De NIS2-meldplicht verplicht organisaties om een significant incident in fases te melden aan het CSIRT: een vroegtijdige waarschuwing binnen 24 uur, een volledige melding binnen 72 uur en een eindrapport binnen één maand. Deze gefaseerde cascade staat in art. 23 van de NIS2-richtlijn en geldt in Nederland via de Cyberbeveiligingswet, met het NCSC als centraal meldpunt. De valkuil: raakt een incident óók persoonsgegevens, dan geldt daarnaast de 72-uursmeldplicht aan de Autoriteit Persoonsgegevens — één incident, twee regimes, twee klokken. Dit artikel legt de cascade uit, definieert wanneer een incident meldplichtig is, en geeft een gecombineerd stappenplan voor de dubbele melding.
Key Takeaways
- De NIS2-meldcascade kent drie momenten: 24 uur (vroegwaarschuwing), 72 uur (volledige melding) en één maand (eindrapport).
- De klok start bij kennisname van een significant incident, niet bij het ontstaan ervan.
- Meldt u aan het CSIRT/NCSC; raakt het incident persoonsgegevens, dan óók aan de AP binnen 72 uur.
- Eén beveiligingsincident kan twee meldplichten tegelijk activeren — richt beide parallel in.
- Te laat melden is een zelfstandige overtreding met sanctierisico.
Wanneer is een incident meldplichtig?
Niet elk incident hoeft gemeld te worden — alleen een significant incident. NIS2 noemt een incident significant als het:
- een ernstige verstoring van de dienstverlening of financiële verliezen veroorzaakt, of
- andere natuurlijke of rechtspersonen aanzienlijke materiële of immateriële schade toebrengt of kan toebrengen.
De beoordeling is een inschatting die u snel moet maken en goed moet documenteren. Twijfelt u, meld dan liever wél: een gemiste melding weegt zwaarder dan een melding die achteraf niet nodig bleek. Of u onder de meldplicht valt, hangt af van uw classificatie als essentiële of belangrijke entiteit — de meldplicht is voor beide gelijk.
De meldcascade in detail
| Fase | Termijn | Inhoud |
|---|---|---|
| Vroegwaarschuwing | Binnen 24 uur na kennisname | Eerste signaal; vermoeden van kwaadwillige oorzaak, grensoverschrijdend effect |
| Volledige melding | Binnen 72 uur na kennisname | Beoordeling, ernst, impact, indicatoren van compromittering |
| Tussentijds | Op verzoek CSIRT | Statusupdate lopend incident |
| Eindrapport | Binnen één maand | Oorzaak, getroffen maatregelen, grensoverschrijdende gevolgen |
De 24-uursmelding is bewust licht: het is een vroegwaarschuwing, geen volledig rapport. U signaleert dat er iets ernstigs speelt. Binnen 72 uur volgt de inhoudelijke beoordeling. Het eindrapport binnen een maand beschrijft de grondoorzaak en wat u hebt gedaan. Loopt een incident langer, dan geeft u een voortgangsrapport en volgt het eindrapport binnen een maand na afronding.
De dubbele melding: NIS2 én AVG
Dit is waar het misgaat in de praktijk. Een cyberincident — denk aan ransomware of een datalek door een hack — kan tegelijk:
- een NIS2-incident zijn (verstoring van uw systemen), meldplichtig aan het CSIRT/NCSC, én
- een AVG-datalek zijn (persoonsgegevens gecompromitteerd), meldplichtig aan de AP.
De termijnen verschillen: NIS2 kent de 24u-vroegwaarschuwing, de AVG kent een 72-uursmelding aan de AP onder artikel 33 AVG. Twee meldpunten, twee klokken, deels andere informatie.
Gecombineerd stappenplan:
- Detectie en triage — is dit significant (NIS2) en/of een datalek (AVG)?
- Start beide klokken vanaf kennisname.
- 24u: vroegwaarschuwing aan het CSIRT/NCSC.
- 72u: volledige NIS2-melding én, bij persoonsgegevens, datalekmelding aan de AP.
- Betrokkenen informeren als het datalek een hoog risico oplevert (art. 34 AVG).
- Eindrapport binnen één maand aan het CSIRT.
Leg dit vast in één incidentprocedure, zodat niemand onder druk de tweede meldketen vergeet. De diepere vergelijking tussen beide regimes staat in NIS2 vs AVG: verschillen en overlap.
De rol van de keten
Een incident bij een leverancier kan uw meldplicht activeren. Zorg daarom dat verwerkers- en leverancierscontracten een escalatieclausule bevatten: de leverancier meldt u een incident tijdig genoeg om uw eigen 24-uurstermijn te halen. Dit sluit aan op de ketenbeveiliging uit de NIS2-zorgplicht en de verwerkersovereenkomst onder artikel 28.
Wat “kennisname” precies betekent
De termijnen starten bij kennisname van een significant incident, niet bij het moment waarop het incident daadwerkelijk plaatsvond. Dat klinkt gunstig, maar er zit een addertje onder het gras: de toezichthouder verwacht dat u zó bent ingericht dat u incidenten tijdig detecteert. Een organisatie die pas na weken merkt dat er iets speelde, kan zich niet verschuilen achter een late kennisname — het gebrek aan detectie is dan zélf een tekortkoming in de zorgplicht. Kennisname veronderstelt dus een werkend detectie- en escalatieproces.
Praktisch betekent dit dat het moment van kennisname aantoonbaar moet zijn: leg vast wanneer welk signaal binnenkwam, wie het beoordeelde en op welk moment de conclusie “significant incident” werd getrokken. Dat tijdstempel bepaalt of uw 24-uursmelding op tijd was. Zorg daarom dat uw incidentproces een helder beslismoment kent waarop de klok formeel start, en dat de betrokken medewerkers weten dat vanaf dat punt de wettelijke termijnen lopen. Een goed geoefend team haalt de vroegwaarschuwing moeiteloos; een team dat het proces nog moet uitvinden terwijl de aanval loopt, verliest kostbare uren.
Software en aantoonbaarheid
Onder druk van een incident is een vooraf ingerichte workflow goud waard. Tooling helpt om de termijnen te bewaken, de juiste informatie te verzamelen en de melding aantoonbaar te documenteren. Voor de gedeelde governance- en documentatielaag tussen NIS2 en de AVG kan een platform zoals Legiscope het overzicht bewaken; voor detectie en operationele respons hebt u daarnaast SOC- en SIEM-tooling nodig. Een breder overzicht staat in NIS2 compliance software voor Nederland.
Oefen de meldketen bovendien vooraf. Een tabletop-oefening waarin het team een fictief incident doorloopt, legt genadeloos bloot waar de knelpunten zitten: wie mag de 24-uursmelding versturen, wie bepaalt of een incident significant is, en hoe schakelt u 's nachts of in het weekend. De meeste organisaties ontdekken pas tijdens zo’n oefening dat de meldbevoegdheid niet duidelijk belegd is of dat de contactgegevens van het CSIRT nergens zijn vastgelegd. Een half uur voorbereiding bespaart u onder werkelijke druk de uren die het verschil maken tussen een tijdige en een te late melding.
FAQ
Binnen hoeveel uur moet ik een incident onder NIS2 melden?
Een vroegtijdige waarschuwing binnen 24 uur na kennisname van een significant incident, gevolgd door een volledige melding binnen 72 uur en een eindrapport binnen één maand. De klok start bij kennisname, niet bij het ontstaan van het incident.
Wat is een significant incident onder NIS2?
Een incident dat een ernstige verstoring van uw dienstverlening of financiële verliezen veroorzaakt, of dat andere personen aanzienlijke materiële of immateriële schade toebrengt of kan toebrengen. De beoordeling maakt u snel en documenteert u; bij twijfel meldt u liever wél.
Moet ik een cyberincident aan zowel het NCSC als de AP melden?
Als het incident zowel uw systemen verstoort (NIS2) als persoonsgegevens raakt (AVG), ja. U meldt aan het CSIRT/NCSC volgens de NIS2-cascade én binnen 72 uur aan de Autoriteit Persoonsgegevens onder artikel 33 AVG. Dat zijn twee aparte meldketens met eigen termijnen.
Wie is het meldpunt voor NIS2-incidenten in Nederland?
Het NCSC fungeert als CSIRT en centraal meldpunt. De Cyberbeveiligingswet legt de precieze routes en eventuele sectorale toezichthouders vast. Registreer u zodra de wet dat vereist, zodat de meldroute vooraf duidelijk is.
Wat gebeurt er als ik te laat meld?
Te laat melden is een zelfstandige overtreding, los van de oorzaak van het incident. Het vergroot het sanctierisico en het toezicht. Ter vergelijking: onder de AVG beboette de AP Booking.com met 475.000 euro omdat een datalek 22 dagen te laat werd gemeld — een illustratie van hoe zwaar te laat melden weegt.
Conclusie
De NIS2-meldplicht draait om een strakke cascade: 24 uur voor de vroegwaarschuwing, 72 uur voor de volledige melding, één maand voor het eindrapport — telkens vanaf kennisname van een significant incident. De grootste valkuil is de dubbele melding: een cyberincident dat persoonsgegevens raakt, activeert óók de 72-uursmelding aan de AP. Richt beide meldketens vooraf in één incidentprocedure in, borg escalatieclausules bij leveranciers, en documenteer alles aantoonbaar. Onder druk is een geoefend proces het verschil tussen op tijd en te laat.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial