Juni 2026. Onder NIS2 en de Cybersecuritybeveiligingswet moeten in-scope organisaties significante incidenten melden aan bevoegde autoriteiten — vaak binnen 24 uur voor een early warning en binnen 72 uur voor een vollediger rapport. In de praktijk gaat het mis op twee punten: te laat starten met triage en onvoldoende bewijs van besluitvorming.
Wanneer is melden verplicht?
Niet elk security-incident is een NIS2-melding. Wel wanneer er significante impact is op dienstverlening, ketenpartners of de samenleving — of wanneer toezicht dat zo interpreteert. Documenteer daarom altijd uw afweging: waarom wel of niet melden, wie besliste, wanneer.
- early warning: eerste signalen van ernstig incident (binnen 24 uur waar vereist);
- follow-up: impact, root cause, maatregelen (binnen 72 uur of volgens nationale regels);
- keten: informeer kritieke afnemers/leveranciers volgens contract én wet;
- AVG: parallelle meldplicht bij persoonsgegevens — apart dossier, zelfde tijdlijn discipline.
Playbook dat werkt onder druk
- Detectie → triage: SOC, IT of gebruiker meldt; CISO/DPO binnen 30 minuten betrokken.
- Classificatie: impact op diensten, data, keten; juridisch/toezicht-advies.
- Communicatie: intern (bestuur), extern (toezicht, keten), pers indien nodig.
- Registratie: tijdstempels, besluiten, bijlagen — ISO 27001 incidentregister.
Relatie met ISO 27001
ISO 27001 vereist geen NIS2-melding, maar wel incidentregistratie en opvolging. Gebruik één register met tags NIS2/AVG/ISO. Koppel aan NIS2 hub, incidentmanagement en ISMS.
In 2026 vragen ketenpartijen expliciet om bewijs dat u meldprocessen heeft getest — niet alleen een PDF-procedure. Plan een tabletop met scenario ransomware + SaaS-uitval. Leg lessons learned vast in management review.
Bestuur moet mandateren wie namens de organisatie meldt. CISO alleen is onvoldoende zonder bestuurlijk besluit over timing en inhoud. Neem meldplicht op in het jaarlijkse bestuursagenda-item cyber.
Voor MKB-leveranciers in vitale ketens: ook buiten formele NIS2-scope kunnen contracten meldtermijnen opleggen. Align contract-SLA’s met uw playbook zodat u niet twee verschillende snelheden moet handhaven.
Documentatie die toezicht verwacht
Bewaar per incident een dossier met tijdlijn, classificatie, juridische beoordeling, concept-melding en definitieve melding of gemotiveerde niet-melding. Screenshots van tickets en e-mailketens zijn sterker dan mondelinge overdracht. Koppel het dossier aan uw ISO 27001 CAP-proces wanneer structurele maatregelen nodig zijn.
Oefen met een scenario waarin eerste impact onduidelijk is — dat is realistischer dan een textbook breach. Train ook communicatie naar ketenpartners: veel contracten vereisen melding binnen 24 uur ongeacht nationale NIS2-termijnen.
Bestuur moet mandateren wie extern communiceert. Eén woordvoerder voorkomt tegenstrijdige berichten naar toezicht, pers en klanten. Leg rollen vast in het ISMS en review jaarlijks.
Vervolgstappen in uw ISMS
Vertaal dit artikel naar één concrete actie in uw risicoregister of verbeterplan: eigenaar, deadline, gewenst bewijs. Bespreek voortgang in het eerstvolgende management review-overleg — auditors en ketenpartners willen besluiten zien, niet alleen beleidsintentie. Koppel waar mogelijk aan bestaande ISO 27001-, NIS2- of AVG-documentatie zodat u geen parallelle mappen onderhoudt.
Heeft u vragen over scope, certificering of keteneisen? Gebruik onze readiness-overzicht en kennisbank-pagina’s voor diepere guidance. Dit artikel vervangt geen juridisch of auditorisch advies voor uw specifieke situatie.
Deel relevante bevindingen kort met lijnmanagement en inkoop — compliance wordt pas werkbaar wanneer de hele organisatie dezelfde prioriteiten herkent. Herhaal de gekozen actie kwartaal in teamoverleg en update evidence-locaties in uw SoA of controleplan zodat surveillance steekproeven snel te beantwoorden zijn.
Wat doet u deze week?
Kies één concreet actiepunt uit dit artikel, wijs een eigenaar en zet het in uw risico- of verbeterregister met deadline. Deel het kort in teamoverleg — zo wordt compliance iets wat de lijn herkent. Herhaal dit kwartaal in management review zodat bestuur voortgang ziet, niet alleen intentie.
Let op: dit artikel is educatief en vervangt geen juridisch, privacy- of auditorisch advies voor uw specifieke situatie.
Bewijs en governance
Leg vast wie eigenaar is van de maatregelen uit dit artikel en hoe u werking aantoont in de steekproefperiode — logs, tickets, goedgekeurde changes of oefenverslagen. Certificerende instellingen en ketenpartijen accepteren geen intentie zonder sample. Koppel evidence-locaties aan uw SoA of controleplan zodat interne en externe audit dezelfde bronnen gebruiken.
Keten en contracten
Veel eisen in 2026 komen via opdrachtgevers en niet alleen via formele wet-scope. Align contract-SLA’s met uw ISMS: incidentmelding, auditrechten, patch-termijnen en exit. Documenteer waar contract strenger is dan interne policy — management review moet die gap expliciet accepteren of investering plannen.
