Plan intake
NIS2 verplichtingen

NIS2 meldplicht, wat moet je wanneer melden

Laatst bijgewerkt: 12 mei 2026Leestijd: 7 minDoor URL.nl Redactie

TL;DR

De NIS2-meldplicht verplicht aangewezen organisaties om significante incidenten in drie stappen te melden bij de bevoegde toezichthouder: een vroegtijdige waarschuwing binnen 24 uur, een incidentmelding binnen 72 uur en een eindrapport binnen één maand. De klok loopt vanaf het moment dat je redelijkerwijs op de hoogte had kunnen zijn van het incident. Een gedocumenteerd incidentplan, een 24/7 meldpunt en een vaste rapportagesjabloon zijn de belangrijkste voorbereiding. Wie de termijnen mist, riskeert dwangsommen en zwaardere handhaving.

Wat is de meldplicht

De meldplicht onder NIS2 verplicht essentiële en belangrijke entiteiten om significante incidenten actief te melden bij de bevoegde toezichthouder en, in veel gevallen, bij het NCSC. Het doel is tweeledig: snelle hulp en coördinatie bij ernstige aanvallen, en een actueel landelijk beeld van dreigingen.

Wanneer is een incident significant

Een incident is significant als het ernstige operationele verstoringen veroorzaakt of financiële verliezen oplevert, of als het andere natuurlijke of rechtspersonen aanzienlijke materiële of immateriële schade berokkent. De toetsing is contextueel, maar in de praktijk wegen toezichthouders deze factoren mee:

  • Aantal getroffen gebruikers of klanten
  • Duur van de verstoring
  • Geografische reikwijdte
  • Mate waarin de dienst kritiek is voor de samenleving
  • Financiële schade

Meldtermijnen onder NIS2

TermijnType meldingWat moet erin
Binnen 24 uurVroegtijdige waarschuwingEerste indicatie aard, vermoeden van opzet, mogelijke grensoverschrijdende impact
Binnen 72 uurIncidentmeldingInitiële beoordeling, ernst, impact, indicators of compromise, eerste maatregelen
Op verzoekVoortgangsrapportStatusupdate als de toezichthouder daarom vraagt
Binnen 1 maandEindrapportRoot cause, volledige tijdlijn, getroffen maatregelen, restschade en geleerde lessen
Let op: de termijn start vanaf het moment dat je redelijkerwijs op de hoogte had kunnen zijn van het incident. Wachten op interne bevestiging telt niet als rechtvaardiging.

Inhoud per melding

Maak per type melding een vast sjabloon klaar zodat er onder druk geen tijd verloren gaat aan opmaak. Een werkbare minimumset:

  • Wie meldt (organisatie, contact, 24/7 bereikbaar nummer)
  • Wat is gebeurd (kort, feitelijk, zonder speculatie)
  • Wanneer is het ontdekt en wanneer is het vermoedelijk begonnen
  • Welke diensten en klanten zijn geraakt, met geschatte aantallen
  • Welke maatregelen zijn al genomen
  • Welke aanvullende hulp je vraagt

Aan wie meld je

De bevoegde toezichthouder volgt uit je sector. Voor digitale infrastructuur en ICT-dienstenbeheer is dat in Nederland de RDI. Het NCSC ontvangt parallelle meldingen om hulp en coördinatie te bieden. Bij persoonsgegevens kan een aanvullende melding bij de Autoriteit Persoonsgegevens nodig zijn onder de AVG.

Wanneer informeer je klanten of gebruikers

Als een incident waarschijnlijk de dienstverlening aan klanten significant raakt, ben je verplicht hen onverwijld te informeren. In de communicatie staat wat er gebeurd is, welke maatregelen je neemt en welke acties zij zelf kunnen ondernemen. De toezichthouder kan in een ernstig geval verplichten om actief het publiek te informeren.

Veelgemaakte fouten

  • Wachten op zekerheid voordat je meldt, de 24-uurstermijn is bedoeld voor een waarschuwing met aannames, niet voor een definitief beeld
  • De meldroute alleen kennen bij IT, niet bij directie of communicatie
  • Geen vaste sjablonen klaar hebben, waardoor onder druk waardevolle tijd verloren gaat
  • Geen oefeningen, waardoor de eerste echte melding ook de eerste test is
  • Vergeten klanten of partners te informeren naast de toezichthouder

Hoe je je voorbereidt

Goed nieuws: de meldplicht is heel oefenbaar.

  1. Documenteer een incident response plan met rollen, criteria voor significant en escalatiepaden
  2. Maak vaste meldsjablonen voor 24 uur, 72 uur en eindrapport
  3. Richt een 24/7 contactpunt in en oefen de bereikbaarheid in de avond en het weekend
  4. Plan minstens één tabletop oefening per jaar, met directie en communicatie aanwezig
  5. Toets jaarlijks of de meldroutes nog kloppen met de actuele toezichthouders

URL.nl helpt je de meldplicht aantoonbaar in te richten, samen met onze cybersecurity partners. Plan een intake.

Deze informatie is bedoeld als praktische uitleg en vormt geen juridisch advies. Controleer altijd de actuele wetgeving en raadpleeg waar nodig een juridisch adviseur of toezichthouder.

Veelgestelde vragen

Moeten we elk klein incident melden?

Nee. Alleen significante incidenten. Maar het criterium is contextueel, dus leg in je incident plan vast hoe je dit toetst, dat helpt onder druk én bij audit.

Wat als we niet zeker weten of het significant is?

Melden in twijfelgevallen is meestal verstandiger dan niet melden. Een vroegtijdige waarschuwing kan later worden ingetrokken of bijgesteld.

Geldt deze meldplicht naast die van de AVG?

Ja. Een incident dat zowel ICT-systemen als persoonsgegevens raakt, kan twee meldingen vragen: bij de NIS2-toezichthouder én bij de Autoriteit Persoonsgegevens.

Officiële bronnen

Verder lezen: NIS2 registratieplicht, NIS2 zorgplicht, NIS2 hub.

Laatst bijgewerkt op 12 mei 2026 door de URL.nl Redactie.

Wil je weten wat jouw organisatie nodig heeft?

Plan een korte cybersecurity intake. We nemen samen je situatie door en geven concrete vervolgstappen.

Plan een cybersecurity intake