§32 BSIG

NIS2-meldplicht playbook

§32 BSIG zet Art 23(4) NIS 2 om: drie verplichte meldingen met vaste termijnen (24u, 72u, 1 maand) plus twee voorwaardelijke meldingen (op verzoek, als het incident nog gaande is). Een termijn missen is een aparte overtreding, los van het incident zelf.

Simon OrzelSimon Orzel·Doorlopend gecontroleerd

Incidentmelding onder NIS2

§32 BSIG voert artikel 23 van de NIS2-richtlijn uit. Het stelt een verplicht meldingsregime in voor significante beveiligingsincidenten. Elke entiteit die als essentiële entiteit of belangrijke entiteit is aangemerkt, moet bij het BSI melden zodra een incident aan de significantiecriteria voldoet. De cascade bestaat uit drie verplichte meldingen met vaste termijnen en twee voorwaardelijke meldingen, die worden geactiveerd op verzoek of door een lopend incident. De verplichting kan niet worden overgedragen aan een managed security service provider; de entiteit zelf is verantwoordelijk voor tijdige melding.

De meldtermijnen zijn strikt en beginnen op het moment dat de entiteit kennis krijgt van het incident, niet wanneer het onderzoek is afgerond. Dat is een cruciaal onderscheid: de vroege waarschuwing binnen 24 uur moet worden ingediend op basis van de eerste kennisname, ook als de volledige omvang en impact nog onbekend zijn. Wachten met melden tot er volledige informatie is, vormt op zichzelf al een overtreding.

Meldcascade volgens Art 23(4) NIS 2
Drie verplichte fasen met vaste termijnen vanaf het moment van kennisname, plus maximaal twee voorwaardelijke meldingen (tussentijds op verzoek van de autoriteit, voortgangsrapport als het incident op de dag waarop het eindrapport verschuldigd is nog gaande is).
1

Vroege waarschuwing (Frühwarnung)

Binnen 24 uur

De eerste melding aan het BSI dat een mogelijk significant incident is gedetecteerd. Moet worden ingediend binnen 24 uur na kennisname van het incident. Het doel is het BSI in staat te stellen de sectoroverschrijdende impact te beoordelen en zo nodig waarschuwingen aan andere entiteiten te geven.

  • Bevestiging dat een significant incident heeft plaatsgevonden of wordt vermoed
  • Of het incident vermoedelijk wordt veroorzaakt door onrechtmatige of kwaadwillige handelingen
  • Of het incident grensoverschrijdende impact zou kunnen hebben
  • Naam van de entiteit, sector en contactgegevens voor opvolging
2

Incidentmelding (Meldung)

Binnen 72 uur

Een meer gedetailleerde melding die de vroege waarschuwing aanvult met aanvullende informatie die tijdens de eerste respons is verzameld. Moet worden ingediend binnen 72 uur na kennisname. Werkt het BSI bij over de aard, ernst en eerste impactbeoordeling van het incident.

  • Bijgewerkte beoordeling van de ernst en impact van het incident
  • Indicatoren van compromittering (IoCs), voor zover beschikbaar
  • Eerste beoordeling van de aard en oorzaak van het incident
  • Genomen of geplande maatregelen om het incident te beperken
  • Beoordeling van grensoverschrijdende impact, indien van toepassing
3

Tussenrapport (Zwischenbericht)

Op verzoek

Ingediend op verzoek van het BSI tussen de melding na 72 uur en het eindrapport. Statusupdate over de actuele stand van de incidentafhandeling. Niet automatisch; wordt door de autoriteit geactiveerd.

  • Actuele status van indamming en herstel
  • Nieuwe bevindingen over oorzaak, omvang of impact
  • Aanpassingen aan de tegenmaatregelen
  • Bijgewerkte schadebeoordeling
4

Eindrapport (Abschlussbericht)

1 maand na de melding van 72u

Een uitgebreid eindrapport, ingediend binnen één maand na de incidentmelding van 72 uur. Volledige documentatie van het incident en de respons.

  • Gedetailleerde beschrijving van het incident, inclusief ernst en impact
  • Analyse van de grondoorzaak: het type dreiging of kwetsbaarheid dat het incident veroorzaakte
  • Toegepaste en lopende maatregelen om het incident en de gevolgen ervan te beperken
  • Grensoverschrijdende impact, indien van toepassing
  • Geleerde lessen en geplande of doorgevoerde corrigerende maatregelen
5

Voortgangsrapport (Verlaufsbericht)

Als het incident nog gaande is

Als het incident nog niet is opgelost tegen de tijd dat het eindrapport verschuldigd is, vervangt het voortgangsrapport het eindrapport. Het daaropvolgende eindrapport is dan verschuldigd binnen één maand na oplossing van het incident.

  • Actuele status, aangezien het incident nog gaande is
  • Tot nu toe doorgevoerde indammingsmaatregelen
  • Verwachte duur tot oplossing van het incident, voor zover voorzienbaar
  • Plan voor het uiteindelijke eindrapport na oplossing van het incident
Wat een incident 'significant' maakt
Niet elk beveiligingsincident activeert de meldplicht onder §32 BSIG. Een incident is significant als het aan een of meer van de volgende criteria voldoet, zoals omschreven in artikel 23(3) NIS2-richtlijn en nader gespecificeerd in CIR 2024/2690 artikel 3.

Verstoring van de dienst

Het incident heeft een ernstige operationele verstoring van de door de entiteit geleverde diensten veroorzaakt of kan deze veroorzaken. Voor DNS-aanbieders en TLD-registers specificeert de CIR drempelwaarden, waaronder een beschikbaarheid onder 99,9% of de levering van onjuiste DNS-antwoorden.

Financieel verlies

Het incident heeft financieel verlies voor de entiteit veroorzaakt of kan dit veroorzaken. CIR 2024/2690 artikel 3 specificeert een drempel van EUR 500.000 of 5% van de jaaromzet, afhankelijk van welk bedrag lager is. Dit omvat directe kosten (herstel, forensisch onderzoek) en indirecte kosten (omzetverlies, contractuele boetes).

Impact op andere entiteiten

Het incident heeft aanzienlijke schade aan andere natuurlijke of rechtspersonen veroorzaakt of kan deze veroorzaken. Dit omvat incidenten die zich via toeleveringsketens verspreiden, gedeelde infrastructuur treffen of gegevens van derden blootstellen.

Datalek

Het incident betreft onbevoegde toegang tot, vernietiging van of wijziging van gegevens. Let op: NIS2-incidentmelding onder §32 BSIG staat los van en komt bovenop de meldplicht bij datalekken onder Art. 33/34 AVG: beide verplichtingen kunnen tegelijk gelden.

Langdurige uitval

Het incident heeft een langdurige verstoring van de diensten van de entiteit veroorzaakt of zal die naar verwachting veroorzaken. De drempel voor de duur is niet vastgelegd in de richtlijn, maar CIR 2024/2690 biedt entiteitspecifieke criteria. Langdurige uitval die kritieke diensten treft, wordt verondersteld significant te zijn.

Verplichte meldvelden
Het BSI-meldportaal vereist gestructureerde informatie. Door deze velden vooraf gereed te hebben, verkleint u het risico op het missen van de termijn van 24 uur aanzienlijk.
  • Identificatie van de entiteit

    Bedrijfsnaam, BSI-registratienummer, sectorclassificatie, NACE-code en het aangewezen contactpunt voor incidentcoördinatie. Deze informatie hoort vooraf in uw incidentresponsplan te staan, niet tijdens een crisis te worden opgezocht.

  • Aard en classificatie van het incident

    Type incident (ransomware, DDoS, datalek, insiderdreiging, compromittering van de toeleveringsketen, enz.), getroffen systemen en diensten, tijdlijn van gebeurtenissen van detectie tot de huidige stand, en eerste ernstclassificatie.

  • Impactbeoordeling

    Aantal getroffen gebruikers of klanten, verstoorde diensten, geschatte financiële impact, betrokken gegevenscategorieën (indien van toepassing) en duur van de verstoring. Voor de vroege waarschuwing zijn schattingen aanvaardbaar: precisie komt in de melding na 72 uur en in het eindrapport.

  • Grensoverschrijdende impact

    Of het incident entiteiten of burgers in andere EU-lidstaten treft of zou kunnen treffen. Dit activeert informatie-uitwisseling tussen nationale CSIRT's en kan coördinatie door ENISA met zich meebrengen. Moet worden beoordeeld in zowel de vroege waarschuwing als de daaropvolgende meldingen.

  • Responsmaatregelen

    Acties die zijn ondernomen om het incident in te dammen, uit te roeien en ervan te herstellen. Omvat technische maatregelen (isolatie, patchen, vervanging van inloggegevens), communicatiemaatregelen (klantmelding, stakeholderbriefing) en organisatorische maatregelen (activering van het crisisteam, inschakeling van externe ondersteuning).

Waar en hoe te melden
Melden gebeurt uitsluitend via het digitale meldportaal van het BSI.

Alle incidentmeldingen onder §32 BSIG moeten worden ingediend via het officiële meldportaal van het BSI. Het BSI accepteert geen meldingen per e-mail, telefoon of brief als vervanging van een melding via het portaal. Telefonisch contact met het incidentresponsteam van het BSI (CERT-Bund) is wel passend om de respons op kritieke incidenten te coördineren, parallel aan de formele melding.

Het meldportaal is beschikbaar op de website van het BSI onder de NIS2-rubriek. Toegang vereist voorafgaande registratie onder §33 BSIG. Dat betekent dat niet-geregistreerde entiteiten met een dubbel probleem zitten: zij kunnen geen incidentmeldingen indienen via het juiste kanaal omdat zij de vereiste registratie niet hebben afgerond. Dit is nog een reden waarom de registratie bij het BSI niet mag worden uitgesteld.

Sancties bij meldverzuim
Niet melden wordt los van het incident zelf bestraft. Een bedrijf dat een incident overkomt en dit technisch goed afhandelt maar nalaat te melden, krijgt te maken met een aparte handhavingsmaatregel.

Tot EUR 10.000.000 of 2% van de omzet

Essentiële entiteiten

Het hoogste van EUR 10 miljoen of 2% van de wereldwijde jaaromzet van het voorgaande boekjaar. Dit geldt voor essentiële entiteiten in sectoren genoemd in BSIG Bijlage 1 (energie, transport, bankwezen, gezondheid, water, digitale infrastructuur, ruimtevaart, openbaar bestuur).

Tot EUR 7.000.000 of 1,4% van de omzet

Belangrijke entiteiten

Het hoogste van EUR 7 miljoen of 1,4% van de wereldwijde jaaromzet. Dit geldt voor belangrijke entiteiten in sectoren genoemd in BSIG Bijlage 2 (postdiensten, afvalbeheer, chemie, levensmiddelen, productie, digitale aanbieders, onderzoek).

Persoonlijke aansprakelijkheid volgens §38 BSIG

Leiding (Geschäftsleitung)

Als de leiding op de hoogte was van een incident en niet heeft gezorgd voor tijdige melding, vormt dit een schending van de toezichtsplicht onder §38(1) BSIG. De leiding kan persoonlijk aansprakelijk worden gesteld jegens het bedrijf voor schade die voortvloeit uit het meldverzuim, los van de boetes die aan het bedrijf zelf worden opgelegd.

Bronnen
  • NIS2-richtlijn (EU) 2022/2555 - Artikel 23 (Rapportageverplichtingen)
  • BSIG - §32 (Meldepflichten bei erheblichen Sicherheitsvorfällen)
  • BSIG - §38 (Billigung, Überwachung, Schulung - Geschäftsleitung)
  • BSIG - §65 (Bußgeldvorschriften)
  • CIR (EU) 2024/2690 - Artikel 3 (Significantie van incidenten), Artikel 4 (Terugkerende incidenten)
  • ENISA - Richtsnoeren voor NIS2-meldverplichtingen en sjablonen (2024)
  • BSI - Documentatie en FAQ van het NIS2-meldportaal
Klaar om te melden voordat het incident toeslaat
Het platform configureert uw BSI-meldvelden vooraf, houdt een incidentregister bij met classificatie-workflows en bewaakt de termijnen van 24u/72u/1 maand, zodat u onder druk aan elke verplichting voldoet.