Artikel 23 van Richtlijn (EU) 2022/2555 stelt een drietrapsmeldingsprocedure vast voor significante incidenten. Het onderstaande sjabloon vermeldt de velden die u bij elke fase moet kunnen invullen, en wat de toezichthouder op dat moment in de incidentlevenscyclus daadwerkelijk verwacht. Bouw de sjablonen voor fase 1 en fase 2 vooraf in uw incidentresponsplatform — de 24-uursklok is reëel.
Tijdlijn in één oogopslag
| Fase | Termijn | Ontvanger |
|---|---|---|
| Fase 1 | Binnen 24 uur nadat men het incident gewaar is geworden | CSIRT of bevoegde autoriteit aangewezen op grond van NIS2 in uw lidstaat |
| Fase 2 | Binnen 72 uur nadat men het incident gewaar is geworden | Zelfde CSIRT of bevoegde autoriteit |
| Tussentijds verslag (op verzoek) | Op verzoek van het CSIRT of de bevoegde autoriteit | Zelfde |
| Fase 3 | Binnen één maand na de fase-2-melding (of één maand na de afhandeling van het incident indien het nog voortduurt) | Zelfde |
Fase 1 — Binnen 24 uur nadat men het incident gewaar is geworden
Vroege waarschuwing — snelheid boven volledigheid. Het doel is de autoriteit te laten weten dat er een incident plaatsvindt en twee specifieke feiten te vermelden: of het vermoedelijk het gevolg is van onwettige of kwaadwillige handelingen, en of het grensoverschrijdende gevolgen kan hebben.
Meldende entiteit (juridische naam + sector + NIS2-classificatie: essentieel / belangrijk) Vooraf invullen in een opgeslagen sjabloon — schrijf dit niet onder tijdsdruk.
Melder (naam + functie + 24/7-contactgegevens) Eén aanspreekbaar persoon, geen team-mailbox.
Tijdstip van eerste bewustwording (UTC) De klok voor de 24u-, 72u- en 1-maandstermijnen begint hier. Documenteer hoe de bewustwording tot stand is gekomen.
Korte beschrijving (1–3 zinnen) Klare taal. Welke dienst is getroffen, welk type incident, wat is de huidige operationele toestand.
Vermoedelijke kwaadwillige of onwettige oorzaak? (ja / nee / onbekend) Artikel 23(4)(a) vereist deze aanduiding. 'Onbekend' is een aanvaardbaar antwoord in fase 1.
Mogelijke grensoverschrijdende impact? (ja / nee / onbekend) Artikel 23(4)(a) nogmaals — activeert de informatie-uitwisselingsplichten van de autoriteit.
Ticket-/zaakreferentie (uw eigen) Hergebruikt in fase 2 en fase 3 zodat de autoriteit de verslagen aan elkaar kan koppelen.
Fase 2 — Binnen 72 uur nadat men het incident gewaar is geworden
Incidentmelding — een initiële beoordeling van ernst, impact en indicatoren van compromittering. Dit is de inhoudelijke melding, voortbouwend op fase 1.
Zelfde identificatiegegevens als fase 1 (meldende entiteit, melder, zaakreferentie)
Geactualiseerde beoordeling van ernst en impact Operationele verstoring, financieel verlies, materiële of immateriële schade voor natuurlijke of rechtspersonen.
Aantal getroffen gebruikers / klanten Beste schatting is aanvaardbaar; documenteer hoe de schatting is gemaakt.
Geografische reikwijdte (lidstaten en derde landen) Stuurt de doormelding van de autoriteit aan andere CSIRT's en aan ENISA.
Getroffen diensten en activaklassen Koppel aan de diensten die u hebt geregistreerd in het register van entiteiten op grond van artikel 27 NIS2.
Type dreiging en bekende indicatoren van compromittering (IOC's) TLP-geclassificeerd. Hashes, IP-adressen, domeinen, malwarefamilie indien bekend. Geef het betrouwbaarheidsniveau aan.
Initiële hypothese over de grondoorzaak Uitsluitend een hypothese — de bevestigde grondoorzaak staat in het eindverslag.
Tot nu toe toegepaste mitigatiemaatregelen Inperkings-, verwijderings- en herstelacties met tijdstempels.
Of leveranciers of klanten moeten worden geïnformeerd Artikel 23(2)-plicht om ontvangers van diensten te informeren over significante cyberdreigingen waar dat aangewezen is.
Tussentijds verslag (op verzoek)
Artikel 23(4)(c) staat de autoriteit toe een statusupdate op te vragen tussen de 72u-melding en het eindverslag na één maand. Gebruik de velden van fase 2 met geactualiseerde waarden.
Statusupdate ten opzichte van de fase-2-velden Delta-only is aanvaardbaar — vermeld uitdrukkelijk wat er sinds de vorige indiening is veranderd.
Nieuw geïdentificeerde getroffen systemen, gebruikers of derden
Wijzigingen in de mitigatiestatus
Fase 3 — Binnen één maand na de fase-2-melding (of één maand na de incidentafhandeling indien het incident nog voortduurt)
Eindverslag — bevestigde grondoorzaak, volledig impactoverzicht, de mitigatiemaatregelen die hebben gewerkt, en eventuele grensoverschrijdende effecten. Als het incident op de één-maandgrens nog voortduurt, dient u een voortgangsverslag in en het eindverslag binnen één maand na de afhandeling.
Gedetailleerde beschrijving van het incident, inclusief ernst en impact Op tijdlijn gebaseerde beschrijving; koppel fase 1, fase 2 en eventuele tussentijdse updates aan elkaar.
Type dreiging of bevestigde grondoorzaak Ga van hypothese (fase 2) naar bevestigde oorzaak, ondersteund door bewijs.
Toegepaste mitigatiemaatregelen en doeltreffendheid Wat heeft gewerkt, wat niet, welk resterend risico blijft bestaan.
Grensoverschrijdende impact, indien van toepassing Bevestigde reikwijdte over lidstaten en derde landen.
Geleerde lessen en wijzigingen in beheersmaatregelen Koppel terug aan de NIS2-risicobeheermaatregelen van artikel 21 — welke beheersmaatregelen zijn mislukt, welke zijn versterkt.
Operationele opmerkingen
- Bouw fase 1 en fase 2 als invulbare sjablonen in uw incidentresponsplatform. De 24-uursklok is reëel; u kunt het format niet van scratch opstellen onder tijdsdruk.
- Gebruik UTC voor elk tijdstempel. Autoriteiten van lidstaten werken in hun eigen tijdzone en zullen normaliseren — UTC verwijdert ambiguïteit.
- Artikel 23 heeft betrekking op 'significante' incidenten. Een afzonderlijke triagerubric (uw eigen, gebaseerd op de criteria van artikel 23(3)) moet bepalen of er überhaupt moet worden gemeld. Alles melden verdunt het signaal; te weinig melden riskeert de boetes van de hogere categorie (EUR 10M of 2% van de wereldwijde omzet voor essentiële entiteiten, EUR 7M of 1,4% voor belangrijke).
- Artikel 23(1) verplicht entiteiten ook om ontvangers van hun diensten te informeren over significante cyberdreigingen waar dat aangewezen is, en over de maatregelen of remedies die zij kunnen nemen. Leg dit vast als een aparte workflow met een eigen sjabloon.
- Nationale omzettingen variëren. Controleer de specifieke vereisten inzake kanaal, format en taal die door het CSIRT van uw lidstaat zijn gepubliceerd — Nederland gebruikt bijvoorbeeld het Nationaal Cyber Security Centrum (NCSC).
Wat "significant incident" betekent
Artikel 23(3) definieert een significant incident als een incident dat ernstige operationele verstoringen van de diensten of financiële verliezen voor de betrokken entiteit heeft veroorzaakt of kan veroorzaken, dan wel andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door het veroorzaken van aanzienlijke materiële of immateriële schade. Uitvoeringsverordening (EU) 2024/2690 (sectorspecifieke drempelwaarden voor DNS-aanbieders, TLD-registers, cloudaanbieders en diverse andere digitale-infrastructuursectoren) geeft concrete drempelwaarden voor de entiteiten die zij bestrijkt; entiteiten buiten haar toepassingsgebied moeten de criteria van artikel 23(3) van geval tot geval toepassen met gedocumenteerde redenering.
Bronnen
- Richtlijn (EU) 2022/2555 (NIS2), artikelen 21 en 23 — https://eur-lex.europa.eu/eli/dir/2022/2555/oj
- Uitvoeringsverordening (EU) 2024/2690 van de Commissie (sectorspecifieke drempelwaarden voor incidentsignificantie) — https://eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- ENISA — NIS2-meldingrichtsnoeren en contactgids voor CSIRT's per lidstaat.
- Denemarken: de toepasselijke nationale NIS2-omzettingswet; CFCS als aangewezen CSIRT.
Noot: PowerQuant levert sjablonen en documentatie voor gebruik in uw interne incidentresponsproces — geen juridisch advies. Nationale omzettingen van NIS2 verschillen in toepassingsgebied, taal en kanaal; verifieer de specifieke indieningsvereisten met het CSIRT van uw lidstaat.
PowerQuant Module 1
Waar de NIS2-risicobeheermaatregelen van artikel 21 en de meldingsprocedure van artikel 23 overlappen met uw AI-Act-verplichtingen als gebruiksverantwoordelijke, levert Module 1 het gecombineerde bewijspakket binnen 5 werkdagen.