Contact NIS2 Check

De meldplicht onder NIS2

Met NIS2 krijgen organisaties niet alleen zorgplicht en registratieplicht, maar ook een strakker omschreven meldplicht. Die bestond al onder de huidige NIS, maar wordt nu aangescherpt. Kort gezegd: als iets misgaat dat de continuïteit van je dienstverlening serieus in gevaar brengt, moet je dat melden. En dat moet snel. 

 

Www.Guyhouben.Com KNSS 9 (1)

Wanneer moet je melden? 

Volgens NIS2 gaat het om incidenten die een aanzienlijk effect hebben op de beveiliging van je netwerk- en informatiesystemen. Dat betekent: jouw systemen kunnen niet langer betrouwbaar beschikbaar zijn, of hun integriteit, vertrouwelijkheid of authenticiteit is in het geding. 

Om te bepalen of een incident 'aanzienlijk' is, wordt gekeken naar onder andere:

  • Het aantal getroffen gebruikers
  • De duur van het incident
  • De geografische omvang van de impact

Blijkt het incident inderdaad groot genoeg? Dan moet je melden bij de bevoegde autoriteit of het CSIRT. In Nederland is dat meestal het Nationaal Cyber Security Centrum (NCSC). 

Twee fasen: eerst snel, dan volledig 

NIS2 introduceert een 'twee-stappenaanpak' voor meldingen: 

Eerste melding

  • Binnen 24 uur nadat je het incident hebt ontdekt
  • Alleen de strikt noodzakelijke informatie
  • Vermelden (indien mogelijk) of het om een kwaadwillige of illegale actie gaat
  • Je ontvangt binnen 24 uur feedback en eventueel richtlijnen of technische ondersteuning
  • Bij een crimineel incident krijg je ook aanwijzingen voor melding bij politie/justitie

Eindmelding 

  • Binnen 1 maand na de eerste melding
  • Een compleet verslag met:
    - beschrijving van het incident, ernst en gevolgen
    - waarschijnlijke oorzaak of dreiging
    - alle genomen of lopende maatregelen 
  • In uitzonderlijke gevallen kan, in overleg, worden afgeweken van deze termijnen

Ook cyberdreigingen melden 

Niet alleen incidenten moeten gemeld worden. Onder NIS2 geldt ook een meldplicht voor significante cyberdreigingen, dreigingen die mogelijk kunnen leiden tot een groot incident.

Een dreiging of incident wordt als significant gezien als:

  • Het zorgt of kan zorgen voor grote operationele verstoring of financiële schade
  • Het (mogelijk) aanzienlijke materiële of immateriële schade veroorzaakt bij personen en organisaties 

De meldplicht onder NIS2 vraagt om snelheid, structuur en goede interne processen. Wie nu alvast zijn meldprocedures op orde heeft, is straks niet alleen compliant, maar kan ook sneller reageren en de schade beperken als het misgaat.