Gehandschoende IT-professional plaatst verzegelde envelop in serverzaal alertpaneel met knipperende amber lampjes en rackservers op de achtergrond.

Wat houdt de meldplicht bij een cyberincident onder NIS2 in?

/in /door

De NIS2 meldplicht verplicht organisaties die onder de richtlijn vallen om significante cyberincidenten binnen strikte termijnen te melden bij de bevoegde nationale autoriteit. In Nederland wordt deze verplichting verankerd in de Cyberbeveiligingswet, die naar verwachting in het tweede kwartaal van 2026 in werking treedt. In dit artikel lees je wie er moet melden, welke incidenten de meldplicht activeren, welke termijnen gelden en hoe je je organisatie hierop voorbereidt.

Wie moet een cyberincident melden onder NIS2?

Organisaties die als essentiële of belangrijke entiteit zijn aangemerkt onder de NIS2 richtlijn zijn verplicht om significante cyberincidenten te melden. In Nederland omvat dit organisaties in sectoren als energie, transport, gezondheidszorg, digitale infrastructuur, ICT-dienstverlening en financiële dienstverlening. Ook middelgrote en grote organisaties in de maakindustrie, voedselketen en overheid vallen binnen de reikwijdte.

Het onderscheid tussen essentiële entiteiten en belangrijke entiteiten is relevant voor de intensiteit van het toezicht, maar de meldplicht geldt voor beide categorieën. Essentiële entiteiten worden actief gecontroleerd, terwijl belangrijke entiteiten reactief worden gecontroleerd, bijvoorbeeld na een incident. Toch zijn de meldverplichtingen voor beide groepen vergelijkbaar.

Belangrijk om te weten: ook als je organisatie zelf niet formeel onder NIS2 valt, maar wel diensten levert aan partijen die dat wel doen, kun je indirect verplichtingen krijgen via ketenbeveiliging. Leveranciers en toeleveranciers worden steeds vaker aangesproken op hun eigen digitale weerbaarheid. Meer over security binnen Microsoft 365 en hoe dat bijdraagt aan ketenweerbaarheid lees je op de bijbehorende pagina.

Welk soort incident triggert de meldplicht?

Niet elk beveiligingsincident triggert de NIS2 meldplicht. De richtlijn spreekt van een significant incident: een incident dat aanzienlijke operationele verstoringen of financiële schade veroorzaakt, of dat andere organisaties of personen treft. Het gaat om incidenten die de beschikbaarheid, integriteit of vertrouwelijkheid van netwerk- en informatiesystemen serieus in gevaar brengen.

Concrete voorbeelden van incidenten die de meldplicht activeren:

  • Ransomware-aanvallen die systemen of diensten onbeschikbaar maken
  • Datalekken waarbij gevoelige of persoonsgebonden informatie is gecompromitteerd
  • DDoS-aanvallen die kritieke dienstverlening verstoren
  • Ongeautoriseerde toegang tot systemen met aantoonbare impact
  • Uitval van kritieke infrastructuur door een cyberaanval

De beoordeling of een incident significant is, hangt af van factoren zoals de duur van de verstoring, het aantal getroffen gebruikers, de financiële impact en of andere organisaties in de keten zijn geraakt. Bij twijfel geldt het advies: meld het incident. Niet melden terwijl dat wel had gemoeten, leidt tot aanzienlijk grotere risico’s dan een melding die achteraf niet noodzakelijk bleek.

Wat zijn de meldtermijnen onder NIS2?

De NIS2 richtlijn hanteert een gefaseerd meldproces met drie duidelijke stappen en bijbehorende termijnen. Zodra een organisatie een significant incident ontdekt, start de klok. De termijnen zijn strak en vereisen dat je incidentrespons goed is ingericht voordat een incident zich voordoet.

Stap 1: Vroegtijdige waarschuwing binnen 24 uur

Binnen 24 uur na ontdekking moet een eerste melding worden gedaan bij de bevoegde autoriteit. Deze melding hoeft nog niet volledig te zijn, maar moet aangeven dat er een significant incident heeft plaatsgevonden en of het vermoedelijk kwaadaardig van aard is. Het doel is de autoriteit snel op de hoogte te stellen zodat eventuele bredere impact kan worden gemonitord.

Stap 2: Gedetailleerde melding binnen 72 uur

Binnen 72 uur na ontdekking volgt een gedetailleerdere melding. Hierin beschrijf je de aard van het incident, de eerste beoordeling van de impact, de genomen maatregelen en eventuele grensoverschrijdende effecten. Dit is vergelijkbaar met de meldtermijn die ook geldt onder de AVG voor datalekken.

Stap 3: Eindrapportage binnen een maand

Uiterlijk één maand na de eerste melding dient een volledig eindrapport te worden ingediend. Dit rapport bevat een gedetailleerde beschrijving van het incident, de oorzaak, de getroffen maatregelen en de lessen die zijn getrokken. In bepaalde gevallen kan de autoriteit om aanvullende informatie vragen.

Wat zijn de gevolgen van niet melden?

Organisaties die nalaten een significant cyberincident te melden, riskeren forse sancties onder de NIS2 meldplicht. Voor essentiële entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten geldt een maximum van 7 miljoen euro of 1,4% van de jaaromzet.

Naast financiële sancties zijn er andere serieuze gevolgen:

  • Persoonlijke aansprakelijkheid van bestuurders: Onder de NIS2 richtlijn en de Nederlandse Cyberbeveiligingswet kunnen bestuurders persoonlijk aansprakelijk worden gesteld als zij aantoonbaar nalatig zijn geweest in het naleven van de verplichtingen.
  • Reputatieschade: Toezichthouders kunnen besluiten informatie over overtredingen openbaar te maken, met directe impact op het vertrouwen van klanten en partners.
  • Tijdelijk verbod op uitoefening van leidinggevende functies: In ernstige gevallen kan een toezichthouder een tijdelijk verbod opleggen aan bestuurders.
  • Verhoogd toezicht: Na een overtreding kan een organisatie onder verscherpt toezicht worden geplaatst, wat extra administratieve lasten met zich meebrengt.

De boodschap is duidelijk: de NIS2 meldplicht is geen administratieve formaliteit. Het niet naleven ervan heeft directe, tastbare gevolgen voor zowel de organisatie als de mensen aan het roer.

Hoe bereid je je organisatie voor op de meldplicht?

Voorbereiding op de NIS2 meldplicht begint ruim voordat een incident zich voordoet. Een goed ingericht incident response plan is de kern: daarin leg je vast wie verantwoordelijk is voor detectie, beoordeling, melding en communicatie. Zonder dit plan is het vrijwel onmogelijk om binnen 24 uur een eerste melding te doen.

Concrete stappen om je organisatie voor te bereiden:

  1. Breng je meldplicht in kaart: Stel vast of je organisatie als essentiële of belangrijke entiteit wordt aangemerkt en bij welke autoriteit je moet melden.
  2. Stel een incident response team samen: Wijs rollen toe voor detectie, technische analyse, juridische beoordeling en communicatie. Zorg dat iedereen weet wat er van hem of haar wordt verwacht.
  3. Oefen met scenario’s: Voer periodiek incidentoefeningen uit zodat het team vertrouwd raakt met de procedures en de tijdsdruk van 24 en 72 uur.
  4. Investeer in detectiecapaciteit: Je kunt alleen melden wat je ook daadwerkelijk detecteert. Zorg voor monitoring van je systemen en netwerken zodat incidenten snel worden herkend.
  5. Documenteer alles: Leg vast welke systemen je beheert, welke risico’s je hebt geïdentificeerd en welke maatregelen je hebt getroffen. Dit is niet alleen nuttig bij een incident, maar ook bij toezicht.
  6. Train je bestuur: Bestuurders moeten begrijpen wat NIS2 van hen vraagt. Aantoonbare kennis is een verplichting, geen optie.

Een goede voorbereiding vermindert niet alleen het risico op sancties, maar verkort ook de herstelperiode na een incident aanzienlijk. Organisaties die hun ICT-beheer en ondersteuning structureel op orde hebben, zijn beter in staat om snel te detecteren, te reageren en te melden.

Hoe Puur ICT helpt met NIS2 meldplicht

Wij begrijpen dat de NIS2 meldplicht voor veel organisaties een complexe en tijdgevoelige opgave is. Als Microsoft 365-specialist en gecertificeerde ICT-dienstverlener helpen wij je stap voor stap om compliant te worden én te blijven. Concreet bieden wij:

  • NIS2 nulmeting: We brengen je huidige beveiligingssituatie in kaart en stellen vast waar de grootste risico’s en hiaten zitten.
  • Incident response planning: We helpen je een gedegen incident response plan op te stellen dat aansluit op de meldtermijnen van 24 uur, 72 uur en één maand.
  • Technische maatregelen binnen Microsoft 365: Via de beveiligingsfunctionaliteiten van Microsoft 365 versterken we je detectie- en responscapaciteit.
  • Bestuurderstraining en cyber awareness: We verzorgen interactieve trainingen waarmee bestuurders aantoonbaar voldoen aan hun opleidingsplicht onder de Cyberbeveiligingswet.
  • Doorlopend beheer en rapportage: Na implementatie blijven we betrokken als vertrouwd aanspreekpunt voor beheer, monitoring en compliance-rapportage.

Wil je weten waar je organisatie nu staat en wat er nodig is om klaar te zijn voor de NIS2 meldplicht? Neem contact met ons op voor een vrijblijvend gesprek. We denken graag met je mee, in begrijpelijke taal en zonder onnodige complexiteit.

Gerelateerde artikelen

Misschien ook iets voor u
Rij verbonden kantoorgebouwen in staal- en grijstinten met beveiligingsslot op voordeur, symboliseert toeleveringsketenbeheer en regelgeving.Geldt NIS2 ook voor organisaties die niet direct in scope vallen?
Gehandschoende handen die een beschadigd serverrek herstellen in een modern datacenter met blauw en amber licht.Wat is een goede strategie om je organisatie snel te laten herstellen na een cyberaanval?
IT-beveiligingsprofessional bekijkt crisisrespons-checklist op laptop, rood alarmlicht op gezicht, collega's op achtergrond.Hoe stel je een crisisorganisatie in voor een cyberincident?
Zware stalen kluisdeur op een kier in een moderne serverruimte, met zichtbare beveiligingsmechanismen en blauw-amberkleurig licht.Wat is het verschil tussen NIS1 en NIS2?
Gouden messing hangslot op modern bureau naast geordende mappen, groene plant op achtergrond, kantoorbeveiliging.Hoe beveilig je je organisatie goed zonder dat het een enorm project of grote investering wordt?
Hangslot op laptoptoetsenbord omringd door ethernetkabels en notitieboekje, symboliseert cybersecurity op kantoor.Waar begin je als je je organisatie cybersecurityproof wilt maken?
Kantoormedewerker bij laptop met fysiek hangslot en toegangspas op toetsenbord, symboliseert digitale beveiliging op de werkvloer.Hoe zorg je dat iedereen in je organisatie bewust omgaat met digitale veiligheid?
Officieel nalevingsdocument met stalen hangslot op modern bureau, laptop met beveiligd netwerkdashboard op achtergrond.Wat zijn de belangrijkste verplichtingen onder NIS2?

De ICT Specialist uit het Noorden

De ICT specialist uit het Noorden; het kantoor van Puur ICT in Heerenveen mag dan wel gelegen zijn in Friesland, maar wij zijn actief in het hele land.

Met onze oplossingen om jouw ICT te versimpelen en bedrijfsprocessen te verbeteren ontzorgen wij onze klanten. Onze ICT specialisten nemen jou graag mee op reis naar de Microsoft 365 cloud om de ICT functionaliteit vanuit Microsoft 365 volledig te benutten.

Contactgegevens

Tel:  +31 (0) 88 165 2300
Email:  info@puurict.nl

Hoofdkantoor Heerenveen
Abe Lenstra Boulevard 62
8448 JB HEERENVEEN

Vestiging Amsterdam
Hullenbergweg 413
1101 CS AMSTERDAM

Cookieverklaring
Privacyverklaring
Algemene voorwaarden
Kennisbank

Volg ons ook op

LinkedIn

YouTube

© Copyright - Puur ICT | De Microsoft 365 specialist uit het Noorden