NL
februari 1, 2026 Uyen Pham

NIS2 Artikel 23-rapportage: Wat je aanlevert binnen 24 uur, 72 uur en 30 dagen (EU-mkb)

Home Blog Cyberbeveiliging NIS2 Artikel 23-rapportage: Wat je aanlevert binnen 24 uur, 72 uur en 30 dagen (EU-mkb)

De meeste incidenten beginnen niet met een dramatisch “we zijn gehackt”. Ze starten vaak met subtiele signalen, zoals tragere dienstverlening, ongebruikelijke inlogactiviteit of klantvragen over onregelmatigheden.

Dat leidt al snel tot de vraag: “Is dit meldingsplichtig onder NIS2?” Als jouw organisatie onder NIS2 valt (check hier of dat zo is), zit de grootste uitdaging niet in het begrijpen van de wet. Die zit in snel en effectief handelen, terwijl je team tegelijkertijd het incident onder controle probeert te krijgen.

Deze gids biedt een praktische workflow voor incidentrapportage volgens Artikel 23, specifiek ingericht voor mkb-organisaties, inclusief direct inzetbare templates voor je nationale meldportaal.

Bekijk ook: NIS2 Compliance Readiness voor EU-MKB: Essentiële gids + praktische checklist

TL;DR: wat is de NIS2-tijdlijn van 24–72–30?

Zodra je je bewust wordt van een significant incident, verwacht Artikel 23 gefaseerde rapportage:

  • Binnen 24 uur: vroege waarschuwing (een geloofwaardige eerste melding)
  • Binnen 72 uur: incidentmelding (eerste beoordeling + impact)
  • Binnen 30 dagen: eindrapport (oorzaak, maatregelen en doorgevoerde verbeteringen)

Zie het zo:

  • 24 uur: “Dit ziet er serieus uit en we zijn in actie.”
  • 72 uur: “Dit weten we nu en dit betekent het.”
  • 30 dagen: “Dit is het volledige verhaal én wat we structureel hebben verbeterd.”

Snelle check of NIS2 op jou van toepassing is.

NIS2 Incident Report

Stap 1 — Neem snel een besluit: is dit een ‘significant incident’?

Hier verliezen mkb’s vaak tijd — niet door onwil, maar door twijfel.

Een praktische aanpak is een ‘significance huddle’ van 10 minuten:

  • Incident lead (IT/Security) brengt de feiten
  • Business owner (CEO/COO) neemt het besluit
  • Eén persoon legt het besluit en de onderbouwing vast

Stel drie vragen:

  1. Kan dit de bedrijfsvoering ernstig verstoren?
  2. Kan dit leiden tot significante financiële schade?
  3. Kan dit klanten of partners merkbaar raken?

Als het antwoord op één van deze vragen “mogelijk wel” is, behandel het incident dan als significant totdat het tegendeel is vastgesteld.

Tip: Begin — als je dat nog niet hebt gedaan — met de NIS2-readiness checklist voor EU-mkb’s. Die helpt vooraf rollen, bewijslast en beheersmaatregelen vast te leggen, nog vóór er een incident plaatsvindt.

Stap 2 — Wat stuur je binnen 24 uur (vroege waarschuwing)?

De update binnen 24 uur is geen forensisch rapport. Het is een helder en rustig signaal.

Een goede vroege waarschuwing bevat:

  • wat je ziet (alleen feiten)
  • wat is geraakt
  • wat je op dit moment doet
  • of er sprake is van vermoedelijke kwaadwillende activiteit (of dat dit nog onbekend is)
  • of er mogelijk grensoverschrijdende impact is (indien van toepassing)
  • wanneer je een volgende update verwacht

Het doel: laten zien dat je controle hebt en geloofwaardig handelt, zonder meer te claimen dan je weet.

Stap 3 — Wat stuur je binnen 72 uur (incidentmelding)?

Na 72 uur heb je meestal genoeg informatie om een eerste inhoudelijke beoordeling te delen.

Je incidentmelding bevat idealiter:

  • eerste inschatting van ernst en impact
  • getroffen systemen en diensten
  • of beschikbaarheid, vertrouwelijkheid of integriteit in het geding is
  • wat je tot nu toe hebt gedaan (containment, mitigatie, herstel)
  • IoC’s waar beschikbaar (IP’s, domeinen, hashes, accounts)
  • vervolgstappen (monitoring, volgende update)

Zijn er nog geen indicators of compromise beschikbaar? Benoem dat expliciet.
Wat telt, is dat je gestructureerd bewijs verzamelt.

Stap 4 — Het eindrapport (binnen 30 dagen): het volledige verhaal

Het eindrapport laat zien hoe volwassen je organisatie omgaat met incidentrespons.

Gebruik deze structuur:

  1. Wat is er gebeurd (tijdlijn + ernst + impact)
  2. Waarschijnlijke oorzaak / type dreiging
  3. Toegepaste (en lopende) maatregelen
  4. Grensoverschrijdende impact (indien van toepassing)
  5. Wat is aangepast (lessons learned + verbeteringen)

In deze fase zijn bredere beheersmaatregelen belangrijk, zoals incidentafhandeling, monitoring, toegangsbeheer en leveranciersrisico. Voor een praktisch overzicht van basismaatregelen: zie NIS2 Artikel 21 – in begrijpelijke taal.

Het mkb-voordeel: bouw vanaf minuut één een ‘evidence pack’

De meeste rapportageproblemen ontstaan door één simpele oorzaak: feiten liggen verspreid. Maak daarom één centrale Incident Reporting Pack (map of dossier) met:

A) Tijdlijn

  • moment van eerste detectie
  • moment van ‘bewustwording’
  • kernacties met tijdstempels

B) Impact-overzicht

  • getroffen systemen/diensten
  • aantal getroffen gebruikers of klanten (eerste inschatting is toegestaan)
  • periode van uitval of degradatie
  • financiële exposure (globale bandbreedte)

C) Werkend narratief

  • actuele interpretatie van het incident (met versiegeschiedenis)
  • wat nog onbekend is (expliciet benoemd)

D) Technische artefacten

  • verwijzingen naar relevante logs (geen ruwe dumps)
  • IoC’s (indien beschikbaar)
  • genomen containmentmaatregelen

E) Besluiten & goedkeuringen

  • wie het incident significant verklaarde
  • wie communicatie goedkeurde
  • wie wat wanneer heeft aangeleverd

Deze aanpak verschuift je reactie van reactief naar aantoonbaar beheerst — cruciaal voor toezichthouders én zakelijke klanten.

Templates (kopieer & plak)

Template 1 — 24u Vroege waarschuwing

Onderwerp: NIS2 Early Warning — Mogelijk significant incident (Bedrijf / Dienst)

Organisatie

  • Entiteitsnaam:
  • Sector:
  • Primair contact (24/7):
  • Alternatief contact:

Wat is er gebeurd (alleen feiten)

  • Eerste detectie:
  • Bewustwording:
  • Getroffen dienst/systeem:
  • Huidige status: lopend / ingedamd / onderzoek loopt

Waarom mogelijk significant

  • Operationele verstoring: ja/nee (waarom)
  • Waarschijnlijke financiële impact: ja/nee (bandbreedte)
  • Mogelijke impact op klanten/partners: ja/nee

Vermoede kenmerken

  • Kwaadwillende activiteit: ja/nee/onbekend
  • Mogelijke grensoverschrijdende impact: ja/nee/onbekend

Onder-nomen acties

  • Containment:
  • Mitigatie:
  • Verwachte tijd volgende update:

Template 2 — 72u Incidentmelding

Onderwerp: NIS2 Incident Notification (72u) — Update significant incident

Samenvatting (max. 5 regels)

  • Wat is er gebeurd:
  • Wat is geraakt:
  • Huidige status:
  • Belangrijkste risico:
  • Volgende acties:

Eerste inschatting ernst & impact

  • Impact op beschikbaarheid:
  • Impact op vertrouwelijkheid/integriteit:
  • Getroffen gebruikers/klanten:
  • Duur:
  • Relevante schade-indicatoren:

Technische details

  • Vermoede/bevestigde aanvalsvector:
  • Betrokken systemen:
  • IoC’s (indien beschikbaar):
  • Verwijzingen naar bewijs (logs, ticket-ID’s, etc.):

Mitigatie & herstel

  • Containment:
  • Eliminatie:
  • Herstel:
  • Monitoring:

Afhankelijkheden / grensoverschrijdend (indien van toepassing)

  • Mogelijk getroffen landen:
  • Betrokken leveranciers/providers:

Template 3 — Eindrapport (binnen 30 dagen)

  1. Gedetailleerde incidentbeschrijving (ernst + impact)
  2. Waarschijnlijke oorzaak / type dreiging
  3. Toegepaste en lopende maatregelen
  4. Grensoverschrijdende impact (indien van toepassing)
  5. Lessons learned + doorgevoerde verbeteringen

Lichtgewicht RACI (voor helderheid en snelheid)

  • Incident Lead (Accountable): Head of IT / Security lead
  • Business Owner (Approves): CEO/COO
  • Legal/Compliance (Consulted): verplichtingen + vastlegging
  • Communicatie (Consulted): klantgerichte messaging
  • Engineering/Ops (Responsible): containment + herstel
  • Externe ondersteuning (Support): IR / forensics / rapportage

Voor mkb’s geldt: eenvoud wint. Duidelijke processen zorgen voor snellere, betere respons.

Veelgemaakte fouten (en hoe je ze voorkomt)

NIS2 Compliance Readiness
  1. Wachten op zekerheid → 24-uursvenster missen
  2. ‘Bewustwordingstijd’ niet vastleggen → discussie over tijdlijn
  3. Incidentrespons en rapportage door elkaar laten lopen → één van beide sneuvelt
  4. Geen versiebeheer → feiten verschuiven tussen teams
  5. Geen centraal narratief → rapportages worden fragmenten

Wil je een kant-en-klaar reporting pack?

Wij helpen je deze playbook om te zetten in een evidence-gedreven workflow die je team ook onder druk kan draaien.

  • 24–72–30 templates afgestemd op jouw omgeving
  • Evidence-packstructuur en duidelijke rollen (RACI)

Leveringsproces conform ISO 27001 • GDPR-bewust ontworpen • Ervaring met ondersteuning van ISO 27001

Plan een gesprek over naleving van regelgeving

Over Sunbytes: Transform · Secure · Accelerate

Sunbytes is gebouwd op drie samenhangende pijlers:

  • Transform: We moderniseren producten en delivery, zodat digitale groei niet gepaard gaat met verborgen kwetsbaarheid.
  • Secure: We maken cybersecurity praktisch en uitvoerbaar, geïntegreerd in je deliveryprocessen.
  • Accelerate: We helpen organisaties opschalen met de juiste mensen en systemen — mét behoud van kwaliteit en compliance.

Samen zorgen deze pijlers niet alleen voor compliance, maar voor een delivery-engine die bestand is tegen toezicht, juist tijdens incidentrespons.

FAQs

Als NIS2 op jou van toepassing is en je je bewust bent van een significant incident, moet je kunnen leveren:

  1. 24u vroege waarschuwing

  2. 72u incidentmelding

  3. Eindrapport binnen één maand

Bekijk ook: NIS2 Compliance Readiness voor EU-MKB: Essentiële gids + praktische checklist

In de praktijk vanaf het moment dat je organisatie zich bewust wordt van een mogelijk significant incident — leg dat moment vroeg vast.

Kan het de operatie verstoren, financiële schade veroorzaken of klanten/partners raken? Zo ja of mogelijk: behandel het als significant.

Alleen feiten: wat je ziet, wat geraakt is, wat je doet, vermoeden van kwaadwillendheid (of onbekend), mogelijke grensoverschrijdende impact en het moment van de volgende update.

Dat is gebruikelijk. Benoem dit expliciet en committeer je aan een update zodra ze beschikbaar zijn.

Hanteer intern 30 dagen: binnen één maand na de 72-uursmelding.

Houd het simpel: IT/Security voor de feiten, CEO/COO voor besluit en communicatie, Legal/Compliance ter ondersteuning.

Laten we beginnen met Sunbytes

Laat ons uw eisen voor het team weten en wij nemen meteen contact met u op.

(Vereist)
Untitled(Vereist)
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Waarom elk bedrijf regelmatige loonadministratiecontroles nodig heeft
januari 29, 2026 thien-le

Waarom elk bedrijf regelmatige salariscontroles (Payroll Audits) nodig heeft

Salarisproblemen blijven vaak onopgemerkt totdat een inspectie, audit of klacht…

Read more
Types of MVP explained
januari 28, 2026 uyen

Typen MVP’s uitgelegd: bewezen MVP modellen met voor en nadelen

De meeste teams falen niet bij het bouwen van een…

Read more
Het Vietnamese belastingstelsel voor bedrijven en buitenlandse werknemers: een praktische handleiding voor naleving.
januari 28, 2026 thien-le

Handleiding voor bedrijven en buitenlandse werknemers over het Vietnamese belastingstelsel

Vietnam biedt sterke groeikansen, maar het belastingsysteem kan al snel…

Read more
Blog Overview