NIS2 België: incidentmelding

Een NIS2-incident melden bij het CCB: 24u / 72u / 1 maand

Onder NIS2 melden essentiële en belangrijke entiteiten hun belangrijke incidenten in drie stappen bij het CSIRT van het Centrum voor Cybersecurity België (CCB / CERT.be): een vroege waarschuwing binnen 24 uur, een melding binnen 72 uur en een eindverslag binnen 1 maand.

De meldplicht is van kracht

De wet van 26 april 2024 trad in werking op 18 oktober 2024. De meldplicht geldt nu al; de melding loopt via het platform Safeonweb@work dat het CCB aanwijst.

Wat is een belangrijk incident?

Een incident is belangrijk wanneer het een ernstige operationele verstoring van de diensten of financiële verliezen veroorzaakt of kan veroorzaken, of wanneer het andere personen treft door aanzienlijke schade. Alleen belangrijke incidenten activeren de meldplicht.

De melding in drie stappen

binnen 24u
Vroege waarschuwing (wet art. 35)
Binnen 24 uur nadat u kennis hebt gekregen van het belangrijke incident: een eerste waarschuwing aan het CSIRT van het CCB, die in voorkomend geval aangeeft of het incident door onrechtmatige of kwaadwillige handelingen kan zijn veroorzaakt of een grensoverschrijdende impact kan hebben.
binnen 72u
Melding
Binnen 72 uur na kennisname: een melding die de vroege waarschuwing bijwerkt en een eerste beoordeling geeft van de ernst en de impact van het incident, samen met de compromisindicatoren voor zover die beschikbaar zijn.
binnen 1 maand
Eindverslag
Uiterlijk een maand na de melding: een gedetailleerd verslag met de aard van de dreiging of de onderliggende oorzaak, de toegepaste beperkende maatregelen en de eventuele grensoverschrijdende impact. Loopt het incident nog, dan stuurt u een voortgangsverslag en volgt het eindverslag binnen een maand na de afhandeling.

De termijnen lopen vanaf het moment dat u kennis krijgt van het incident. De melding gaat naar het CSIRT van het CCB (CERT.be), via Safeonweb@work.

Wie meldt, waar, en wat volgt

  • Wie: de essentiële en belangrijke entiteiten in de zin van NIS2.
  • Waar: bij het CSIRT van het CCB (CERT.be), via het platform Safeonweb@work dat het CCB aanwijst (wet art. 34).
  • Respons CSIRT: het CSIRT bezorgt u, indien mogelijk binnen 24 uur na de vroege waarschuwing, een eerste reactie en op verzoek operationele ondersteuning (wet art. 36).
  • Bij niet-naleving: het CCB kan handhavingsmaatregelen opleggen (art. 60) en een administratieve geldboete (tot 10 miljoen euro of 2% voor essentiële entiteiten, art. 58; tot 7 miljoen euro of 1,4% voor belangrijke entiteiten, art. 59).

Veelgestelde vragen

Wat zijn de meldingstermijnen voor NIS2 in België?
De wet van 26 april 2024 (art. 35) legt drie stappen op bij het CSIRT van het CCB (CERT.be): een vroege waarschuwing binnen 24 uur, een melding binnen 72 uur en een eindverslag binnen 1 maand, telkens vanaf het moment dat u kennis krijgt van het belangrijke incident.
Waar meld ik een incident?
Bij het CSIRT van het CCB (CERT.be), via het platform Safeonweb@work dat het CCB daarvoor aanwijst (art. 34 van de wet). Het CSIRT bezorgt u zonder onnodige vertraging, indien mogelijk binnen 24 uur na de vroege waarschuwing, een eerste reactie en op verzoek operationele ondersteuning (art. 36).
Wat is een belangrijk incident?
Onder NIS2 is een incident belangrijk wanneer het een ernstige operationele verstoring van de diensten of financiële verliezen veroorzaakt of kan veroorzaken, of wanneer het andere personen treft of kan treffen door aanzienlijke schade. Alleen belangrijke incidenten activeren de meldplicht.
Geldt deze verplichting al?
Ja. De wet van 26 april 2024 trad in werking op 18 oktober 2024, dus de meldplicht is van kracht voor essentiële en belangrijke entiteiten. Het CCB kan ook beslissen om het publiek te informeren wanneer dat nodig is om een incident te voorkomen of aan te pakken, of wanneer het openbaar belang dat vereist (art. 37).

De melding klaar hebben vóór het eerste incident

Reglyze structureert uw incidenten volgens het ritme 24u / 72u / 1 maand, bewaart de inhoud van de meldingen en documenteert het auditspoor, zodat uw melding klaar is wanneer het telt. Transparante prijzen in euro, hosting in de EU.

Reglyze is een SaaS-platform voor NIS2-conformiteit en vervangt geen juridisch advies. Officiële bron: ccb.belgium.be (CCB).