{"id":12944,"date":"2026-04-17T09:00:57","date_gmt":"2026-04-17T07:00:57","guid":{"rendered":"https:\/\/jimber.io\/?p=12944"},"modified":"2026-04-17T09:00:57","modified_gmt":"2026-04-17T07:00:57","slug":"nis2-incidentrapportage-tijdlijnen-sjablonen-en-praktische-stappen","status":"publish","type":"post","link":"https:\/\/jimber.io\/nl\/blog\/nis2-incidentrapportage-tijdlijnen-sjablonen-en-praktische-stappen\/","title":{"rendered":"NIS2-incidentrapportage: tijdlijnen, sjablonen en praktische stappen"},"content":{"rendered":"<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Hoe snel moet je een NIS2-incident melden?<\/h2>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Artikel 23 van NIS2 legt een meldingscadans in drie fasen op voor significante incidenten. U moet binnen 24 uur na het bekend worden van het incident een vroegtijdige waarschuwing indienen. Een gedetailleerde melding van het incident volgt binnen 72 uur. Een eindrapport, inclusief analyse van de hoofdoorzaak en herstelmaatregelen, moet binnen een maand worden ingediend. Als het 24-uursvenster niet wordt nageleefd, kan uw organisatie worden blootgesteld aan handhavingsmaatregelen, boetes en mogelijke persoonlijke aansprakelijkheid van bestuursleden.    <\/p>\n<div style=\"background-color: #e6f6f6; padding: 24px 28px; border-radius: 12px; margin: 24px 0;\">\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\" style=\"margin: 0;\">NIS2 is de EU-richtlijn die cyberbeveiligingsverplichtingen oplegt aan organisaties in 18 sectoren, waaronder energie, gezondheidszorg, transport, productie en digitale diensten. In Belgi\u00eb is de wet van kracht sinds oktober 2024 en is deze van toepassing op entiteiten met 50 of meer werknemers of een jaarlijkse omzet van meer dan 10 miljoen euro. Van alle NIS2-vereisten heeft incidentrapportage de strakste deadlines en de meest directe operationele druk. Voor een volledig beeld van wat NIS2 betekent voor teams in het middensegment, zie ons <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/nl\/blog\/nis2-compliance-2026-wat-middelgrote-bedrijven-nu-moeten-doen\/\">NIS2-complianceoverzicht<\/a>.   <\/p>\n<\/div>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">De 24-uurs vroegtijdige waarschuwing is de deadline die de meeste organisaties in het middensegment van de markt breekt. Niet omdat ze niet de wil hebben om te rapporteren, maar omdat ze niet de zichtbaarheid hebben om een incident snel genoeg te classificeren. Als je logbestanden verspreid zijn over vijf verschillende tools, kan alleen al het bevestigen of een gebeurtenis &#8220;significant&#8221; is het hele venster opslokken. Gecentraliseerde logging verandert die vergelijking. Met \u00e9\u00e9n enkel auditspoor dat toegangsevents, beleidsschendingen en beveiligingswaarschuwingen met elkaar in verband brengt, kunt u van detectie naar classificatie in minuten in plaats van uren.    <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Deze gids gaat in detail in op de drie rapportagefasen, legt uit wat er bij elke melding komt kijken, behandelt de Belgische, Nederlandse en Britse rapportageprocedures en biedt een stapsgewijze workflow voor het reageren op incidenten die u kunt aanpassen aan uw organisatie.<\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Wat NIS2 Artikel 23 vereist<\/h2>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Artikel 23 vervangt de vage formulering &#8220;zonder onnodige vertraging&#8221; uit de oorspronkelijke NIS-richtlijn door drie harde termijnen. Elke fase dient een ander doel en de informatie die in elke fase nodig is, is opzettelijk anders. <\/p>\n<div class=\"overflow-x-auto w-full px-2 mb-6\">\n<table class=\"min-w-full border-collapse text-sm leading-[1.7] whitespace-normal\">\n<thead class=\"text-left\">\n<tr>\n<th class=\"text-text-100 border-b-0.5 border-border-300\/60 py-2 pr-4 align-top font-bold\" scope=\"col\">Fase<\/th>\n<th class=\"text-text-100 border-b-0.5 border-border-300\/60 py-2 pr-4 align-top font-bold\" scope=\"col\">Deadline<\/th>\n<th class=\"text-text-100 border-b-0.5 border-border-300\/60 py-2 pr-4 align-top font-bold\" scope=\"col\">Doel<\/th>\n<th class=\"text-text-100 border-b-0.5 border-border-300\/60 py-2 pr-4 align-top font-bold\" scope=\"col\">Wat in te sluiten<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Vroegtijdige waarschuwing<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">24 uur na bewustzijn<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">De autoriteit waarschuwen dat er iets aan de hand is<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Bevestiging van een significant incident, vermoedelijke kwaadaardige oorzaak (ja\/nee), potenti\u00eble grensoverschrijdende impact, eerste beheersingsmaatregelen<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Melding incident<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">72 uur na bewustzijn<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Geef gevalideerde details voor geco\u00f6rdineerde respons<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Ernstbeoordeling, indicatoren van compromittering (IOC&#8217;s), aantal getroffen gebruikers, herstelstatus, sectorale impactanalyse<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Eindrapport<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">1 maand na de 72-uurs melding<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Permanente verantwoording<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Volledige oorzakenanalyse, chronologie van gebeurtenissen, permanente herstelmaatregelen, geleerde lessen<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">De klok begint te lopen wanneer je organisatie zich &#8220;bewust wordt&#8221; dat het incident voldoet aan de criteria voor significantie. Niet wanneer de aanval begon. Niet wanneer u klaar bent met uw onderzoek. Op het moment dat je genoeg informatie hebt om de gebeurtenis als belangrijk te classificeren, gaat de 24-uursperiode in.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Als het incident na een maand nog niet is opgelost, dien je in plaats daarvan een voortgangsrapport in. Het eindrapport volgt dan binnen een maand nadat het is opgelost. <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Een detail dat organisaties verrast: Artikel 23(5) vereist dat de ontvangende autoriteit waar mogelijk binnen 24 uur reageert op je vroegtijdige waarschuwing, inclusief een eerste advies over risicobeperking. Dit is geen eenrichtingsverkeer. Van de autoriteit wordt verwacht dat ze helpt, vooral als het incident grensoverschrijdende gevolgen heeft.  <\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Wat telt als een belangrijk incident<\/h2>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Niet elk veiligheidsincident geeft aanleiding tot de meldingsplicht. Artikel 23, lid 3, definieert een significant incident als een incident dat voldoet aan een kwalitatieve of kwantitatieve drempel. <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\"><strong>Operationele verstoring.<\/strong>  Het incident heeft een ernstige verstoring veroorzaakt of kan een ernstige verstoring veroorzaken voor de diensten die je levert. Een ransomware-aanval die productiesystemen versleutelt, komt in aanmerking. Een mislukte phishingpoging die door uw filters is opgevangen niet.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\"><strong>Financieel verlies.<\/strong>  Het incident heeft aanzienlijk financieel verlies veroorzaakt of kan dit veroorzaken. Directe kosten, herstelkosten, gederfde inkomsten en contractuele boetes tellen allemaal mee. <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\"><strong>Schade aan derden.<\/strong>  Het incident heeft gevolgen gehad of kan gevolgen hebben voor andere mensen of organisaties. Datalekken die persoonlijke informatie blootleggen, of verstoringen in de toeleveringsketen die doorwerken naar je klanten, vallen in deze categorie. <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\"><strong>Kwaad opzet.<\/strong>  Vermoedens van door de staat gesponsorde activiteiten, spionage of aanvallen met mogelijke grensoverschrijdende gevolgen krijgen prioriteit bij vroegtijdige waarschuwing.<\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">De Uitvoeringsverordening 2024\/2690 van de Europese Commissie voegt specifieke technische drempels toe voor leveranciers van digitale infrastructuur zoals clouddiensten, datacenters en DNS-operators. Voor de meeste organisaties in het middensegment van de markt is de praktische test eenvoudig: als het incident uw diensten verstoort, persoonlijke gegevens in gevaar brengt of zich naar andere organisaties kan verspreiden, is het significant en begint de klok te lopen. <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Bouw uw interne classificatiematrix op rond deze vier criteria voordat er een incident plaatsvindt. Als er om 2 uur &#8217;s nachts een waarschuwing afgaat, zou uw oproepingenieur geen regelgevende tekst hoeven te interpreteren. Ze hebben een beslisboom van \u00e9\u00e9n pagina nodig die hen vertelt: belangrijk of niet belangrijk, melden of bewaken. Platformen als Jimber vereenvoudigen deze stap omdat elke toegangsbeslissing, beleidsschending en beveiligingswaarschuwing al door \u00e9\u00e9n controlevlak stroomt. De technicus ziet de betrokken gebruiker, de status van het apparaat en de omvang van de gebeurtenis in \u00e9\u00e9n overzicht, in plaats van gegevens uit drie consoles op te vragen voordat een classificatie mogelijk is.    <\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Waar te melden in Belgi\u00eb, Nederland en het Verenigd Koninkrijk<\/h2>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Belgi\u00eb<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Het Centre for Cybersecurity Belgium (CCB) is de nationale autoriteit. Alle belangrijke NIS2-incidenten moeten worden gemeld via het <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/atwork.safeonweb.be\" target=\"_blank\" rel=\"noopener\">Safeonweb@Work-portaal<\/a>. CERT.be, de operationele tak van het CCB, zorgt voor de co\u00f6rdinatie van incidenten en kan technische bijstand verlenen tijdens actieve incidenten.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Het Belgische rapportageformulier vereist de classificatie van uw entiteit (essentieel of belangrijk), het type incident (ransomware, datalek, systeemcompromittering, enz.), de exacte datum en tijd van detectie, een beschrijving van hoe u het incident hebt gedetecteerd, een voorlopige impactbeoordeling, of er grensoverschrijdende effecten worden vermoed en een bevestiging of multifactorauthenticatie actief was op de getroffen systemen.<\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Belgi\u00eb was een van de eerste EU-lidstaten die NIS2 op 26 april 2024 in nationale wetgeving hebben omgezet. De meldingsplicht voor incidenten is actief sinds 18 oktober 2024. Dit is geen toekomstige verplichting. Het is nu van toepassing.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Voor organisaties die binnen het CyberFundamentals (CyFun)-raamwerk werken, is incidentrapportage direct gekoppeld aan de Respond-functie. CyFun-controle RS.CO (Communicatie) vereist een gedocumenteerd proces voor rapportage aan zowel intern management als externe autoriteiten, waaronder de CCB. De <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/nl\/blog\/cyfun-zelfevaluatie-wat-belgische-organisaties-moeten-documenteren-na-april-2026\/\">CyFun-zelfevaluatiegids<\/a> behandelt deze controles in detail. Het <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/nl\/blog\/maak-kennis-met-cracy-uw-sleutel-tot-moeiteloze-compliance-met-cyberweerbaarheid\/\">CRACy-compliancehulpmiddel<\/a> van Jimber brengt uw bestaande configuratie in kaart aan de hand van de Respond-controles en laat zien waar uw incidentrapportageprocedure al voldoet aan de CyFun-vereisten en waar er nog hiaten zijn.   <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Nederland<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Het NCSC-NL (Nationaal Cyber Security Centrum) fungeert als het primaire CSIRT voor essenti\u00eble entiteiten. Nederland activeerde zijn Cyberbeveiligingswet in Q1 2026, waarmee NIS2 werd omgezet in Nederlandse wetgeving. Rapportage volgt dezelfde 24\/72\/1-maandelijkse cadans via het NCSC-portaal.  <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Verenigd Koninkrijk<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Het Verenigd Koninkrijk werkt met zijn eigen NIS-verordeningen 2018 (zoals gewijzigd), die dateren van v\u00f3\u00f3r NIS2 en qua toepassingsgebied verschillen. De Britse overheid heeft updates voorgesteld om beter aan te sluiten bij NIS2, maar het huidige kader maakt gebruik van sectorspecifieke bevoegde instanties in plaats van \u00e9\u00e9n nationaal portaal. Raadpleeg de toezichthouder van je sector voor de toepasselijke meldingsprocedure.  <\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Hoe de 24-uurs deadline te halen<\/h2>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Dit is waar theorie en operationele realiteit elkaar ontmoeten. Het venster van 24 uur klinkt krap. Voor organisaties met gecentraliseerde zichtbaarheid is het volledig beheersbaar. Voor organisaties die nog steeds handmatig logs verzamelen van afzonderlijke firewalls, endpoint tools en cloudapplicaties is het bijna onmogelijk.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Het probleem is niet het schrijven van het rapport. De vroegtijdige waarschuwing is bewust licht: bevestig het incident, geef aan of het er kwaadaardig uitziet, noteer het grensoverschrijdende risico, beschrijf de eerste inperking. Je kunt dat formulier in 30 minuten invullen.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Het probleem is om het punt te bereiken waarop je met vertrouwen kunt zeggen &#8220;ja, dit is significant&#8221; binnen de eerste paar uur. Dat vereist het correleren van gegevens uit meerdere bronnen om te begrijpen wat er is gebeurd, wat er is getroffen en hoe ver het incident zich heeft verspreid. <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\"><strong>Waarom verspreide houtkap de deadline niet haalt.<\/strong>  Een typische mid-market opstelling heeft firewall logs in \u00e9\u00e9n console, endpoint alerts in een andere, cloud applicatie logs in een derde en VPN toegangsrecords ergens anders. Gegevens uit elk systeem halen, tijdstempels normaliseren en gebeurtenissen handmatig met elkaar vergelijken is een werk van vele uren, zelfs voordat je begint met analyseren. Uit onderzoek van IBM&#8217;s 2025 Cost of a Data Breach rapport blijkt dat het gemiddeld 186 dagen duurt om incidenten met gecompromitteerde referenties te identificeren. Zelfs teams die over voldoende middelen beschikken, kunnen de eerste triage zelden in minder dan 8 uur afronden als ze met losse tools werken.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\"><strong>Hoe gecentraliseerd loggen dit oplost.<\/strong>  Wanneer alle toegangsbeslissingen, netwerkactiviteiten en beveiligingswaarschuwingen via \u00e9\u00e9n platform lopen, vindt correlatie automatisch plaats. Een afwijkende aanmelding vanaf een onbekende locatie, gevolgd door een zijwaartse beweging naar een bestandsserver, gevolgd door een poging tot data-exfiltratie, verschijnt als een samenhangende reeks in plaats van drie ge\u00efsoleerde waarschuwingen in drie afzonderlijke dashboards. <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Jimber&#8217;s single management console correleert access events, policy violations en security alerts in \u00e9\u00e9n audit trail. Omdat al het verkeer door het SASE-controlevlak loopt, is het volledige aanvalspad zichtbaar vanuit \u00e9\u00e9n interface: het eerste toegangspunt, de zijwaartse beweging, de getroffen systemen en gegevens. Hierdoor kan uw beveiligingsverantwoordelijke binnen enkele minuten in plaats van uren bepalen of een incident aan de belangrijkheidsdrempel voldoet, waardoor de deadline van 24 uur verandert van een gevecht in een gestructureerd proces.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Hetzelfde controlespoor genereert het tijdstempelgetrouwe, onveranderlijke bewijs dat een maand later nodig is voor het eindrapport. Platforms zoals Jimber produceren versiegecontroleerde logboeken van elke toegangsbeslissing en beleidswijziging, die direct kunnen worden ge\u00ebxporteerd naar het rapportageportaal van de CCB. Geen handmatige logboekaggregatie. Geen hiaten in het bewijs.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\"><strong>Praktische tip.<\/strong>  Voer een oefening uit waarbij een ransomware-incident wordt gesimuleerd. Start de klok wanneer de eerste waarschuwing afgaat. Houd bij hoe lang uw team erover doet om de significantie te bevestigen met uw huidige hulpmiddelen. Als u niet binnen 4 uur tot een classificatiebesluit kunt komen, hebt u een zichtbaarheidsprobleem dat u met procesverbeteringen alleen niet kunt oplossen.   <\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Uw procedure voor incidentenrapportage opstellen<\/h2>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Een gedocumenteerde procedure die je team onder druk kan volgen, is meer waard dan welk raamwerkschema dan ook. Hier is een stapsgewijze workflow, gestructureerd rond de rapportagefasen van NIS2. <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Stap 1: Detecteren en triage (uur 0-2)<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Uw monitoringsystemen signaleren een afwijking. De engineer controleert de waarschuwing aan de hand van je classificatiematrix. In een geconsolideerde SASE-omgeving zoals Jimber bevat die waarschuwing al de identiteit van de gebruiker, de status van het apparaat en de gebruikte bronnen, waardoor de engineer de context heeft om binnen enkele minuten in plaats van uren te classificeren. De belangrijkste vragen in dit stadium: wordt de beschikbaarheid van de service be\u00efnvloed? Zijn persoonlijke gegevens mogelijk gecompromitteerd? Lijkt het incident kwaadaardig? Kan het andere organisaties be\u00efnvloeden?      <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Als een antwoord &#8220;ja&#8221; of &#8220;waarschijnlijk ja&#8221; is, classificeer het dan als significant en start de 24-uursklok.<\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Stap 2: indammen en escaleren (uur 2-6)<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Isoleer aangetaste systemen. Schakel gecompromitteerde accounts uit. Blokkeer schadelijke IP&#8217;s. Escaleer tegelijkertijd naar uw incident response lead en uw contactpersoon voor juridische zaken\/compliance. De mensen die de vroegtijdige waarschuwing zullen geven, moeten het nu weten, niet pas om uur 22.    <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Stap 3: Dien de vroegtijdige waarschuwing in (uur 6-24)<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Stel de 24-uurs melding op en dien deze in via het Safeonweb@Work-portaal (Belgi\u00eb), NCSC-portaal (Nederland) of uw sectorregulator (VK). Vermeld alleen wat u op dit moment weet. Het CCB geeft de voorkeur aan een eerlijke &#8220;onbekend&#8221; in een tijdige indiening boven een gedetailleerde melding die op uur 25 wordt ingediend.  <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Stap 4: Onderzoeken en bewijs verzamelen (uur 24-72)<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Gebruik je gecentraliseerde logboeken om de tijdlijn van de aanval te reconstrueren. Identificeer compromitteringsindicatoren: IP-adressen, hashes van bestanden, uitgebuite kwetsbaarheden. Kwantificeer de impact: aantal getroffen gebruikers, systemen, gegevensrecords. Beoordeel of het incident gevolgen heeft voor de sector of de toeleveringsketen.   <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Stap 5: Dien de 72-uurs kennisgeving in (uur 48-72)<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Deze update moet gevalideerde technische details bevatten. Ernstbeoordeling, IOC&#8217;s, genomen herstelmaatregelen en een analyse of het incident gevolgen heeft voor andere organisaties of sectoren. Als je ook een GDPR-kennisgevingsverplichting hebt (waarbij persoonsgegevens betrokken zijn), synchroniseer dan de 72-uurs inzendingen voor consistentie.  <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Stap 6: Analyse van de oorzaak en eindrapport (week 1-4)<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Voer na indamming een autopsie uit. Identificeer de hoofdoorzaak, documenteer de volledige tijdlijn van het incident en beschrijf de permanente maatregelen die u neemt om herhaling te voorkomen. Dien het eindrapport binnen een maand in.  <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Wat u moet voorbereiden voordat er een incident plaatsvindt<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Als je deze items klaar hebt voordat je ze nodig hebt, bespaar je uren tijdens een live incident:<\/p>\n<ul class=\"list-disc pl-6 mb-4 space-y-1\">\n<li class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Vooraf ingevulde rapportagesjablonen met de CCB-registratiegegevens, sectorclassificatie en contactgegevens van je organisatie<\/li>\n<li class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Een classificatiematrix die incidenttypen koppelt aan NIS2-belangrijkheidscriteria<\/li>\n<li class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Een escalatiematrix met namen, rollen en contactgegevens voor de 24-uurs, 72-uurs en eindrapporten<\/li>\n<li class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Een communicatieplan voor interne kennisgeving (bestuur, juridische zaken, PR) en externe kennisgeving (CCB, DPA, betrokken derden)<\/li>\n<li class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Bewijs van regelmatig testen: verslagen van tafeloefeningen, simulatieresultaten, data voor procedure-evaluaties<\/li>\n<\/ul>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Je <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/blog\/nis2-compliance-checklist-for-it-managers-what-your-audit-expects\/\">NIS2-checklist voor naleving<\/a> omvat de bredere auditvoorbereiding, inclusief de controles voor incidentrapportage die conformiteitsbeoordelingsinstanties gedocumenteerd willen zien.<\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">NIS2 vs GDPR vs DORA-rapportage: wanneer overlappen ze elkaar?<\/h2>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Een enkel cyberincident kan leiden tot rapportageverplichtingen onder meerdere regelgevingen tegelijk. Dit is geen theoretisch randgeval. Een ransomware-aanval op een ziekenhuis waarbij pati\u00ebntendossiers worden versleuteld, leidt tot NIS2 (onderbreking van de dienstverlening), GDPR (inbreuk op persoonsgegevens) en mogelijk tot sectorspecifieke gezondheidsregelgeving. <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/nl\/blog\/ziekenhuis-ransomware-aanval-belgie-2026-wat-ging-er-mis-en-hoe-voorkom-je-het\/\">De Belgische ransomware-aanval op ziekenhuizen<\/a> eerder dit jaar illustreerde precies deze overlapping.  <\/p>\n<div class=\"overflow-x-auto w-full px-2 mb-6\">\n<table class=\"min-w-full border-collapse text-sm leading-[1.7] whitespace-normal\">\n<thead class=\"text-left\">\n<tr>\n<th class=\"text-text-100 border-b-0.5 border-border-300\/60 py-2 pr-4 align-top font-bold\" scope=\"col\">Aspect<\/th>\n<th class=\"text-text-100 border-b-0.5 border-border-300\/60 py-2 pr-4 align-top font-bold\" scope=\"col\">NIS2<\/th>\n<th class=\"text-text-100 border-b-0.5 border-border-300\/60 py-2 pr-4 align-top font-bold\" scope=\"col\">GDPR<\/th>\n<th class=\"text-text-100 border-b-0.5 border-border-300\/60 py-2 pr-4 align-top font-bold\" scope=\"col\">DORA<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Focus<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Beschikbaarheid en integriteit van de service<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Vertrouwelijkheid van persoonlijke gegevens<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">ICT operationele veerkracht (financi\u00eble sector)<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Tijdslijn<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">24 uur vroegtijdige waarschuwing, 72 uur kennisgeving, 1 maand definitief<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">72 uur melding aan DPA<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Verschilt per ernst incident; voor grote ICT-incidenten gelden specifieke tijdlijnen<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Autoriteit<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Nationaal CSIRT \/ CCB (Belgi\u00eb)<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Gegevensbeschermingsautoriteit<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Financi\u00eble toezichthouder (NBB\/FSMA in Belgi\u00eb, DNB in NL)<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Toepassingsgebied<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Essenti\u00eble en belangrijke entiteiten in 18 sectoren<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Elke organisatie die persoonsgegevens verwerkt<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Financi\u00eble entiteiten en hun kritische ICT-providers<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Relatie<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Algemeen kader<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Loopt parallel; aparte melding<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Lex specialis voor financi\u00eble sector; gaat boven NIS2 voor ICT-incidenten<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Voor financi\u00eble dienstverleners heeft DORA over het algemeen voorrang op NIS2 als lex specialis. Maar Belgische en Nederlandse regelgevers hebben bevestigd dat er een dubbele meldingsplicht kan bestaan voor incidenten die zowel de veerkracht van ICT als de algemene netwerkbeveiliging be\u00efnvloeden. Als je actief bent in de financi\u00eble dienstverlening, worden de vereisten voor de financi\u00eble sector uitgebreid behandeld in het <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/nl\/blog\/dora-informatieregister-hoe-bouw-en-onderhoud-je-het-met-je-sase-platform\/\">DORA-informatieregister<\/a> en <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/nl\/blog\/sase-voor-financiele-diensten-hoe-banken-en-vermogensbeheerders-hybride-teams-beveiligen-onder-dora\/\">de SASE voor financi\u00eble diensten onder DORA-gidsen<\/a>.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">De praktische oplossing: houd \u00e9\u00e9n incidentenregister bij waarin alle meldingen voor alle toepasselijke regels worden bijgehouden. Geef elke melding een tijdstempel. Zorg ervoor dat de feiten die u rapporteert aan de CCB, de DPA en uw financi\u00eble toezichthouder consistent zijn. Inconsistenties tussen parallelle meldingen cre\u00ebren juridische risico&#8217;s die volledig te vermijden zijn. Een SASE-platform zoals Jimber genereert dezelfde gebeurtenislogs met tijdstempel voor alle drie de rapportagestromen vanuit \u00e9\u00e9n auditspoor, zodat de feiten in je NIS2-waarschuwing, je GDPR-kennisgeving en je DORA-rapport altijd op elkaar zijn afgestemd.    <\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">FAQ<\/h2>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Hoe lang heb je de tijd om een NIS2-incident te melden?<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Je moet een vroegtijdige waarschuwing indienen binnen 24 uur nadat je weet dat er een belangrijk incident heeft plaatsgevonden. Een gedetailleerde incidentmelding volgt binnen 72 uur. Een eindrapport met analyse van de hoofdoorzaak moet binnen een maand worden ingediend. Als het incident na een maand nog niet is opgelost, dient u een voortgangsrapport in en dient u het eindrapport binnen een maand in.   <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Wat gebeurt er als je de deadline van 24 uur mist?<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Als u uw nationale autoriteit niet binnen de vereiste termijnen op de hoogte brengt, kan dit leiden tot administratieve boetes. Voor essenti\u00eble entiteiten in Belgi\u00eb kunnen de boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten is de bovengrens EUR 7 miljoen of 1,4% van de omzet. Naast boetes kan het CCB certificeringen opschorten, niet-naleving openbaar maken en in geval van herhaalde nalatigheid bestuursfuncties tijdelijk beperken. <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/nl\/blog\/nis2-is-live-wat-bestuursaansprakelijkheid-betekent-voor-uw-bedrijf-in-belgie\/\">NIS2 Bestuurdersaansprakelijkheid in Belgi\u00eb<\/a> dekt de persoonlijke aansprakelijkheid van bestuurders en leidinggevenden.   <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Overlapt de NIS2-incidentrapportage de GDPR?<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Ja. Als er bij een cyberincident persoonsgegevens betrokken zijn, moet u mogelijk zowel uw nationale CSIRT (onder NIS2) als uw gegevensbeschermingsautoriteit (onder GDPR) binnen 72 uur op de hoogte stellen. De twee meldingen dienen verschillende doelen: NIS2 richt zich op servicecontinu\u00efteit terwijl GDPR zich richt op gegevensbescherming. Bereid beide meldingen parallel voor en zorg ervoor dat de gemelde feiten consistent zijn.   <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Wie is verantwoordelijk voor NIS2-rapportage in Belgi\u00eb?<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Het Centrum voor Cyberbeveiliging Belgi\u00eb (CCB) is de bevoegde autoriteit. Alle belangrijke incidenten moeten worden gemeld via het Safeonweb@Work-portaal. CERT.be zorgt voor de operationele co\u00f6rdinatie van incidenten. De verantwoordelijkheid voor het tijdig melden ligt bij het bestuursorgaan van de organisatie. Volgens de Belgische wet kunnen bestuursleden die geen toezicht houden op de implementatie van cyberbeveiliging persoonlijk aansprakelijk worden gesteld.    <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Welke hulpmiddelen helpen om de deadline van 24 uur te halen?<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Het 24-uurs venster vereist een snelle incidentclassificatie, die afhankelijk is van gecentraliseerde zichtbaarheid over je netwerk, endpoints en cloud-applicaties. Een SASE-platform zoals Jimber consolideert alle toegangslogs, beleidsevents en beveiligingswaarschuwingen in \u00e9\u00e9n auditspoor, waardoor de tijd om te classificeren wordt teruggebracht van uren tot minuten. SIEM-tools kunnen een vergelijkbare correlatiefunctie vervullen, maar organisaties in het middensegment vinden vaak dat een uniform SASE-platform zowel de beveiligingscontroles als de zichtbaarheid van de logging biedt zonder de complexiteit van een standalone SIEM-implementatie.  <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Moeten Belgische organisaties CyFun volgen voor het melden van incidenten?<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">CyFun is het implementatiekader van het CCB voor NIS2 in Belgi\u00eb. De responsfunctie (controleert RS.RP, RS.CO, RS.AN, RS.MI) stemt rechtstreeks overeen met de rapporteringsvereisten van artikel 23. Essenti\u00eble entiteiten moeten ten minste Basic of Important CyFun-verificatie bereiken tegen 18 april 2026. Zelfs als uw organisatie is geclassificeerd als belangrijk in plaats van essentieel, biedt het implementeren van de Respond-controles een gestructureerde, controleerbare benadering van incidentrapportage die voldoet aan zowel de NIS2- als de CyFun-vereisten.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">De deadline van 24 uur voor rapportage beloont voorbereiding, geen improvisatie. Organisaties met gecentraliseerde logging en een kant-en-klare rapportageprocedure kunnen deze deadline gemakkelijk halen. Organisaties die nog steeds met losse tools werken, hebben het elke keer moeilijk. Het SASE-platform van Jimber biedt een eenduidig controlespoor, realtime waarschuwingen en onveranderlijke gebeurtenislogboeken die NIS2-incidentrapportage veranderen van een regelkluwen in een gedocumenteerd, herhaalbaar proces. <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/nl\/vraag-een-demo-aan\/\">Boek een demo<\/a> om te zien hoe geconsolideerde zichtbaarheid het 24-uursvenster beheersbaar maakt voor je team.   <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Leer meer over de drie NIS2-meldingsdeadlines (24 uur, 72 uur, 1 maand), wat elke melding moet bevatten en hoe gecentraliseerd loggen u helpt het 24-uurs venster te halen.<\/p>\n","protected":false},"author":3,"featured_media":12939,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"inline_featured_image":false,"footnotes":""},"categories":[2],"tags":[],"class_list":["post-12944","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ongecategoriseerd"],"acf":[],"_links":{"self":[{"href":"https:\/\/jimber.io\/nl\/wp-json\/wp\/v2\/posts\/12944","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/jimber.io\/nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/jimber.io\/nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/jimber.io\/nl\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/jimber.io\/nl\/wp-json\/wp\/v2\/comments?post=12944"}],"version-history":[{"count":1,"href":"https:\/\/jimber.io\/nl\/wp-json\/wp\/v2\/posts\/12944\/revisions"}],"predecessor-version":[{"id":12999,"href":"https:\/\/jimber.io\/nl\/wp-json\/wp\/v2\/posts\/12944\/revisions\/12999"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/jimber.io\/nl\/wp-json\/wp\/v2\/media\/12939"}],"wp:attachment":[{"href":"https:\/\/jimber.io\/nl\/wp-json\/wp\/v2\/media?parent=12944"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/jimber.io\/nl\/wp-json\/wp\/v2\/categories?post=12944"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/jimber.io\/nl\/wp-json\/wp\/v2\/tags?post=12944"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}