Medio 2025 wordt de NIS2-richtlijn in Nederland geïmplementeerd in de vorm van de Cyberbeveiligingswet. De concept Cyberbeveiligingswet kent een gefaseerde meldplicht. De meeste meldingen moeten binnen 24 uur worden gedaan en voldoen aan bepaalde eisen. Benieuwd wat deze meldplicht precies inhoudt?

NIS2-richtlijn geïmplementeerd in Cyberbeveiligingswet

De NIS2-richtlijn richt zich op het weerbaar maken van Europese organisaties tegen cyberrisico’s voor netwerk- en informatiesystemen, zoals het internet en het betalingsverkeer.

Deze opvolger van de NIS1-richtlijn geldt zowel voor organisaties in sectoren die onder de NIS1-richtlijn vallen, als voor een groot aantal nieuwe sectoren. Ook IT-organisaties worden door de nieuwe richtlijn geraakt. Hier kunt u ontdekken of uw organisatie onder de NIS2-richtlijn valt.

De NIS2-richtlijn wordt in Nederland medio 2025 geïmplementeerd in de vorm van de Cyberbeveiligingswet.

De NIS2-richtlijn brengt 3 verschillende verplichtingen met zich mee: de zorgplicht, de registratieplicht en de meldplicht. Op de laatstgenoemde gaan we in deze blog dieper in.

Wat houdt de meldplicht in?

De meldplicht houdt in dat organisaties melding moeten maken bij de bevoegde autoriteit als ze getroffen zijn door een incident dat aanzienlijke gevolgen heeft voor hun dienstverlening. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren of kunnen leiden tot financiële verliezen.

De meldplicht geldt zowel voor incidenten die de eigen organisatie als andere organisaties kunnen schaden. De exacte drempelwaarden voor significante incidenten worden nog uitgewerkt.

Factoren die vermoedelijk een rol zullen spelen bij het wel of niet moeten melden van een incident zijn onder meer:

  • het aantal personen dat geraakt wordt;

  • de tijdsduur van de verstoring; en

  • de financiële impact.

De meldplicht geldt voor alle organisaties die volgens de NIS2-richtlijn een belangrijke of essentiële entiteit zijn. Deze organisaties moeten significante incidenten melden bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder.

Hoe ziet de meldplicht er in de praktijk uit?

Op de website van het Nationaal Cyber Security Centrum (NCSC) kunt u nu al een vrijwillige melding maken van een NIS2-incident.

In de nabije toekomst volgt een centraal meldpunt, waarbij organisaties in één keer melding maken bij het betreffende sectorale CSIRT en de bevoegde toezichthouder. Het sectorale CSIRT biedt vervolgens ondersteuning bij de afhandeling van het incident.

Hoe gaat een incident melden te werk?

De concept Cyberbeveiligingswet kent een gefaseerde meldplicht. Het NCSC heeft een overzicht gemaakt, waarin de 4 stappen van de meldplicht worden benoemd.

1. Vroegtijdige waarschuwing

Binnen 24 uur moet er een initiële melding worden gemaakt van het incident via de website van het NCSC. Uitzondering vormen partijen die ook onder de Digital Operational Resilience Act (DORA) of Netwerk Code for Cybersecurity (NCCS) voor grensoverschrijdende elektriciteitsstromen vallen. Zij moeten binnen 4 uur melding maken van een incident.

2. Melding

Binnen 72 uur moet er een update worden gegeven op de initiële melding, waarin een beoordeling wordt gedaan van de (verwachte) ernst en gevolgen van het incident.

3. Update

Op verzoek van het CSIRT of de bevoegde autoriteit kan een voortgangsverslag met relevante update van de situatie worden opgevraagd.

4. Eindrapport

Een maand na de melding dient er een eindrapport over het incident te worden opgeleverd, waarin onder meer een gedetailleerde beschrijving van het incident, de oorzaak, gevolgen en risicobeperkende maatregelen zijn opgenomen. Mocht het incident na een maand nog lopen, dan volstaat een voortgangsverslag en volgt het eindrapport later.

Meer lezen over de NIS2-richtlijn en de Cyberbeveiligingswet?

Lees dan onze blogs:

Zeker weten dat u niks mist?

Abonneert u zich dan op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.