Richtlijn (EU) 2022/2555 (NIS2) verplicht essentiële en belangrijke entiteiten om hun CSIRT of bevoegde autoriteit via een gefaseerd proces te informeren wanneer een significant incident zich voordoet. Artikel 23 stelt drie termijnen vast: vroege waarschuwing binnen 24 uur, incidentmelding binnen 72 uur en eindverslag binnen één maand. Lidstaten dienden NIS2 uiterlijk op 17 oktober 2024 om te zetten.
Wat de meldingsplicht activeert
Artikel 23(1) verplicht entiteiten om het CSIRT of, waar van toepassing, de bevoegde autoriteit onverwijld in kennis te stellen van elk incident dat een aanzienlijke impact heeft op de verlening van hun diensten. Artikel 23(3) definieert een incident als significant indien het ernstige operationele verstoringen van de diensten of financiële verliezen voor de betrokken entiteit heeft veroorzaakt of kan veroorzaken, dan wel andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door het veroorzaken van aanzienlijke materiële of immateriële schade.
De drietrapstijdlijn (art. 23(4))
- Binnen 24 uur — vroege waarschuwing. Een vroege waarschuwing aan het CSIRT of de bevoegde autoriteit, die, waar van toepassing, aangeeft of het significante incident vermoedelijk het gevolg is van onwettige of kwaadwillige handelingen of grensoverschrijdende gevolgen kan hebben.
- Binnen 72 uur — incidentmelding. Een incidentmelding die de informatie uit de vroege waarschuwing actualiseert en een initiële beoordeling geeft van het significante incident, inclusief de ernst en de impact, en, indien beschikbaar, de indicatoren van compromittering.
- Binnen één maand — eindverslag. Een eindverslag uiterlijk één maand na de indiening van de incidentmelding, met daarin: (a) een gedetailleerde beschrijving van het incident, de ernst en de impact; (b) het type dreiging of de grondoorzaak die het incident waarschijnlijk heeft veroorzaakt; (c) toegepaste en lopende mitigatiemaatregelen; en (d) waar van toepassing, de grensoverschrijdende impact.
Wanneer het incident nog voortduurt
Artikel 23(4)(d) bepaalt dat, wanneer het incident bij de indieningsdatum van het eindverslag nog voortduurt, de entiteit in plaats daarvan op dat moment een voortgangsverslag moet indienen en een eindverslag binnen één maand na de afhandeling van het incident.
Artikel 23(2) voegt een afzonderlijke verplichting toe: wanneer dat aangewezen is, dient de entiteit de ontvangers van haar diensten onverwijld te informeren over significante incidenten die de dienstverlening aanzienlijk kunnen beïnvloeden; wanneer het incident de ontvanger aanzienlijk kan treffen, dient de entiteit eveneens maatregelen mee te delen die de ontvanger in reactie kan nemen.
Tussentijds verzoek om respons
Artikel 23(4)(c) staat het CSIRT of de bevoegde autoriteit toe om op verzoek een tussentijds verslag over relevante statusupdates te vragen. CSIRT's moeten ook op grond van artikel 23(4)(b) binnen 24 uur na de vroege waarschuwing reageren op de entiteit, met initiële feedback en, op verzoek van de entiteit, richtsnoeren of operationeel advies.
Overlap met het AI-Act-regime voor ernstige incidenten (artikel 73)
Indien een NIS2-incident tevens een ernstig incident vormt in de zin van de EU AI Act (artikel 3(49): een incident of een storing van een AI-systeem dat direct of indirect leidt tot overlijden of ernstig letsel, ernstige materiële schade of milieuschade, ernstige en onomkeerbare verstoring van kritieke infrastructuur, of schending van Unierecht ter bescherming van grondrechten), moeten aanbieders van hoog-risico-AI-systemen dit melden op grond van artikel 73 — binnen 15 dagen voor algemene ernstige incidenten, onmiddellijk en uiterlijk binnen 2 dagen voor wijdverbreide inbreuk of ernstige en onomkeerbare verstoring van kritieke infrastructuur, en binnen 10 dagen bij overlijden van een persoon.
Gebruiksverantwoordelijken zijn niet de primaire melder op grond van artikel 73, maar artikel 26(5) verplicht gebruiksverantwoordelijken om de aanbieder, de distributeur en de relevante markttoezichtautoriteit te informeren en het gebruik op te schorten wanneer zij reden hebben om te vermoeden dat het gebruikte hoog-risicosysteem een risico vormt in de zin van artikel 79(1).
Bewijschecklist voor gebruiksverantwoordelijken
- Schriftelijke standaardprocedure voor incidentclassificatie gekoppeld aan de criteria voor significante incidenten uit artikel 23(3).
- Sjabloon voor vroege 24-uurswaarschuwing met velden voor grensoverschrijdende impact en kwaadwillige actor.
- Sjabloon voor 72-uursmeldingen met velden voor ernst, impact en indicatoren van compromittering.
- Sjabloon voor het eindverslag na één maand, plus sjabloon voor voortgangsverslagen bij voortdurende incidenten.
- Sjabloon voor melding aan ontvangers op grond van artikel 23(2) voor klanten stroomafwaarts.
- Beslissingsmatrix die één incident koppelt aan NIS2 art. 23 + AI Act art. 73 + AVG art. 33-verplichtingen.
- Benoemde NIS2-incidentmeldingscontactpersoon en escalatie buiten kantooruren.
- Logboeken bewaard gedurende ten minste 6 maanden overeenkomstig AI Act art. 26(6) voor elk incident gerelateerd aan een AI-systeem.
Veelvoorkomende misvattingen
- "24 / 72 uur is de volledige termijn." Nee — de 24-uursmijlpaal is slechts een vroege waarschuwing; de formele melding vervalt na 72 uur en een eindverslag is verschuldigd na één maand.
- "Significant betekent een grote uitval." Artikel 23(3) is ruimer: financieel verlies, ernstige verstoring of aanzienlijke materiële of immateriële schade aan andere partijen kwalificeren eveneens.
- "NIS2 geldt niet voor ons — we zijn te klein." De sectorlijst in Bijlage I en II in combinatie met de omvangsgrenssregel van art. 2(1) (middelgroot of groot, d.w.z. 50+ fte of EUR 10M+ omzet) treft meer HR-tech- en SaaS-aanbieders dan NIS1 deed; controleer de specifieke nationale omzetting.
- "Één verslag dekt NIS2 en de AI Act." De twee regimes hebben afzonderlijke tijdlijnen, afzonderlijke autoriteiten (CSIRT versus markttoezichtautoriteit) en deels verschillende inhoudelijke vereisten. Breng ze afzonderlijk in kaart.
Gerelateerde EU-gidsen
- Conformiteitsbeoordeling AI Act voor hoog-risicosystemen
- Technische documentatie Bijlage IV
- AI-geletterdheidsplicht — artikel 4
- Verboden AI-praktijken — artikel 5
- GPAI versus verplichtingen voor gebruiksverantwoordelijken
Bronnen
- Richtlijn (EU) 2022/2555 (NIS2), artikelen 2, 3, 21, 23 — EUR-Lex: https://eur-lex.europa.eu/eli/dir/2022/2555/oj
- Verordening (EU) 2024/1689 (AI Act), artikelen 3(49), 26(5)–(6), 73, 79 — EUR-Lex: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
- ENISA — NIS2-implementatierichtsnoeren: https://www.enisa.europa.eu/topics/nis-directive
Noot: NIS2 is een richtlijn; de operationele details worden vastgesteld door de omzettingswet van elke lidstaat. Bevestig het nationale CSIRT, de bevoegde autoriteit en het meldportaal dat van toepassing is op uw vestiging. PowerQuant levert software en documentatie voor gebruik in uw interne nalevingsproces — geen juridisch advies.
PowerQuant Module 1
AI-inventaris plus NIS2-incidentmeldingssjablonen en een beslissingschecklist voor 24u/72u/1 maand, geleverd binnen 5 werkdagen. Vaste prijs, geen abonnement.