24 uur: de klok tikt
Onder de NIS2-richtlijn hebben organisaties slechts 24 uur om een significante cyberincident te melden bij de bevoegde autoriteit. In Nederland is dat het NCSC of een sectorspecifiek CSIRT. Dit is een drastische verscherping ten opzichte van de eerdere regels, die vaak vagere termijnen hanteerden.
De 24-uurstermijn start op het moment dat uw organisatie op de hoogte raakt van het incident — niet wanneer het incident plaatsvond. Dit maakt snelle detectie en interne escalatie cruciaal.
Wat is een "significant incident"?
Niet elk beveiligingsincident hoeft gemeld te worden. NIS2 definieert een significant incident als een voorval dat:
- Ernstige operationele verstoring veroorzaakt of kan veroorzaken
- Financiële verliezen veroorzaakt voor de betrokken entiteit
- Andere natuurlijke of rechtspersonen schade toebrengt of kan toebrengen door aanzienlijke materiële of immateriële schade
Voorbeelden van meldingsplichtige incidenten:
| Type | Voorbeeld | |---|---| | Ransomware | Versleuteling van productiesystemen | | Datalekken | Ongeautoriseerde toegang tot klantgegevens | | DDoS | Langdurige uitval van essentiële diensten | | Supply chain | Compromittering via een leverancier | | Zero-day exploits | Actieve exploitatie van onbekende kwetsbaarheden |
Het drievoudige meldingsproces
NIS2 kent niet één maar drie rapportagemomenten:
1. Vroegtijdige waarschuwing — binnen 24 uur
Een eerste, beknopte melding met:
- Of het incident vermoedelijk door onrechtmatig of kwaadaardig handelen is veroorzaakt
- Of het grensoverschrijdende gevolgen kan hebben
- Basisbeschrijving van het incident
Dit is een initiële kennisgeving, geen volledig rapport. Het doel is snelle coördinatie mogelijk maken.
2. Incidentmelding — binnen 72 uur
Een uitgebreidere melding met:
- Actuele beoordeling van het incident (ernst, impact)
- Indicatoren van compromittering (IoC's)
- Genomen en geplande mitigatiemaatregelen
3. Eindverslag — binnen 1 maand
Een volledig verslag met:
- Gedetailleerde beschrijving van het incident
- Waarschijnlijke oorzaak (root cause)
- Genomen mitigatiemaatregelen
- Eventuele grensoverschrijdende impact
Interne voorbereiding: het 6-stappenplan
Om binnen 24 uur te kunnen melden, moet uw organisatie voorbereid zijn. Improvisatie is geen optie als de klok eenmaal tikt.
Stap 1: Definieer escalatiecriteria
Stel duidelijke criteria op wanneer een beveiligingsgebeurtenis als significant incident wordt geclassificeerd. Gebruik de NIS2-definitie als basis en vertaal deze naar uw specifieke context.
Stap 2: Wijs verantwoordelijkheden toe
Bepaal wie de melding doet, wie het incident coördineert en wie extern communiceert. Zorg voor vervanging bij afwezigheid — incidenten houden geen rekening met vakantieschema's.
Stap 3: Stel meldingssjablonen op
Bereid gestandaardiseerde templates voor die voldoen aan de NIS2-vereisten. In een crisissituatie wilt u niet nadenken over format — u wilt invullen en versturen.
Stap 4: Implementeer detectiesystemen
Investeer in monitoring en detectie. U kunt alleen melden wat u detecteert. SIEM-systemen, endpoint detection en netwerkmonitoring zijn essentieel.
Stap 5: Oefen regelmatig
Voer tabletop-oefeningen en simulaties uit. Test niet alleen uw technische respons, maar ook het meldingsproces zelf. Meet hoe lang het duurt van detectie tot melding.
Stap 6: Documenteer alles
Houd een logboek bij van alle acties, beslissingen en communicatie tijdens een incident. Dit is niet alleen nodig voor het eindverslag, maar ook voor toekomstige audits.
Veelgemaakte fouten
| Fout | Gevolg | |---|---| | Wachten op volledig beeld voor eerste melding | Termijn overschreden — boete | | Geen 24/7 bereikbaarheid security team | Detectie buiten kantooruren te laat | | Alleen IT betrokken bij incident response | Juridische en communicatieaspecten gemist | | Geen relatie met NCSC/CSIRT vóór incident | Vertraging door onbekendheid met procedures | | Geen vooraf opgestelde sjablonen | Kostbare tijd verloren aan format in crisis |
Waar meldt u?
In Nederland verloopt de melding via:
- NCSC — voor Rijksoverheid en vitale sectoren
- Sectorale CSIRT's — voor specifieke sectoren
- Autoriteit Persoonsgegevens — aanvullend als er ook persoonsgegevens betrokken zijn (AVG-meldplicht)
Het NCSC biedt een digitaal meldformulier en een 24/7 bereikbaar meldpunt voor urgente incidenten.
Technische maatregelen die melden vereenvoudigen
- Centraal logbeheer — alle logs op één plek voor snelle analyse
- Geautomatiseerde alerting — directe notificatie bij verdachte activiteit
- Incident response platform — gestructureerde workflow van detectie tot melding
- Vulnerability scanning — proactief kwetsbaarheden identificeren voordat ze worden misbruikt
Nederlandse context: de Cyberbeveiligingswet
De NIS2-richtlijn wordt in Nederland geïmplementeerd via de Cyberbeveiligingswet. Het NCSC heeft specifieke richtlijnen gepubliceerd voor de incidentmeldingsprocedure in de Nederlandse context. Organisaties die onder de wet vallen, moeten rekening houden met het feit dat de Nederlandse implementatie op bepaalde punten strenger kan zijn dan de Europese minimumnormen.
Het Nationaal Detectie Netwerk (NDN) en het Digital Trust Center (DTC) bieden aanvullende ondersteuning voor niet-vitale bedrijven. Het DTC richt zich specifiek op het MKB en biedt gratis tools en advies voor basisbeveiliging en incidentvoorbereiding.
Organisaties die ook persoonsgegevens verwerken, moeten naast de NIS2-melding ook rekening houden met de meldplicht datalekken onder de AVG (GDPR). Bij de Autoriteit Persoonsgegevens geldt een eigen termijn van 72 uur voor het melden van een datalek. Een enkel incident kan dus meerdere parallelle meldingstrajecten vereisen.
Conclusie
De 24-uursmeldplicht onder NIS2 is geen bureaucratische formaliteit — het is een mechanisme om de collectieve cyberveiligheid te versterken. Organisaties die hun incident response op orde hebben, zullen niet alleen makkelijker voldoen aan de meldplicht, maar ook sneller en effectiever reageren op daadwerkelijke dreigingen.
Scan uw website gratis met WarDek — OWASP, NIS2, AVG, AI Act compliance in één scan.