Analoge klok met bewegende secondewijzer op glazen bureau naast laptop met cybersecurity dashboard, rood waarschuwingslicht, dramatische belichting.

Binnen welke termijn moet je een incident melden onder NIS2?

/in /door

Onder NIS2 moet je een significant incident binnen 24 uur na ontdekking melden als vroege waarschuwing bij de bevoegde autoriteit. Daarna volgt een uitgebreider rapport binnen 72 uur, en uiteindelijk een eindrapportage binnen één maand. Deze gelaagde meldtermijn geldt voor organisaties die onder de Nederlandse Cyberbeveiligingswet vallen, de nationale implementatie van NIS2 die naar verwachting in het tweede kwartaal van 2026 in werking treedt. In dit artikel beantwoorden we de meest gestelde vragen over de NIS2-meldplicht, zodat je weet wat je wanneer moet doen.

Wat telt er als een meldplichtig incident onder NIS2?

Een meldplichtig incident onder NIS2 is een beveiligingsincident dat een significante impact heeft op de continuïteit van je dienstverlening of op de vertrouwelijkheid, integriteit of beschikbaarheid van netwerk- en informatiesystemen. Niet elk technisch probleem valt hieronder, maar de drempel ligt bewust laag om vroegtijdige signalering te bevorderen.

Concrete voorbeelden van situaties die al snel als significant worden beschouwd:

  • Een ransomware-aanval die systemen of data versleutelt en de bedrijfsvoering verstoort
  • Een datalek waarbij persoonsgegevens of bedrijfskritische informatie zijn blootgesteld
  • Een DDoS-aanval die je diensten voor een aanzienlijke periode onbereikbaar maakt
  • Ongeautoriseerde toegang tot kritieke systemen, ook als de schade nog niet zichtbaar is
  • Uitval van essentiële ICT-infrastructuur door een cyberaanval of sabotage

De beoordeling draait om twee kernvragen: heeft het incident merkbare gevolgen voor je dienstverlening, en zijn er risico’s voor andere partijen in de keten? Als één van beide vragen met “ja” wordt beantwoord, is melden in de meeste gevallen verplicht. Bij twijfel geldt het voorzorgsbeginsel: melden is beter dan niet melden.

Welke stappen moet je doorlopen binnen de eerste 24 uur?

Binnen 24 uur na ontdekking van een significant incident moet je een vroege waarschuwing indienen bij de bevoegde autoriteit. Dit is nog geen volledig rapport, maar een eerste signaal dat aangeeft dat er een incident heeft plaatsgevonden, wat de aard ervan is en of er mogelijk grensoverschrijdende gevolgen zijn.

In de praktijk betekent dit dat je de volgende stappen zo snel mogelijk doorloopt:

  1. Constateer en classificeer het incident: Bepaal zo snel mogelijk of het incident als significant kan worden aangemerkt op basis van de impact op je systemen of dienstverlening.
  2. Activeer je incident response plan: Zet het interne crisisteam in werking en zorg dat de juiste personen op de hoogte zijn, inclusief het bestuur.
  3. Verzamel eerste feitelijke informatie: Noteer wanneer het incident is ontdekt, welke systemen betrokken zijn en wat de eerste inschatting van de impact is.
  4. Dien de vroege waarschuwing in: Stuur via het meldportaal van de bevoegde autoriteit de eerste melding in. Volledigheid is op dit moment minder belangrijk dan tijdigheid.
  5. Start met beheersmaatregelen: Isoleer getroffen systemen, blokkeer verdere verspreiding en documenteer alle acties nauwkeurig voor de vervolgrapportage.

Het is cruciaal dat je organisatie dit proces vooraf heeft ingeoefend. Wie doet wat, wie heeft toegang tot het meldportaal en wie is bevoegd om namens de organisatie te melden? Deze vragen moeten beantwoord zijn vóórdat een incident zich voordoet.

Wat is het verschil tussen de 24-uurs-, 72-uurs- en maandmelding?

De NIS2-meldtermijn kent drie opeenvolgende stappen die elk een ander doel dienen en een andere mate van detail vereisen. Samen vormen ze een gelaagd meldproces dat toezichthouders in staat stelt snel te reageren én later een volledig beeld te krijgen.

Vroege waarschuwing binnen 24 uur

De eerste melding is een snelle signalering. Je geeft aan dat er een incident heeft plaatsgevonden, wat de globale aard is en of er mogelijk grensoverschrijdende of sectorbrede gevolgen zijn. Volledigheid is hier niet vereist, maar tijdigheid wel. Het doel is dat de autoriteit weet dat er iets speelt en zo nodig kan bijspringen of andere partijen kan waarschuwen.

Incidentmelding binnen 72 uur

Binnen drie dagen na ontdekking volgt een uitgebreidere melding. Hierin beschrijf je de aard van het incident, de getroffen systemen, de vermoedelijke oorzaak en de maatregelen die je hebt genomen of gaat nemen. Als de initiële beoordeling onjuist bleek, kun je dit hier corrigeren. Dit rapport vormt de basis voor toezicht en eventuele sectorale informatiedeling.

Eindrapportage binnen één maand

De eindrapportage geeft een volledig beeld van het incident: de technische oorzaak, de tijdlijn, de omvang van de schade, de genomen herstelmaatregelen en de lessen die zijn getrokken. Dit rapport dient ook als intern verantwoordingsdocument richting bestuur en toezichthouders. Hoe gedetailleerder en eerlijker dit rapport is, hoe beter je aantoont dat je de NIS2-meldplicht serieus neemt.

Bij welke autoriteit moet je een NIS2-incident melden?

Waar je een NIS2-incident meldt, hangt af van de sector waarin je organisatie actief is. In Nederland wijst de Cyberbeveiligingswet per sector een bevoegde autoriteit aan die toezicht houdt op de naleving van de wet en waarbij incidenten worden gemeld.

Voor de meeste organisaties in de ICT-dienstverlening, digitale infrastructuur en aanverwante sectoren is het Nationaal Cyber Security Centrum (NCSC) of een sectorspecifieke toezichthouder het aangewezen meldpunt. Denk aan:

  • NCSC: voor aanbieders van essentiële diensten en rijksoverheidsorganisaties
  • Agentschap Telecom: voor aanbieders van elektronische communicatienetwerken en -diensten
  • DNB of AFM: voor financiële instellingen
  • IGJ: voor organisaties in de zorgsector

Naast de NIS2-melding kan er ook een meldplicht bestaan onder de AVG bij de Autoriteit Persoonsgegevens, namelijk wanneer het incident ook een datalek betreft. Beide meldingen staan los van elkaar en hebben elk hun eigen termijnen. Het is verstandig om in je incident response plan vooraf te bepalen welke meldplichtige situaties van toepassing kunnen zijn op jouw organisatie.

Wat zijn de gevolgen als je te laat of niet meldt?

Als je een meldplichtig incident niet of te laat meldt onder NIS2, riskeer je aanzienlijke bestuurlijke boetes. Voor essentiële entiteiten kunnen deze oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten gelden lagere maxima, maar de consequenties blijven ingrijpend.

Naast financiële sancties zijn er andere serieuze gevolgen om rekening mee te houden:

  • Persoonlijke aansprakelijkheid van bestuurders: NIS2 maakt bestuurders individueel verantwoordelijk voor de naleving. Dit betekent dat een directeur of commissaris persoonlijk aansprakelijk kan worden gesteld bij aantoonbare nalatigheid.
  • Reputatieschade: Toezichthouders kunnen besluiten tot openbaarmaking van sancties, wat directe gevolgen heeft voor het vertrouwen van klanten en partners.
  • Operationele beperkingen: In ernstige gevallen kan een toezichthouder tijdelijk ingrijpen in de bedrijfsvoering of licenties intrekken.
  • Verlies van aanbestedingskansen: Organisaties die aantoonbaar niet voldoen aan de Cyberbeveiligingswet lopen risico te worden uitgesloten van overheids- en zakelijke aanbestedingen.

Het niet naleven van de meldplicht wordt dus op meerdere niveaus gesanctioneerd. Tijdig en correct incident melden NIS2 is daarmee niet alleen een wettelijke verplichting, maar ook een essentieel onderdeel van goed bestuur.

Hoe bereid je je organisatie voor op tijdige incidentmelding?

Tijdige NIS2-incidentmelding lukt alleen als je de voorbereiding op orde hebt voordat een incident zich voordoet. De meeste organisaties die te laat melden, doen dat niet uit onwil, maar omdat de processen, rollen en tools niet klaarstaan op het moment dat het er echt om gaat.

Een solide voorbereiding omvat minimaal de volgende elementen:

  • Incident response plan: Documenteer stap voor stap wat er moet gebeuren bij een incident, inclusief wie de bevoegde autoriteit is voor jouw sector en hoe het meldportaal werkt.
  • Duidelijke rolverdeling: Wijs vooraf aan wie verantwoordelijk is voor de melding, wie het bestuur informeert en wie extern communiceert. Zorg dat deze personen ook back-ups hebben.
  • Toegang tot het meldportaal: Registreer je organisatie tijdig en zorg dat meerdere personen toegang hebben. Ontdekken dat je geen account hebt op het moment van een incident is een veelgemaakte fout.
  • Classificatieprotocol: Stel criteria op waarmee je snel kunt bepalen of een incident als significant moet worden aangemerkt. Dit voorkomt onnodige discussies onder tijdsdruk.
  • Regelmatige oefeningen: Simuleer incidentscenario’s met het crisisteam, inclusief de meldprocedure. Zo ontdek je knelpunten voordat ze in een echte situatie opduiken.
  • Bewustwording bij bestuurders: Bestuurders worden persoonlijk aansprakelijk gesteld. Zij moeten begrijpen wat de meldplicht inhoudt en wat er van hen verwacht wordt bij een incident.

Technische maatregelen zoals monitoring en detectie zijn eveneens onmisbaar. Je kunt immers alleen melden wat je ook daadwerkelijk ontdekt. Investeer daarom in tools die afwijkend gedrag in je netwerk vroegtijdig signaleren.

Hoe Puur ICT helpt met NIS2-incidentmelding

NIS2-compliance is voor veel organisaties een complexe opgave, zeker als het aankomt op de concrete invulling van de meldplicht. Wij helpen je als Microsoft 365-specialist en gecertificeerde ICT-dienstverlener om dit proces van begin tot eind goed in te richten. Concreet bieden wij:

  • Een nulmeting van je huidige beveiligingssituatie en maturiteit op het gebied van incidentrespons
  • Begeleiding bij het opstellen van een incident response plan dat aansluit op de NIS2-meldtermijnen
  • Implementatie van technische detectie- en monitoringoplossingen binnen het Microsoft-ecosysteem
  • Bestuurderstraining zodat directie en management aantoonbaar voldoen aan de opleidingsplicht
  • Doorlopend beheer en ondersteuning, zodat je organisatie ook na implementatie compliant blijft

We werken pragmatisch, in begrijpelijke taal en met korte lijnen, zodat je altijd weet waar je aan toe bent. Wil je weten hoe je organisatie er nu voor staat en wat er nodig is om tijdig te kunnen melden? Neem contact op met Puur ICT en we kijken samen wat de eerste stap is.

Gerelateerde artikelen

Gerelateerde artikelen

Misschien ook iets voor u
Senior professional in pak bestudeert een organisatiediagram op bureau, met laptop met beveiligingsdashboard op achtergrond.Wie is verantwoordelijk voor NIS2-compliance binnen een organisatie?
Opgeruimd modern bureau met open laptop, kleurgecodeerde mappen, sticky notes en koffiekop in zacht natuurlijk licht.Hoe richt je een digitale werkomgeving in zodat kennis makkelijk overdraagbaar is?
Hangslot op laptoptoetsenbord omringd door ethernetkabels en notitieboekje, symboliseert cybersecurity op kantoor.Waar begin je als je je organisatie cybersecurityproof wilt maken?
Moderne laptop op een opgeruimd bureau met draadloze muis, kabels en een succulent in zacht daglicht.Hoe moderniseer je de digitale werkplek van je organisatie zonder alles overhoop te gooien?
Onbeheerde laptop met gevoelige documenten op scherm in modern kantoor, koffiekopje op bureau, natuurlijk raamlicht.Hoe voorkom je dat medewerkers onbewust de beveiliging van je organisatie in gevaar brengen?
Gouden messing hangslot op modern bureau naast geordende mappen, groene plant op achtergrond, kantoorbeveiliging.Hoe beveilig je je organisatie goed zonder dat het een enorm project of grote investering wordt?
Weelderige groene plant met vertakte stengels groeiend uit een open laptoptoetsenbord op een wit modern bureau in natuurlijk daglicht.Hoe zorg je dat je digitale werkomgeving meegroeit met de manier waarop je organisatie verandert?
Kantoormedewerker bij laptop met fysiek hangslot en toegangspas op toetsenbord, symboliseert digitale beveiliging op de werkvloer.Hoe zorg je dat iedereen in je organisatie bewust omgaat met digitale veiligheid?

De ICT Specialist uit het Noorden

De ICT specialist uit het Noorden; het kantoor van Puur ICT in Heerenveen mag dan wel gelegen zijn in Friesland, maar wij zijn actief in het hele land.

Met onze oplossingen om jouw ICT te versimpelen en bedrijfsprocessen te verbeteren ontzorgen wij onze klanten. Onze ICT specialisten nemen jou graag mee op reis naar de Microsoft 365 cloud om de ICT functionaliteit vanuit Microsoft 365 volledig te benutten.

Contactgegevens

Tel:  +31 (0) 88 165 2300
Email:  info@puurict.nl

Hoofdkantoor Heerenveen
Abe Lenstra Boulevard 62
8448 JB HEERENVEEN

Vestiging Amsterdam
Hullenbergweg 413
1101 CS AMSTERDAM

Cookieverklaring
Privacyverklaring
Algemene voorwaarden
Kennisbank

Volg ons ook op

LinkedIn

YouTube

© Copyright - Puur ICT | De Microsoft 365 specialist uit het Noorden