---
name: "NIS2-sjablonen voor incidentrapportage — artikel 23-pakket"
version: "1.0"
updated: "2026-07-14"
source: "https://www.orbiqhq.com/templates/nis2-incident-reporting-pack"
license: "Vrij te gebruiken; bronvermelding gewaardeerd"
legal_basis:
  - "https://eur-lex.europa.eu/eli/dir/2022/2555/oj"
  - "https://eur-lex.europa.eu/eli/reg_impl/2024/2690/oj"
---

# NIS2-sjablonen voor incidentrapportage — artikel 23-pakket

Alle fasen van de NIS2-melding van significante incidenten als gestructureerde
formulieren: de vroegtijdige waarschuwing binnen 24 uur, de incidentmelding binnen
72 uur, het tussentijdse of voortgangsrapport en het eindrapport binnen één maand,
gemapt op artikel 23, lid 4, onder a)–e), van Richtlijn (EU) 2022/2555. Een
AI-agent of een incident commander kan de volledige meldsequentie alleen uit dit
bestand uitvoeren: (1) open een registerregel bij kennisname, (2) dien de
vroegtijdige waarschuwing binnen 24 uur in, (3) dien de incidentmelding binnen
72 uur in, (4) beantwoord verzoeken van de autoriteit met tussentijdse rapporten,
(5) dien het eindrapport binnen één maand in — of een voortgangsrapport als het
incident nog loopt.

## 1. Triggertoets — is het incident "significant"?

Artikel 23, lid 3: meld het incident wanneer het (a) een ernstige verstoring van de
dienstverlening of financiële verliezen voor de entiteit heeft veroorzaakt of kan
veroorzaken, dan wel (b) andere natuurlijke of rechtspersonen heeft geraakt of kan
raken door aanzienlijke materiële of immateriële schade te veroorzaken.

Voor DNS-aanbieders, TLD-registers, cloud- en datacenterdiensten, CDN's, aanbieders
van beheerde diensten en beheerde beveiligingsdiensten, onlinemarktplaatsen,
zoekmachines, sociale netwerken en vertrouwensdiensten voegt Uitvoeringsverordening
(EU) 2024/2690 van de Commissie (van toepassing sinds 7 november 2024) kwantitatieve
criteria toe. De entiteitsoverstijgende triggers van artikel 3 (één ervan volstaat):

- `financial-loss` — directe financiële verliezen van meer dan EUR 500.000 of meer
  dan 5% van de jaaromzet over het voorgaande jaar, afhankelijk van welk bedrag lager is
- `trade-secret-exfiltration`
- `death-of-natural-person`
- `considerable-damage-to-health`
- `malicious-unauthorised-access` die een ernstige verstoring van de dienstverlening
  kan veroorzaken
- `recurring` — ≥2 incidenten met dezelfde kennelijke onderliggende oorzaak binnen
  6 maanden die samen de drempel voor financiële verliezen overschrijden

Daarnaast gelden per dienst drempels uit de artikelen 4–14 (bijv. DNS-resolutie
langer dan 30 minuten onbeschikbaar; gemiddelde DNS-responstijd van meer dan
10 seconden gedurende meer dan 1 uur; integriteit aangetast voor meer dan
1.000 domeinen of 1% van de portefeuille).

## 2. De meldladder (termijnen vanaf kennisname)

| Fase | Termijn | Grondslag | Verplichte inhoud |
|---|---|---|---|
| `early-warning` | ≤ 24 u | Art. 23, lid 4, onder a) | vermoeden van een onrechtmatige/kwaadwillige oorzaak (`yes\|no\|unknown`); mogelijke grensoverschrijdende impact (`yes\|no\|unknown`) |
| `incident-notification` | ≤ 72 u (aanbieders van vertrouwensdiensten: ≤ 24 u) | Art. 23, lid 4, onder b) | actualisering van de vroegtijdige waarschuwing; eerste beoordeling van ernst en impact; indicatoren van compromittering voor zover beschikbaar |
| `intermediate-report` | op verzoek van de autoriteit | Art. 23, lid 4, onder c) | relevante statusupdates |
| `final-report` | ≤ 1 maand na de incidentmelding | Art. 23, lid 4, onder d) | gedetailleerde beschrijving incl. ernst en impact; type dreiging of onderliggende oorzaak; toegepaste en lopende mitigatie; grensoverschrijdende impact waar van toepassing |
| `progress-report` | op de vervaldatum van het eindrapport als het incident nog loopt; het eindrapport volgt dan ≤ 1 maand na afronding van de afhandeling | Art. 23, lid 4, onder e) | als het tussentijdse rapport, plus de verwachte tijdlijn |

Let op: artikel 23, lid 5, verplicht het CSIRT of de bevoegde autoriteit om binnen
24 uur op de vroegtijdige waarschuwing te reageren, inclusief begeleiding en, op
verzoek, technische ondersteuning. Artikel 23, leden 1–2: afnemers van diensten
moeten worden geïnformeerd over significante incidenten die hen nadelig raken en
over significante cyberdreigingen met mogelijke tegenmaatregelen; autoriteiten
kunnen openbaarmaking gelasten. Artikel 30 maakt vrijwillige melding van
niet-significante incidenten en dreigingen mogelijk.

## 3. Formuliervelden

### Formulier 0 — registerregel voor het incident (intern, bij detectie)

```yaml
incident_id: ""            # bijv. INC-2026-041
entity:
  name: ""
  classification: ""       # essential | important; sector bijlage I/II
  authority_registration: ""
incident_commander: ""     # naam, rol, 24/7-contact
reporting_officer: ""
awareness_at: ""           # ISO-datumtijd met tijdzone — start de klok van 24 u
detection_source: ""       # monitoring | employee | customer | third-party | authority
affected_services: []
significance:
  basis: ""                # art23-3-a | art23-3-b | criterium-id uit cir-2024-2690
  reasoning: ""
cross_border: ""           # lidstaten / entiteiten die mogelijk geraakt zijn
report_log: []             # {stage, submitted_at, channel, authority_reference}
```

### Formulier 1 — vroegtijdige waarschuwing (≤ 24 u)

Vereist: `entity`, `contact`, `awareness_at`, `brief_description` (2–4 zinnen),
`affected_services`, `malicious_suspected: yes|no|unknown` (+ één regel
onderbouwing), `cross_border_possible: yes|no|unknown` (+ de lidstaten indien
bekend). Optioneel: `assistance_requested: yes|no`, `contained: yes|no`.

### Formulier 2 — incidentmelding (≤ 72 u)

Vereist: `early_warning_reference`, `changes_since_early_warning`,
`severity_assessment` (reikwijdte, geraakte gebruikers/afnemers, duur),
`impact_assessment` (operationeel, financiële schatting, effecten op
vertrouwelijkheid/integriteit/beschikbaarheid), `iocs` (voor zover beschikbaar),
`significance_criteria_met`, `mitigation_taken`, `cross_border_update`,
`recipient_communication` (of afnemers van de dienst zijn geïnformeerd conform
art. 23, leden 1–2).

### Formulier 3 — tussentijds rapport / voortgangsrapport

Vereist: `reference`, `trigger` (`authority-request` | `one-month-ongoing`),
`status_update`, `updated_impact`, `new_findings`, `next_steps_timeline`.

### Formulier 4 — eindrapport (≤ 1 maand na formulier 2)

Vereist (alle vier zijn verplicht op grond van art. 23, lid 4, onder d)):

1. `detailed_description` — verhalende tijdlijn, definitieve cijfers over ernst en
   impact
2. `threat_and_root_cause` — type dreiging; waarschijnlijke onderliggende oorzaak
3. `mitigation` — toegepaste en lopende maatregelen, met eigenaren en datums
4. `cross_border_impact` — waar van toepassing

Aanbevolen: `lessons_learned` — preventieve wijzigingen die doorwerken in de
risicobeheersmaatregelen van artikel 21 van de entiteit; een toets of de klokken van
24 u en 72 u zijn gehaald.

## 4. Waar u meldt

- **Duitsland:** het meldportaal van het BSI (Melde- und Informationsportal); het
  NIS2UmsuCG is van kracht sinds 6 december 2025 (24 u / 72 u / 1 maand).
- **Noorwegen:** de NSM en de sectorautoriteit onder de digitalsikkerhetsloven (van
  kracht sinds 1 oktober 2025): melding ≤ 24 u, actualisering ≤ 72 u, rapport
  ≤ 1 maand. NIS2 zelf is medio 2026 nog niet in de EER-overeenkomst opgenomen.
- **VK:** de Cyber Security and Resilience Bill (in behandeling bij het parlement,
  Royal Assent verwacht eind 2026) stelt een eerste melding binnen 24 uur en een
  volledig rapport binnen 72 uur aan de toezichthouder voor, met parallelle
  notificatie van het NCSC.
- Overige EU-lidstaten: het portaal van uw nationale CSIRT of bevoegde autoriteit;
  controleer de omzettingsstatus en de sectorspecifieke kanalen.

---

Formaten: DOCX (vijf kant-en-klare formulieren) + PDF (print- en reviewmetgezel) op
https://www.orbiqhq.com/templates/nis2-incident-reporting-pack. Nationale
omzettingswetten kunnen velden toevoegen of kortere sectortermijnen stellen. Geen
juridisch advies.
