010 323 2007

NIS2: 24-uurs meldplicht

NIS2/Cbw: Hoe meld je een datalek als significant beveiligingsincident binnen 24 uur aan het NCSC?

Kennisbank » NIS2/Cbw

Privacy United sprak op 10 juni 2026 op de CIP-Voorjaarsconferentie namens het Rijk. Dit artikel vat de inhoud samen.

Twee wetten, twee processen, en één incident
 
Stel: vrijdagmiddag 17:20. Een telecomprovider heeft een groot incident. Het Rijk maakt gebruik van deze telecomprovider. Zakelijke e-mailadressen staan op het dark web. Wat is dit nu precies voor incident?

De AVG en de Cyberbeveiligingswet (Cbw) bestaan naast elkaar, maar ze worden als aparte werelden behandeld. Dat leidt tot verwarring, dubbel werk en in het ergste geval, gemiste meldtermijnen.

De twee processen kort naast elkaar:

Het datalekproces (AVG) loopt via de Privacy Officer naar de Autoriteit Persoonsgegevens. De meldtermijn is 72 uur, mits er een risico bestaat voor betrokkenen.

Het significant incidentproces (Cbw) loopt via het CSIRT naar het NCSC. De meldtermijn voor een significant incident is 24 uur. Daarna volgt een initiële beoordeling, ernst, gevolgen en indicatoren voor aantasting binnen 72 uur en een gedetailleerde beschrijving, oorzaak, genomen maatregelen, grensoverschrijdende gevolgen binnen een maand.

Eén incident kan beide processen tegelijk activeren. Wie dat niet heeft voorbereid, ontdekt het op het slechtst mogelijke moment.

 

Wanneer is een incident significant?

Niet elk incident is een significant incident onder de Cbw. De wet stelt concrete drempelcriteria. Een incident is significant als het een essentiële dienst raakt of het leidt, of kan leiden, tot ten minste één van de volgende situaties:

  • Een essentiële dienst is vier uur of langer niet beschikbaar
  • Financiële schade voor de staat of samenleving van meer dan €500 miljoen
  • Ernstige verwonding of overlijden van een persoon als gevolg van het incident
  • Misbruik van overheidsbedrijfsinformatie met financiële schade boven €5 miljoen
  • Kennisname door onbevoegden van informatie gerubriceerd als Stg. CONFIDENTIEEL of hoger

 

Of een dienst essentieel is, wordt bepaald aan de hand van de TBB-categorieën (1 t/m 3) uit de Cyberbeveiligingsregeling sector overheid. Denk aan politieke schade, diplomatieke schade, vitale processen en letselschade als beoordelingscriteria.

 

De praktische oplossing: ontdubbelen, niet opnieuw opbouwen

De meeste organisaties hebben al een incidentproces en een datalekprocedure. De sleutel is niet een derde proces erbovenop zetten, maar de bestaande processen op elkaar afstemmen. Dat betekent:

  • Zorg voor een gecombineerde triage bij binnenkomst van een incident, zodat in één stap wordt beoordeeld of het een datalek, een significant incident, of beide is
  • Beleg de criteria voor significantie operationeel: wie beoordeelt dit, op basis van welke informatie, en binnen welke tijd?
  • Zorg dat CSIRT, waarin de Privacy Officer, FG en CISO met elkaar samenwerken, weten wanneer zij elkaar nodig hebben en oefen dit.

 

AI als versneller bij classificatie en melding

De tijdsdruk van 24 uur maakt snelle classificatie noodzakelijk. AI kan hier een rol spelen, niet als vervanging van menselijk oordeel, maar als versneller. Wij hebben 3 toepassingen onderzocht:

RAG-technologie geeft medewerkers direct toegang tot de relevante wet- en regelgeving, toegespitst op de situatie die zij beschrijven.

Workflow-automatisering structureert het incidentproces: bij detectering van een incident worden de juiste functionarissen getriggerd zonder dat iemand handmatig hoeft te schakelen.

Een agent ondersteunt bij de beoordeling: wat voor een incident is het? Wat zijn de vervolgstappen? Wat zijn de relevante meldtermijnen? De agent redenert op basis van de criteria uit de Cbw en AVG, geeft een onderbouwd advies en geeft de bijbehorende meldtermijn mee. Dit kan handig zijn voor bijvoorbeeld een servicedesk-medewerker, een leek op dit gebied. Wel is het belangrijk dat je de essentiële diensten in kaart hebt gebracht.

Alle toepassingen zijn offline inzetbaar binnen de eigen organisatieomgeving, zonder dat gevoelige incidentinformatie externe systemen bereikt.

Meer weten?

Wil je dit voor jouw organisatie doordenken, het combineren van de AVG- en Cbw-processen, of de inzet van AI? Neem vrijblijvend contact op of lees ons LinkedIn artikel.

Contact: info@privacyunited.com 
LinkedIn:  Privacy United B.V.: bijdragen | LinkedIn

Publicatiedatum: 18 juni 2026

Auteur: Guusje Emmen, Privacy Officer, adviseur NIS2 en AI bij Privacy United