NIS2-meldplicht: zo meld je een incident binnen 24 uur
De NIS2-wet verplicht Belgische organisaties om significante incidenten te melden bij het CCB. Procedure, tijdlijnen en checklist voor KMO’s.
Ransomware op drie servers, e-mail ligt plat, klantdata mogelijk geraakt. Je IT-partner werkt aan de technische respons. Maar als je organisatie onder de NIS2-wet valt, heb je er nog een taak bij: melden bij het CCB. Binnen 24 uur.
In het eerste jaar van de NIS2-wet werden 279 incidenten gemeld bij het CCB, waarvan 70 als significant. Het CCB heeft tot nu toe nul sanctieprocedures gestart. De aanpak is begeleidend, niet bestraffend. Maar de meldplicht zelf is dat wel: verplicht.
- De NIS2-wet verplicht essentiële en belangrijke entiteiten om significante incidenten te melden bij het CCB
- Meldtijdlijn: vroegtijdige waarschuwing binnen 24 uur, incidentmelding binnen 72 uur, eindverslag binnen één maand
- Melden via notif.safeonweb.be. Noodlijn: +32 (0)2 501 05 60
- Bij persoonsgegevens geldt ook de AVG-meldplicht bij de GBA. Twee meldingen, twee toezichthouders
Wanneer moet je melden?
De NIS2-wet spreekt over significante incidenten. Een incident is significant als het twee dingen combineert: het raakt je dienstverlening in een NIS2-sector, en het veroorzaakt of kan veroorzaken ernstige operationele verstoring, financiële verliezen, of schade voor derden.
Drie scenario's om het concreet te maken:
- Wel melden: ransomware versleutelt je productieservers. Je levert niet meer aan klanten. Significant.
- Waarschijnlijk melden: een aanvaller heeft toegang gehad tot je netwerk. Geen directe schade zichtbaar, maar klantgegevens waren bereikbaar. Het woord "kan veroorzaken" maakt dit meldplichtig.
- Niet melden: een phishing-mail die niemand opent. Een poortscan op je firewall. Geen impact, geen meldplicht.
Het grijze gebied zit bij dat "kan veroorzaken". De fout die veel organisaties maken: ze wachten tot de schade bewezen is. Maar de wet vereist melden bij redelijk vermoeden van mogelijke impact.
Het CCB zegt het zelf: liever een melding te veel dan een te weinig. Een melding die achteraf niet significant blijkt, heeft geen gevolgen. Een gemiste melding wel.
De meldtijdlijn: vier fasen
Melden is geen eenmalige actie. Het loopt parallel aan je technische incidentrespons.
Fase 1: Vroegtijdige waarschuwing (binnen 24 uur)
De klok tikt vanaf het moment dat je organisatie kennis heeft van het incident. Deze eerste melding is bewust kort. Je hoeft nog niet alles te weten. Drie dingen:
- Dat er een significant incident is
- Of het vermoedelijk kwaadwillig is veroorzaakt
- Of het grensoverschrijdende impact kan hebben
Vijf minuten invullen op het platform. Dat is het. Het CCB wil liever een korte melding op tijd dan een uitgebreide melding te laat.
Fase 2: Incidentmelding (binnen 72 uur)
Nu geef je een uitgebreidere beoordeling: aard van het incident, ernst, impact, genomen maatregelen. Voeg indicatoren van compromittering toe als je die hebt (IP-adressen, malware-hashes, verdachte domeinen).
Verleners van vertrouwensdiensten (certificaatdienstverleners, e-ID) hebben een kortere termijn: 24 uur in plaats van 72.
Fase 3: Tussentijds verslag (op verzoek)
Het CCB of je sectorale toezichthouder kan om een update vragen. Gebeurt vooral bij incidenten met brede impact.
Fase 4: Eindverslag (binnen één maand)
Uiterlijk één maand na je incidentmelding: gedetailleerd eindverslag met de oorzaak (root cause), volledige impact en genomen herstelmaatregelen. Is het incident nog niet afgerond? Dan lever je een voortgangsverslag en volgt het eindverslag later.
Hoe meld je via het notificatieplatform?
Alle NIS2-meldingen verlopen via notif.safeonweb.be. Het platform is beschikbaar in het Nederlands, Frans en Engels. Het formulier leidt je door de vereiste velden per fase.
Je hebt een account nodig dat gekoppeld is aan je NIS2-registratie op atwork.safeonweb.be. Dit is de meestgemaakte fout: organisaties die pas tijdens een incident ontdekken dat ze geen werkend account hebben. Regel dit vandaag, niet tijdens een crisis.
Is het platform onbereikbaar? Bel het CCB op +32 (0)2 501 05 60. Dit nummer is uitsluitend voor NIS2-entiteiten bij urgente incidenten.
Veel organisaties vrezen dat melden alleen maar tot inspectie leidt. In de praktijk is het omgekeerd: het CCB kan na je melding dreigingsinformatie terugkoppelen, je doorverwijzen naar technische hulp, of andere organisaties waarschuwen voor dezelfde dreiging. Na anderhalf jaar NIS2 heeft het CCB nul sanctieprocedures gestart.
NIS2 en AVG: dubbele meldplicht
Zijn er persoonsgegevens betrokken? Dan geldt naast de NIS2-meldplicht ook de AVG-meldplicht. Twee wetten, twee toezichthouders, twee meldingen.
| Aspect | NIS2 | AVG |
|---|---|---|
| Toezichthouder | CCB | GBA (Gegevensbeschermingsautoriteit) |
| Termijn eerste melding | 24 uur | 72 uur |
| Wat melden | Significant incident (operationeel) | Datalek met risico voor betrokkenen |
| Meldplatform | notif.safeonweb.be | GBA meldformulier |
| Eindverslag | Binnen 1 maand | Niet verplicht |
De NIS2-klok tikt sneller. In de praktijk meld je eerst bij het CCB (24 uur), daarna bij de GBA (72 uur). Bij een ransomware-aanval met klantgegevens doe je beide. Meer over de brede meldprocedure inclusief CERT.be en politie.
Bereid je nu voor
Voorbereiding maakt het verschil tussen een gecontroleerde melding en paniek om 3 uur 's nachts.
Vooraf regelen:
- Registreer op atwork.safeonweb.be als NIS2-entiteit. De deadline was 18 maart 2025. Van de geschatte 4.000 organisaties in scope hebben er 2.410 zich geregistreerd. Zit jij erbij?
- Maak een account aan op notif.safeonweb.be en test of je kunt inloggen. Nu, niet straks.
- Wijs rollen toe. Wie beslist dat er gemeld wordt? Wie vult het formulier in? Wie informeert de directie? Schrijf het op.
- Ken je sectorale toezichthouder. Naast het CCB kan je sector een eigen toezichthouder hebben: BIPT voor telecom, FSMA voor financiële dienstverlening.
Tijdens het incident:
- Documenteer alles vanaf het eerste moment: tijdstippen, screenshots, logbestanden
- Meld binnen 24 uur via notif.safeonweb.be. Kort en feitelijk
- Werk parallel aan inperking en herstel
- Check of er persoonsgegevens betrokken zijn (dan ook GBA melden binnen 72 uur)
De NIS2-meldplicht is geen bureaucratische last. Het is een gestructureerd proces van drie deadlines: 24 uur, 72 uur, één maand. Het CCB hanteert voorlopig een begeleidende aanpak en kan je na een melding ook helpen. Bereid je voor: registreer, test het platform, wijs rollen toe. Dan hoef je tijdens een incident alleen te volgen wat al klaarligt.
Dit artikel is informatief en geen juridisch advies. De NIS2-meldprocedures en criteria voor significante incidenten kunnen evolueren via koninklijke besluiten en CCB-guidance. Raadpleeg de officiële CCB-procedure of een gespecialiseerde jurist voor je specifieke situatie.
Wil je weten of de NIS2-wet op jouw organisatie van toepassing is? Beantwoord 7 vragen en je weet het.
Doe de NIS2 CheckVeelgestelde vragen
Bronnen
Gerelateerde artikels
NIS2 voor KMO's: de complete gids
Alles wat Belgische KMO's moeten weten over de NIS2-wet: scope, verplichtingen, CyFun framework, meldplicht en deadlines.
Cyberincident melden in België: bij wie en hoe
Je bedrijf is getroffen door een cyberincident. Bij wie meld je het? CERT.be, CCB, GBA, politie: deze gids legt de volledige meldprocedure uit, inclusief NIS2-verplichtingen.
Je bedrijf is gehackt: wat nu? Stappenplan
Je bedrijf is gehackt of besmet met malware. Dit stappenplan helpt je de schade te beperken, te herstellen en herhaling te voorkomen.
NIS2-boetes in België: wat riskeert je bedrijf?
De Belgische NIS2-wet kent boetes tot 10 miljoen euro. Maar hoe realistisch is dat voor KMO’s? Overzicht van sancties, bestuurdersaansprakelijkheid en hoe het CCB handhaaft.
NIS2: valt jouw bedrijf eronder? Checklist
Bepaal in 3 stappen of de Belgische NIS2-wet op jouw KMO van toepassing is. Check je sector, grootte en leveranciersrelaties met onze checklist.