voor uw klanten betekent dit dat de 24-uurse eerste melding niet meer alleen een snelle telefoontje of e-mail is. Vanaf dag één moeten specifieke gestructureerde velden worden ingevuld. Als uw klant geen incidentresponsproces heeft dat gekoppeld is aan die velden, zullen ze onder druk moeten improviseren.

NIS2 Incidentmeldingstijdlijn
24h
⚡Vroege Waarschuwing
Meld het significante incident binnen 24 uur na ontdekking bij de bevoegde autoriteit (CSIRT/NCA).
Stap 1
72h
📋Incidentmelding
Dien binnen 72 uur een gedetailleerde melding in met een eerste beoordeling van ernst, impact en indicatoren van compromittering.
Stap 2
1mo
📊Eindrapport
Lever binnen één maand een uitgebreid eindrapport op met oorzaakanalyse, genomen maatregelen en grensoverschrijdende impact.
Stap 3
24h
⚡Vroege Waarschuwing
Meld het significante incident binnen 24 uur na ontdekking bij de bevoegde autoriteit (CSIRT/NCA).
72h
📋Incidentmelding
Dien binnen 72 uur een gedetailleerde melding in met een eerste beoordeling van ernst, impact en indicatoren van compromittering.
1mo
📊Eindrapport
Lever binnen één maand een uitgebreid eindrapport op met oorzaakanalyse, genomen maatregelen en grensoverschrijdende impact.

Waarom de aankondiging van het "enkelvoudig meldpunt" belangrijk is

De goedkeuring van de templates vond niet geïsoleerd plaats. De samenwerkingsgroep heeft deze templates expliciet afgestemd op een bredere initiatief: de Digital Omnibus, een voorgesteld EU-kader dat een enkelvoudig meldpunt zou creëren voor het melden van incidenten onder meerdere regelgevingen — NIS2, DORA, de Richtlijn Veerkracht van Kritieke Entiteiten (CER) en andere.

Op dit moment moet een financieel bedrijf dat zowel een NIS2 "essentiële entiteit" is als onder DORA valt, hetzelfde incident mogelijk twee keer melden, aan twee verschillende autoriteiten, in twee verschillende formats. De Digital Omnibus beoogt dit op te lossen.

Voor MSP's en IT-consultants die gereguleerde sectoren bedienen — bankwezen, verzekeringen, fintech, gezondheidszorg — is deze convergentie significant. Uw incidentresponshandboeken en communicatieworkflows voor klanten moeten al gebouwd zijn met overlap van meerdere regelgevingen in gedachten. Als dat niet het geval is, begin daar.

De uitvoeringshandeling is cruciaal om te volgen. Zodra deze in het Publicatieblad verschijnt, zijn autoriteiten van lidstaten verplicht deze templates te accepteren. Tot dan opereren uw klanten nog onder het nationale proces van hun autoriteit.

Artikel 23: Een korte opfrisser over de deadlines

De nieuwe templates passen in een bestaande Artikel 23-meldingsstructuur. Die structuur is niet veranderd. Wat verandert, is wat u bij elke fase klaar moet hebben.

24-uurse vroegtijdige waarschuwing: Melding aan uw nationale CSIRT of bevoegde autoriteit dat er een significant incident heeft plaatsgevonden. "Significant" betekent dat het incident ernstige operationele verstoring of financieel verlies veroorzaakt of kan veroorzaken, of andere personen aanzienlijke materiële of immateriële schade toebrengt.

72-uurse incidentmelding: Een gedetailleerdere rapportage met initiële beoordeling van het incident — ernst, indicatoren van compromittering en eventuele grensoverschrijdende impact. Met de nu aangenomen gemeenschappelijke templates moet dit rapport overeenkomen met het gestructureerde format zodra de uitvoeringshandeling van kracht is.

Eindrapport na één maand: Volledig verslag van het incident inclusief analyse van de hoofdoorzaak, responsmaatregelen en genomen of geplande maatregelen om herhaling te voorkomen.

Het meest voorkomende faalmoment voor organisaties is de overgang van 24u naar 72u. De vroege waarschuwing gaat vaak uit met minimale details. Dan komen de 72 uur en er is geen documentatie, geen gestructureerde gegevens en het incident is nog steeds gaande. Uw taak als consultant is om het proces te bouwen vóór een incident plaatsvindt — niet erna.

NIS2 Incidentmeldingstijdlijn
24h
⚡Vroege Waarschuwing
Meld het significante incident binnen 24 uur na ontdekking bij de bevoegde autoriteit (CSIRT/NCA).
Stap 1
72h
📋Incidentmelding
Dien binnen 72 uur een gedetailleerde melding in met een eerste beoordeling van ernst, impact en indicatoren van compromittering.
Stap 2
1mo
📊Eindrapport
Lever binnen één maand een uitgebreid eindrapport op met oorzaakanalyse, genomen maatregelen en grensoverschrijdende impact.
Stap 3
24h
⚡Vroege Waarschuwing
Meld het significante incident binnen 24 uur na ontdekking bij de bevoegde autoriteit (CSIRT/NCA).
72h
📋Incidentmelding
Dien binnen 72 uur een gedetailleerde melding in met een eerste beoordeling van ernst, impact en indicatoren van compromittering.
1mo
📊Eindrapport
Lever binnen één maand een uitgebreid eindrapport op met oorzaakanalyse, genomen maatregelen en grensoverschrijdende impact.

Wat MSP's en IT-consultants nu moeten doen

1. Breng de meldingsketens van uw klanten in kaart

Elke klant die kwalificeert als essentiële of belangrijke entiteit heeft een gedocumenteerde incidentmeldingsketen nodig: wie de melding activeert, wie hem opstelt, wie hem indient en bij welke autoriteit. Dit klinkt vanzelfsprekend. De meeste organisaties hebben dit niet op papier staan.

2. Bouw de templatevelden vooraf in uw IR-proces

Ook al is de uitvoeringshandeling nog niet gepubliceerd, de templatevelden zijn te anticiperen op basis van standaard CSIRT-intakevereisten. Bouw nu een conceptincidentrapportagetemplate met de verwachte gestructureerde velden. Wanneer de officiële templates worden gepubliceerd, hoeft u slechts kleine aanpassingen te doen — niet opnieuw beginnen.

3. Verduidelijk uw contractuele verplichtingen

Als u beheerde SOC-, incidentrespons- of beveiligingsmonitoringsdiensten levert aan een NIS2-gedekte klant, controleer dan uw contract. Bent u contractueel verantwoordelijk voor het indienen van incidentmeldingen namens hen? Zo ja, moeten uw SLA-tijdlijnen rekening houden met de 24-uurse vroegtijdige waarschuwing — inclusief 's nachts en in het weekend.

Veel MSP-contracten zijn opgesteld vóór NIS2 volledig werd gehandhaafd. Nu handhaving actief is in verschillende lidstaten en het regelgevende kader aanscherpt, moeten die contracten worden bijgewerkt.

4. Bouw meldingsgereedheid in uw gap-analyses

Een klant kan sterke technische maatregelen hebben en toch een regelgevingsreview niet doorstaan omdat zijn incidentmeldingsproces niet voldoet aan de Artikel 23-vereisten. Incidentresponsgereedheid moet een op zichzelf staand onderdeel zijn van elke NIS2-gap-analyse die u uitvoert.

Gebruik de NIS2Certify quick scan om een baseline te krijgen van waar uw klanten staan voor alle Artikel 21-maatregelen — inclusief incidentafhandeling — vóór hun eerste regulatoire contact.

Artikel 21 — 10 NIS2 Cybersecuritymaatregelen
🛡️
Artikel 21
10 Cybersecuritymaatregelen
📊Governance & Strategie
1Risicoanalyse & informatiebeveiligingsbeleid
6Effectiviteitsbeoordeling van beveiligingsmaatregelen
🚨Incidenten & Continuïteit
2Incidentafhandeling & melding
3Bedrijfscontinuïteit & disaster recovery
🔗Toeleveringsketen & Systemen
4Beveiliging van de toeleveringsketen
5Beveiliging bij de ontwikkeling van netwerk- en informatiesystemen
🔐Technische Beheersing
8Cryptografie & versleuteling
10Multi-factor authenticatie & veilige communicatie
👥Mensen & Middelen
7Cyberhygiëne & training
9HR-beveiliging & toegangscontrole

Het grotere beeld: handhaving is begonnen

De goedkeuring van de templates vond niet in een vacuüm plaats. Het maakt deel uit van een bredere aanscherping van NIS2-handhaving in de EU in 2026.

Duitslands BSI begon in Q1 2026 met actieve handhaving. België opende zijn formele conformiteitsbeoordelingsvenster op 18 april 2026 — de eerste lidstaat die een harde auditdeadline stelde. Italië's ACN categoriseerde entiteiten en stelde een indieningsdeadline voor juni 2026. Nederland publiceerde de Cyberbeveiligingswet en voert nu zijn eerste reviewcycli uit.

Frankrijk is nog bezig met de afronding van zijn omzetting, maar ANSSI publiceerde in maart 2026 het ReCyF (Référentiel Cyber France) v2.5 — een raamwerk met 152 maatregelen afgestemd op NIS2 dat Franse entiteiten geacht worden te volgen, zelfs vóór de wet formeel wordt aangenomen.

Wat dit betekent: uw klanten kunnen NIS2 niet langer behandelen als een toekomstig probleem. Autoriteiten zijn actief, audits beginnen en incidentmeldingsprocessen zullen worden onderzocht in de eerste golf van beoordelingen.

Voor elke klant die u nog niet heeft beoordeeld: de tijd om die kloof te dichten is nu, niet na hun eerste incident.

Wat u vervolgens moet volgen

Twee zaken om nauwlettend in de gaten te houden:

De tijdlijn van de uitvoeringshandeling: De Europese Commissie heeft nog geen concept-uitvoeringshandeling gepubliceerd. Wanneer deze verschijnt in het Publicatieblad, begint de klok voor verplichte adoptie. Houd de EUR-Lex-feed in de gaten voor alles wat verwijst naar Artikel 23 van NIS2.

De voortgang van de Digital Omnibus: Het voorstel voor een enkelvoudig incidentmeldingspunt is nog steeds een voorstel. Maar als het doorgaat, zal het aanzienlijk veranderen hoe multi-gereguleerde entiteiten rapportering afhandelen. MSP's in de financiële sector moeten dit in het bijzonder nauwlettend volgen — het zal van invloed zijn op hoe DORA en NIS2 in de praktijk overlappen. Zie ook onze post over NIS2 vs DORA voor de huidige stand van die overlap.

De conclusie

De EU heeft incidentmeldingen op papier eenvoudiger gemaakt. In de praktijk verhoogt het de lat: gestructureerde templates betekenen dat autoriteiten rapporten nu kunnen vergelijken en controleren in alle lidstaten, en inconsistente of onvolledige inzendingen zullen opvallen.

Als uw klanten geen gedocumenteerd, geoefend incidentmeldingsproces hebben, lopen ze risico. Niet alleen op boetes — maar op het soort regulatoire aandacht dat volgt op slechte incidentafhandeling.

Begin met het proces. Zorg dat de documentatie op orde is. Zorg dan dat de NIS2-compliance posture van uw klanten dit weerspiegelt.

→ Voer een gestructureerde NIS2-gereedheidstoets uit voor uw klanten op nis2certify.org/quick-scan.