Ja, wij hebben een webshop 😉.

Ben je op zoek naar juridisch advies of het betere maatwerk voor je contracten of policies? Check ons aanbod!

Ons aanbod
Blog > Cyberincident? Meldplicht onder NIS2 en vaak ook onder GDPR
Bart Van den Brande

Cyberincident? Meldplicht onder NIS2 en vaak ook onder GDPR

23.04.2025 Leesduur: 4 minuten

Deel dit op sociale media

LinkedIn

Sinds de NIS2 wetgeving van kracht is, zijn veel bedrijven op papier verplicht om ernstige cyberincidenten binnen 24 uur te melden. Combineer dat met de bestaande GDPR-meldplicht voor datalekken en je zou denken dat we in België overstelpt worden door meldingen. Niets is minder waar. Wie vandaag in de praktijk met bedrijven werkt rond cybersecurity en privacy, merkt vooral dit: de meldplichten zijn er wel, maar de meldingen blijven uit. En dat zou ons allemaal zorgen moeten baren.

Meldplicht op papier, maar wat in de praktijk?

In theorie is het eenvoudig. De GDPR zegt: elk datalek dat een risico inhoudt voor de rechten en vrijheden van betrokkenen, moet je melden aan de Gegevensbeschermingsautoriteit, binnen 72 uur. NIS2 legt daarbovenop een verplichting tot snelle melding van ernstige cyberincidenten – binnen 24 uur, aan het Belgische CSIRT via het Centrum voor Cybersecurity België (CCB).

In de praktijk stellen we helaas het volgende vast:

  1. Veel bedrijven hebben géén incidentregister, laat staan een vaste procedure voor het inschatten, registreren of melden van een incident.
  2. Er is bijzonder weinig kennis over wat een cyberincident of datalek eigenlijk is. Men denkt nog te vaak aan spectaculaire hacks, terwijl een fout in een Excelbestand even goed een meldingsplicht kan triggeren.
  3. Zonder vaste meld- en reactieprocessen worden incidenten niet of veel te laat opgemerkt. En als het dan gebeurt, is er vooral paniek en geen draaiboek.  
  4. België loopt achter. Vergeleken met onze buurlanden worden er opvallend weinig datalekken onder GDPR gemeld. Dat klopt niet en lijkt te insinueren dat heel wat datalekken in België onder de mat geveegd worden. Dat laatste brengt aanzienlijke aansprakelijkheidsrisico’s met zich mee voor de bedrijven in kwestie.  Struisvogelpolitiek is wat dat betreft een bijzonder slechte leidraad binnen een bedrijf, natuurlijk…
  5. Wie wél meldt aan de GBA, krijgt overigens zelden of nooit een reactie. De vraag is of het bij NIS2 ook zo zal lopen: meldplicht zonder echte consequente opvolging?

 

Terug naar de kern: wat zegt NIS2 precies over de meldplicht?

De meldplicht onder NIS2 is verplicht voor “essentiële” en “belangrijke” entiteiten in sectoren als energie, transport, gezondheidszorg, digitale infrastructuur, maar ook cloudproviders, beheerders van datacenters, e-commerceplatformen en aanbieders van online marktplaatsen of zoekmachines.

Wat moet je dan precies melden? Elk incident dat een aanzienlijke impact kan hebben op de beschikbaarheid, vertrouwelijkheid, integriteit of authenticiteit van de diensten die je aanbiedt. Het hoeft dus niet noodzakelijk over een datalek te gaan – een ernstige verstoring van je IT-infrastructuur kan ook volstaan.

De tijdslijnen zijn strikt:

  • binnen 24 uur: een eerste vroege waarschuwing aan het Belgische CSIRT (via het platform van het CCB);
  • binnen 72 uur: een tussentijdse update met meer inhoudelijke informatie;
  • binnen een maand: een eindverslag met oorzaak, impact en genomen maatregelen.

Let op: ook “potentiële” impact volstaat om de meldplicht te activeren. Wachten tot het écht fout loopt, is dus geen optie.

Met NIS2 hoopt Europa meer grip te krijgen op cyberrisico’s. Begrijpelijk en terecht. Maar ook hier zie je het risico van regelgeving zonder omkadering. De meldplicht wordt opgelegd, maar veel bedrijven weten niet eens dat ze onder NIS2 vallen. Laat staan dat ze intern weten wie wat moet doen als het misloopt.

En net dat maakt NIS2 tricky. Want een meldplicht zonder meldingscultuur is een papieren tijger. Of erger: een valkuil. Bedrijven die wél melden, nemen risico. Wie niets doet, blijft onder de radar.

 

Wat kan jij doen binnen jouw bedrijf?

Begin klein, maar ga ook écht van start! 

  • Breng je risico’s in kaart. Laat objectief nagaan of jouw organisatie onder NIS2 valt, en hoe het gesteld is met je huidige procedures rond incidenten. Onze cybersecurity legal quickscan of GDPR-audit is daar een prima vertrekpunt voor.
  • Stel een werkbaar incident response plan op. Geen dikke handboeken, maar praktische draaiboeken. Wat gebeurt er bij een lek? Wie beslist? Wie meldt?  
  • Zorg voor bewustwording. Vaak is het je eigen team dat een incident moet herkennen. Geen awareness = geen actie. Wij geven regelmatig opleidingen over data breaches en incidentenbeheer, specifiek afgestemd op jouw sector en jouw bedrijf. 
  • Oefen. Een plan is niets zonder test. Simuleer een incident, betrek juridische, IT- en communicatieteams en leer waar de gaten zitten.
  • Documenteer, ook als je geen melding doet. Je moet immers kunnen uitleggen waarom je een incident niet gemeld hebt. Die “accountability” is fundamenteel onder zowel GDPR als NIS2.

Het komt erop neer: meldingsplicht is niet alleen een juridische verplichting, het is een organisatiecultuur. En die bouw je niet op een namiddag.

 

Rome werd ook niet gebouwd in één dag

Cyberveiligheid is een zaak van maturiteit in je bedrijf. De meldplicht is daar een onderdeel van, geen einddoel. Willen we als bedrijf, sector of land écht werk maken van een robuuste digitale economie, dan moeten we stoppen met de schijn hoog te houden en durven erkennen: we zijn er nog lang niet.  Maar dat is geen schande. Zolang we er iets aan doen…

Meer weten over wat NIS2 of GDPR voor jouw organisatie betekent?

Boek een gratis kennismakingsgesprek met een van onze experten via de knop naast dit artikel. We helpen je graag verder – pragmatisch, helder en zonder bangmakerij.

Maak hier een afspraak

Naar de agenda van Bart
Relevante tags Privacy en gegevensbescherming Digitaal ondernemen GDPR compliance Cyber security
Sirius Shop

Interessant voor jou in onze webshop

GDPR audit
3500 excl. btw
  • GDPR audit
  • 1 dag ter plaatse
  • Onderbouwd auditverslag

Een pragmatische audit die aangeeft waar je staat op vlak van GDPR compliance, en welke jouw prioritaire to do’s zijn. 

meer

Cyber Security Legal Quickscan
3500 excl. btw
  • Risk Assessment met interviews
  • Juridische inventaris en documentatie
  • 3u coaching en advies

Deze legal Quickscan is een cruciale eerste stap naar cyberveiligheid voor jouw bedrijf.

meer

Eerste hulp bij hacking
2500 excl. btw
  • Onmiddellijke beschikbaarheid
  • Pragmatisch EHBO advies
  • Jarenlange ervaring in cyber security

Je bent gehackt? Wat nu? Laat je bijstaan door échte specialisten met jarenlange ervaring in cyber security en gegevensbescherming.

meer