Een cyberaanval treft je organisatie op een vrijdagavond. Systemen vallen uit, klantdata is mogelijk gecompromitteerd en je IT-team werkt op hoogspanning. In die chaos heb je ook een wettelijke verplichting: NIS2 schrijft voor dat je significante incidenten binnen 24 uur meldt bij de bevoegde autoriteit. Wie niet meldt of te laat meldt, riskeert hoge boetes. In dit artikel lees je stap voor stap over de NIS2-meldplicht: welke incidenten tellen, bij wie je meldt, welke termijnen gelden en hoe je zich voorbereidt.
Welke incidenten zijn meldplichtig onder NIS2?
Niet elk incident is meldplichtig. NIS2 hanteert de term “significant incident”: een incident dat een aanzienlijke impact heeft op de verlening van je diensten of op andere organisaties en personen. De beoordeling of een incident “significant” is, hangt af van meerdere factoren:
- Het aantal getroffen gebruikers of klanten
- De duur van de verstoring
- De geografische reikwijdte
- De mate van financiële schade
- De impact op de maatschappij of andere sectoren
- Of het incident opzettelijk was (cyberaanval versus technische storing)
Als vuistregel: als het incident je kernprocessen verstoort, persoonsgegevens of bedrijfsgevoelige informatie treft, of andere organisaties raakt, is melding verplicht. Twijfelt je? Meld dan toch. Toezichthouders waarderen proactieve transparantie boven terughoudendheid.
Bij wie meldt je en via welk kanaal?
In Nederland meldt je bij het Nationaal Cyber Security Centrum (NCSC) of bij de sectorale CERT (Computer Emergency Response Team) die voor je sector is aangewezen. Voor financiële instellingen is dat De Nederlandsche Bank; voor zorgaanbieders het Z-CERT.
De melding verloopt via het daarvoor bestemde digitale kanaal van de betreffende autoriteit. Zorg dat je dit kanaal kent vóórdat er een incident plaatsvindt — in een crisissituatie is er geen tijd om dit op te zoeken.
Tip: Maak een “noodkaart” voor incidentrespons die op één A4 aangeeft: wie belt wie, welk kanaal je gebruikt voor de NIS2-melding, en welke informatie je direct bij de hand moet hebben. Lamineer dit en hang het op bij de beveiliging en de serverruimte.
De drie meldtermijnen onder NIS2
NIS2 introduceert een getrapt meldingssysteem met drie verplichte momenten:
| Melding | Termijn | Inhoud |
|---|---|---|
| Vroegtijdige waarschuwing | Binnen 24 uur na ontdekking | Eerste indicatie dat er een significant incident is; geen volledigheid vereist |
| Incidentmelding | Binnen 72 uur na ontdekking | Eerste beoordeling: aard van incident, impact, mogelijke oorzaak, maatregelen |
| Eindrapport | Binnen 1 maand na incidentmelding | Volledig rapport: root cause, gevolgen, getroffen maatregelen, lessen |
De 24-uurs termijn voor de vroegtijdige waarschuwing is bewust kort gehouden. Het gaat hier niet om een volledig rapport, maar om een eerste signaal dat de autoriteit in staat stelt om indien nodig ondersteuning te bieden of andere partijen te waarschuwen. Volledigheid volgt later.
Hoe bereidt je zich voor op de meldplicht?
Voorbereiding is het sleutelwoord. Organisaties die de NIS2-meldplicht serieus nemen, hebben een incidentresponsplan dat specifiek aandacht besteedt aan de meldprocedure. Dit plan omvat:
Drempelcriteria — Wanneer is een incident “significant”? Leg interne criteria vast die overeenkomen met de NIS2-definitie, zodat medewerkers snel kunnen beoordelen of melding vereist is.
Escalatieprotocol — Wie in je organisatie is verantwoordelijk voor de beslissing om te melden? Dit moet een benoemde functionaris zijn — bij voorkeur op directieniveau, want NIS2 maakt naleving een bestuurlijke verantwoordelijkheid.
Informatieverzameling — Welke informatie heb je nodig voor de vroegtijdige waarschuwing? Zorg voor standaardformulieren die snel kunnen worden ingevuld, ook onder tijdsdruk.
Oefenen — Test je meldprocedure via een tabletop-oefening. Simuleer een ransomware-aanval op een vrijdagmiddag en controleer hoe lang het duurt voordat de vroegtijdige waarschuwing is ingediend.
De gevolgen van niet melden of te laat melden zijn tweedelig: financieel en reputationeel. Financieel kunnen toezichthouders boetes opleggen van tot 10 miljoen euro of 2% van de wereldwijde omzet voor essentiële entiteiten, en tot 7 miljoen euro of 1,4% voor belangrijke entiteiten. Daarbij telt niet-melden als afzonderlijke overtreding. Reputationeel is de schade mogelijk nog groter: transparantie tijdens een crisis versterkt het vertrouwen op de lange termijn; zwijgen ondermijnt het.
Veelgestelde vragen
Moet ik ook melden als het incident geen persoonsgegevens betreft? Ja. De NIS2-meldplicht is breder dan de AVG-meldplicht. Je meldt significante incidenten die de continuïteit van je diensten raken, ongeacht of persoonsgegevens zijn betrokken. Als persoonsgegevens wél zijn betrokken, geldt daarnaast de AVG-meldplicht bij de Autoriteit Persoonsgegevens (binnen 72 uur).
Wie heeft toegang tot mijn melding? Meldingen worden vertrouwelijk behandeld door de ontvangende autoriteit. In bepaalde gevallen kunnen gegevens worden gedeeld met andere EU-lidstaten of Europese instanties (ENISA) voor dreigingsanalyse, maar altijd geanonimiseerd of met toestemming.
Moet ik ook klanten informeren over het incident? NIS2 verplicht je in bepaalde gevallen om ook de afnemers van je diensten te informeren over een significant incident dat hen kan raken. Dit is een aparte verplichting bovenop de melding aan de autoriteit. Raadpleeg je juridisch adviseur over de exacte reikwijdte.
Wat als ik het incident pas na 24 uur ontdek? De termijn van 24 uur gaat in op het moment van ontdekking, niet op het moment dat het incident plaatsvond. Zorg wel dat je detectiemogelijkheden heeft om incidenten snel te signaleren — een incident dat dagen onopgemerkt blijft, is een signaal van onvoldoende monitoring.
Wil je een waterdicht incidentresponsplan en meldprocedure voor NIS2? Bekijk onze diensten op onze prijzenpagina.
Compliant aan NIS2, AVG of DORA?
Control One koppelt wettelijke verplichtingen aan je ISO-controls, beleid en risicoanalyse. Eén platform voor zowel ISO als wetgeving.
Gerelateerde artikelen
AVG datalekken melden: procedure en verplichting
Een datalek melden bij de AP — wanneer verplicht, binnen welke termijn en wat vermeldt je?
NIS2 en leveranciersketen: hoe beheert je ketenrisico's?
NIS2 verplicht aandacht voor supply chain security. Hoe beheert je risico's in je leveranciersketen?
NIS2 boetes en sancties: wat riskeert je?
NIS2 kent boetes tot €10 miljoen of 2% omzet. Wanneer worden ze opgelegd en hoe voorkomt je ze?
NIS2 zorgplicht: concrete maatregelen voor je organisatie
De NIS2 zorgplicht vertaalt zich naar 10 concrete maatregelengebieden. Wat moet je implementeren?