Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Uitleg

NIS2: wat houdt de meldplicht (24/72 uur) precies in?

Vastgesteld 2026-06-14 · ≈ 1 min lezen · Dirk Baaijen

Bij een significant incident gelden onder NIS2 strakke termijnen: een vroege waarschuwing binnen 24 uur, een formele melding binnen 72 uur en een eindrapport binnen een maand — aan de nationale autoriteit/CSIRT. Wat telt als significant, en hoe je je erop inricht.

NIS2 kent een gefaseerde meldplicht voor significante incidenten. De termijnen zijn kort, dus je moet ze vóóraf hebben ingeregeld.

De drie stappen

  1. Binnen 24 uur — vroege waarschuwing. Een eerste melding aan de

nationale autoriteit of het CSIRT dat er een significant incident speelt (vermoeden van kwaadwillige oorzaak, grensoverschrijdend effect).

  1. Binnen 72 uur — incidentmelding. Een inhoudelijke update: ernst, impact,

indicatoren van compromittering.

  1. Binnen een maand — eindrapport. Een afsluitend verslag met oorzaak,

maatregelen en gevolgen.

Wat is "significant"?

Globaal: een incident dat ernstige operationele verstoring of financiële schade veroorzaakt, of dat andere partijen aanzienlijk kan raken. De exacte drempels staan in de uitvoeringsregels en de nationale wet.

Wat te doen

  • Leg het proces vast vóórdat er iets gebeurt: wie meldt, via welk kanaal,

binnen welke termijn.

  • Oefen het — 24 uur is kort; improviseren tijdens een incident kost je de

deadline.

  • Koppel het aan je leveranciers — een incident bij een toeleverancier kan

óók jouw meldplicht triggeren.

Lees het hoofddossier: NIS2: cyberbeveiliging als bestuursverantwoordelijkheid. Of doe de Transport & Logistiek-scan.

Bronnen

  1. https://eur-lex.europa.eu/eli/dir/2022/2555/oj
    Richtlijn (EU) 2022/2555 (NIS2): gefaseerde meldplicht voor significante incidenten (vroege waarschuwing, melding, eindrapport).
  2. https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
    Europese Commissie — NIS2: incidentmelding en toezicht.

Deel op LinkedIn

Lees ook

U

De Nederlandse Cyberbeveiligingswet: zo wordt NIS2 in Nederland recht

De Cyberbeveiligingswet zet NIS2 om in Nederlands recht: zorgplicht, meldplicht en bestuursaansprakelijkheid. De wet is nog in behandeling en treedt naar verwachting later in werking dan de EU-deadline.

A

AI beveiligen in kritieke infrastructuur: waar AI Act, Cyber Resilience Act en NIS2 samenkomen

Eén AI-systeem in een haven valt vaak onder drie kaders tegelijk: de AI Act (art. 15) beveiligt het AI-systeem zelf, de Cyber Resilience Act het product, en NIS2 verplicht de exploitant als essentiële entiteit. Dit stuk legt uit hoe ze samenkomen en wie waarvoor verantwoordelijk is.

U

Dekt mijn ISO 27001-certificering de zorgplicht onder NIS2?

ISO 27001 dekt een groot deel van de NIS2-risicobeheermaatregelen, maar is geen automatische compliance. Meldplicht, bestuursverantwoordelijkheid, ketenrisico en registratie moet je apart afdekken.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

Maandelijkse Transport & Logistiek-signalering

Eén keer per maand: de EU-ontwikkelingen die transport en logistiek raken, kort geduid — met bron. Geen spam, uitschrijven kan altijd.

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.