De Europese NIS2-richtlijn en de Belgische implementatiewet verplichten organisaties om significante cyberincidenten te melden bij het Centrum voor Cybersecurity België (CCB). Maar welke incidenten moeten worden gemeld en hoe precies? Kristof De Vulder en Heidi Waem van advocatenkantoor DLA Piper maken een stand van zaken op.

Wat is een significant incident?

De wetgeving definieert een significant incident als een incident dat significante gevolgen heeft voor de verlening van één van de diensten in de beoogde sectoren onder NIS2. Het incident is significant wanneer het een ernstige operationele verstoring van zulke diensten tot gevolg heeft, of financiële verliezen voor de betrokken organisatie heeft veroorzaakt of kan veroorzaken. Ook wanneer een incident andere natuurlijke of rechtspersonen treft of kan treffen met aanzienlijke materiële of immateriële schade tot gevolg, zijn als significant te beschouwen.

Voorbeelden hiervan zijn legio: cyberaanvallen zoals hacking, malware en ransomware, die de werking van een onderneming ernstig verstoren of verliezen en schade tot gevolg hebben zijn significante incidenten.

Wanneer moet er worden gemeld?

De timings die worden vastgelegd in NIS2 zijn niet min en ook strikt. De wetgeving introduceert een strikt meldingsproces met verschillende fasen:

1. Binnen 24 uur na ontdekking van een mogelijke kwetsbaarheid (namelijk wanneer er, na een eerste beoordeling, een redelijke mate van zekerheid is dat zich een significant incident heeft voorgedaan): een beknopte eerste melding met identificatie van het getroffen systeem en een korte beschrijving van de kwetsbaarheid.

2. Binnen 72 uur na ontdekking van een mogelijke kwetsbaarheid: een uitgebreidere notificatie met verdere details over het incident.

3. Binnen een maand na ontdekking van een mogelijke kwetsbaarheid: een finaal rapport met volledige analyse en eventuele genomen maatregelen.

De sancties voor het niet naleven van verplichtingen onder NIS2, zoals het niet (tijdig) melden van significante incidenten, zijn aanzienlijk aangezien deze kunnen oplopen tot administratieve geldboetes van 10 miljoen euro of 2% van de totale wereldwijde jaaromzet.

Enkele praktische tips en aandachtspunten

Vijf maanden na de invoering van deze verplichting kunnen we enkele praktische tips delen die organisaties helpen zich beter voor te bereiden en doeltreffender te reageren op cyberincidenten.

1. Melding via Safeonweb@work – kort en krachtig

Alle notificaties moeten worden ingediend via het Safeonweb@work platform van het CCB. Het meldingsformulier bevat specifieke velden voor de beschrijving, beoordeling, gevolgen en oorzaak van het incident, en welke acties werden ondernomen.

De antwoordruimte is beperkt tot 500 woorden per veld. Zorg er dus voor dat de uitleg helder en to-the-point is.

2. Contactpersoon

Bij de melding moet een contactpersoon worden opgegeven, wat zowel een interne medewerker als een advocaat kan zijn. Zorg ervoor dat deze persoon goed op de hoogte is van het incident en het verdere verloop want deze zal mogelijks worden gecontacteerd voor meer informatie.

3. Strakke deadlines

De strakke deadlines laten weinig ruimte voor vertraging en fouten. Enkele tips:

• Reserveer voldoende tijd voor het indienen van het formulier. Hou er rekening mee dat niet enkel het formulier moet worden ingevuld maar ook de captcha moet worden vervolledigd .

• Maak een screenshot van het ingediende formulier met zichtbare kloktijd om discussie over laattijdige indiening te voorkomen. De ontvangstbevestiging van het CCB per mail volgt enkele minuten later, maar bevat geen bijlage met de ingediende informatie.

4. Let op met verschil in tijdszones

Wanneer een internationale organisatie incidenten meldt onder NIS2, kan het rapport in een andere tijdzone zijn opgesteld. In dat geval moeten de relevante tijdstippen worden omgezet naar de Belgische CET-tijdzone, zodat de gegevens correct worden weergegeven.

5. Vergeet de meldplicht onder GDPR niet

Het indienen van een notificatie binnen 72 uur voor een significant incident doet waarschijnlijk ook een ander belletje rinkelen … namelijk de verplichting onder GDPR voor het melden van datalekken aan de Gegevensbeschermingsautoriteit (‘GBA’).

Een significant incident kan ook een gegevenslek inhouden, wat in principe een melding bij de GBA vereist binnen 72 uur. De formulieren van het CCB en de GBA zijn echter verschillend. Bereid dus beide meldingen gelijktijdig voor om tijdig te voldoen aan de wettelijke verplichtingen.

De NIS2-meldplicht is niet alleen een administratieve vereiste, maar ook een essentieel onderdeel van een sterke cyberweerbaarheid. Wie voorbereid is, bespaart kostbare tijd en minimaliseert de impact van incidenten. Zorg dat uw organisatie alert is en laat je bijstaan, want in cyberveiligheid geldt: tijd is risico. Door te anticiperen en tijdig te reageren, kunt u niet alleen de impact van een cyberaanval beperken, maar ook sancties onder NIS2 vermijden.

Kristof De Vulder en Heidi Waem zijn advocaat-vennoot bij het internationaal advocatenkantoor DLA Piper