
Gratis NIS2-incidentrapportagesjablonen (2026) — 24u/72u/eindrapport, Word
Alle drie de NIS2-rapportagefasen van artikel 23 als indieningsklare formulieren: vroegtijdige waarschuwing binnen 24 uur, incidentmelding binnen 72 uur, eindrapport binnen één maand. Gratis DOCX-pakket, zonder e-maildrempel.
Download dit sjabloon
Versie 1.0 · Bijgewerkt 14 jul 2026 · Gratis, geen e-mail vereist · Downloadbestanden in het Nederlands (anders: Engels)
NIS2-incidentrapportagesjablonen: het gratis artikel 23-pakket
NIS2-artikel 23 verplicht essentiële en belangrijke entiteiten significante incidenten in drie getimede fasen te melden — een vroegtijdige waarschuwing binnen 24 uur na kennisname, een incidentmelding binnen 72 uur en een eindrapport binnen één maand — elk met verplichte inhoud volgens artikel 23, lid 4, onder a) tot en met e), van Richtlijn (EU) 2022/2555. Dit gratis pakket levert elke fase als een indieningsklaar Word-formulier, plus een interne incidentregisterinvoer die ze alle drie voedt, met de significantiecriteria van Uitvoeringsverordening (EU) 2024/2690 ingebouwd in de beoordelingsvelden.
Leveranciers verkopen precies deze documentenset, en nationale portalen publiceren instructies maar zelden herbruikbare formulieren. Intussen is de termijn die er het meest toe doet — 24 uur vanaf kennisname, niet vanaf bevestiging van de onderliggende oorzaak — juist degene die teams missen doordat ze midden in een incident vanaf een lege pagina moeten schrijven. Dit pakket — beschikbaar als DOCX-formulieren, een PDF-metgezel en een machine-leesbaar Markdown-bestand voor AI-agents (de downloadbestanden zijn beschikbaar in het Nederlands) — is de operationele tegenhanger van onze gids over de 24-uursdeadline en hoe u die haalt, die het capaciteitsprobleem uitlegt; deze pagina geeft u de artefacten die de opstelhelft ervan oplossen.
Belangrijkste punten
- Drie getimede fasen, één klok: vroegtijdige waarschuwing ≤ 24 uur, incidentmelding ≤ 72 uur, eindrapport ≤ 1 maand na de melding — alle gerekend vanaf het moment waarop de entiteit kennis krijgt (artikel 23, lid 4).
- De vroegtijdige waarschuwing is bewust licht: alleen of de oorzaak vermoedelijk onrechtmatig of kwaadwillig is en of een grensoverschrijdend effect mogelijk is. Dien haar snel in; artikel 23, lid 5, verplicht het CSIRT binnen 24 uur met richtsnoeren te reageren.
- "Significant" is voor digitale entiteiten inmiddels kwantitatief: sinds 7 november 2024 stelt Uitvoeringsverordening (EU) 2024/2690 concrete triggers — directe schade van 500.000 euro of 5% van de omzet (de laagste van de twee), exfiltratie van bedrijfsgeheimen, terugkerende incidenten met dezelfde onderliggende oorzaak en uitvalsdrempels per dienst.
- Het eindrapport heeft vier verplichte elementen — gedetailleerde beschrijving met ernst en gevolgen, dreigingstype of onderliggende oorzaak, toegepaste en lopende mitigatie, en grensoverschrijdend effect — en bij een nog lopend incident komt daarvoor een voortgangsrapport in de plaats.
- Dezelfde formulieren bedienen het Duitse BSI-portaalregime (NIS2UmsuCG, van kracht sinds 6 december 2025), de Noorse digitalsikkerhetsloven-ladder en — zodra aangenomen — het voorgestelde Britse 24u/72u-regime, omdat alle drie dezelfde gefaseerde structuur volgen.
Wat er in het pakket zit
De DOCX bevat vijf formulieren. Formulier 0 is de interne incidentregisterinvoer die u bij detectie invult — tijdstip van kennisname (dit start elke klok), classificatie van de entiteit, significantiebeoordeling tegen artikel 23, lid 3, of de criteria van 2024/2690, en een rapportlog voor referentienummers van autoriteiten. Formulieren 1 tot en met 4 zijn de indieningen zelf: vroegtijdige waarschuwing, incidentmelding, tussentijds/voortgangsrapport en eindrapport, elk met het artikel 23, lid 4-anker op het formulier gedrukt en begeleidende tekst bij elk veld. De PDF spiegelt het pakket voor print en tabletop-oefeningen; de Markdown-variant bevat de volledige veldstructuur met enums, zodat een AI-agent elke fase kan opstellen op basis van uw incidentgegevens.
| Formulier | Termijn | Juridisch anker | Verplichte inhoud |
|---|---|---|---|
| 1 — Vroegtijdige waarschuwing | ≤ 24 u na kennisname | Art. 23, lid 4, onder a) | Vermoeden van onrechtmatige/kwaadwillige oorzaak; mogelijk grensoverschrijdend effect |
| 2 — Incidentmelding | ≤ 72 u na kennisname | Art. 23, lid 4, onder b) | Actualisering van de vroegtijdige waarschuwing; eerste beoordeling van ernst en gevolgen; indicatoren van aantasting waar beschikbaar |
| 3 — Tussentijds / voortgang | Op verzoek van de autoriteit; of na één maand bij een lopend incident | Art. 23, lid 4, onder c) en e) | Relevante statusupdates; verwachte tijdlijn |
| 4 — Eindrapport | ≤ 1 maand na de melding | Art. 23, lid 4, onder d) | Gedetailleerde beschrijving met ernst en gevolgen; dreigingstype of onderliggende oorzaak; toegepaste en lopende mitigatie; grensoverschrijdend effect |
Zo gebruikt u het
Stap 1 — Veranker Formulier 0 nu in uw incidentproces, niet tijdens een incident. De registerinvoer legt het tijdstip van kennisname vast dat de 24-uursklok start, benoemt de incidentcommandant en de meldingsverantwoordelijke en bevat de significantiebeoordeling. Teams die vóór een incident bepalen wie meldt en via welk portaalaccount, zijn de teams die de deadline halen; onze gids over incidentresponsplannen versus managementsystemen legt uit waarom het plan alleen nog geen capaciteit is.
Stap 2 — Beoordeel significantie tegen de juiste toets. Begin met de twee criteria van artikel 23, lid 3. Bent u een DNS-, TLD-, cloud-, datacenter-, CDN-, managed (security) service provider, onlinemarktplaats, zoekmachine, sociaal netwerk of verlener van vertrouwensdiensten, pas dan de kwantitatieve criteria van Uitvoeringsverordening (EU) 2024/2690 toe — elke afzonderlijke artikel 3-trigger volstaat, en terugkerende incidenten met dezelfde vermoedelijke onderliggende oorzaak worden over zes maanden bij elkaar opgeteld. Bij twijfel: artikel 30 staat vrijwillige melding toe van incidenten die de drempel niet halen.
Stap 3 — Dien de vroegtijdige waarschuwing binnen 24 uur in, en houd haar dun. Twee verplichte indicaties, een contactblok, een beschrijving van twee zinnen. Wacht niet op forensisch onderzoek: de melding na 72 uur is de plaats voor de eerste beoordeling van ernst en gevolgen, en de artikel 23, lid 5-reactie van het CSIRT op uw vroegtijdige waarschuwing kan die beoordeling mede vormen.
Stap 4 — Houd afnemers van uw diensten aangesloten. Artikel 23 vereist dat afnemers van diensten die nadelige gevolgen ondervinden van significante incidenten worden geïnformeerd en dat bij significante cyberdreigingen getroffen afnemers over mogelijke tegenmaatregelen worden ingelicht — en autoriteiten kunnen openbaarmaking gelasten. Formulier 2 bevat een veld voor afnemerscommunicatie, zodat dit wordt besloten in plaats van vergeten; een Trust Center geeft die berichten een permanente, linkbare plek.
Stap 5 — Sluit af met het eindrapport en voer de lessen terug. De vier elementen van artikel 23, lid 4, onder d), zijn verplicht; het pakket voegt een lessons-learned-blok toe dat bevindingen terugleidt naar uw artikel 21-risicobeheersmaatregelen — de toeleveringsketen- en meldplichten waar NIS2-audits daadwerkelijk op toetsen.
Juridische grondslag
De formulieren zijn gemapt op Richtlijn (EU) 2022/2555, artikel 23: de significantietoets in artikel 23, lid 3, de gefaseerde rapporten en hun inhoud in artikel 23, lid 4, onder a) tot en met e), de 24-uursresponsplicht van het CSIRT in artikel 23, lid 5, en de notificatie van afnemers in artikel 23, leden 1 en 2. De significantievelden verwerken Uitvoeringsverordening (EU) 2024/2690 van de Commissie, die sinds 7 november 2024 rechtstreeks geldt voor DNS-, TLD-, cloud-, datacenter-, CDN-, managed (security) service-, marktplaats-, zoekmachine-, socialenetwerk- en vertrouwensdienstentiteiten — haar entiteitsoverstijgende triggers in artikel 3 en dienstspecifieke drempels in de artikelen 4 tot en met 14 vertalen "ernstige operationele verstoring" naar cijfers. Vrijwillige melding van incidenten onder de drempel steunt op artikel 30 van de richtlijn. Nationale omzettingswetten kunnen velden toevoegen en sectortermijnen verkorten — een reden om uw interne register te ruim te structureren, niet te krap.
Buiten de EU: VK en Noorwegen
In het VK stelt de Cyber Security and Resilience Bill — bij het parlement in behandeling, met Royal Assent verwacht eind 2026 — voor de enkele 72-uurs-NIS-melding te vervangen door een tweetrapsplicht in NIS2-stijl: een eerste melding binnen 24 uur na kennisname en een volledig rapport binnen 72 uur, ingediend bij de toezichthouder met parallelle notificatie van het NCSC. In Noorwegen is de digitalsikkerhetsloven sinds 1 oktober 2025 van kracht en draait daar dezelfde ladder al — melding aan de NSM en de sectorautoriteit binnen 24 uur, een update binnen 72 uur en een incidentrapport binnen één maand — terwijl NIS2 zelf op opname in de EER-overeenkomst wacht en een bredere vervangende wet wordt verwacht. Een groep die actief is in de EU, het VK en Noorwegen kan dus één intern register en één formulierenset voor alle drie de regimes draaien; alleen het bestemmingsportaal verschilt.
Van indienen onder druk naar aantoonbare paraatheid
Op tijd melden bewijst dat het incident is afgehandeld; wat toezichthoudende autoriteiten steeds vaker daarna vragen, is of erop was voorbereid — geteste responsplannen, notificatie-SLA's met leveranciers, bewijs dat de artikel 21-maatregelen al vóór het incident bestonden. De continue monitoring van Orbiq houdt die bewijslaag actueel — controls, leveranciersgaranties, artefacten voor incidentparaatheid — en publiceert de koperszijde naar uw Trust Center, zodat dezelfde voorbereiding die de toezichthouder tevredenstelt ook de klant beantwoordt die vraagt "waren jullie geraakt?" Bent u uw verplichtingen nog aan het inventariseren, begin dan bij onze NIS2-richtlijngids; zijn uw leveranciers het risico, combineer dit pakket dan met de NIS2-checklist bewijsaanvraag leveranciers.
Bronnen en verwijzingen
- Richtlijn (EU) 2022/2555 (NIS2) — volledige tekst — artikel 23, leden 1 tot en met 5, artikel 30.
- Uitvoeringsverordening (EU) 2024/2690 van de Commissie — significantiecriteria voor entiteiten in digitale infrastructuur en ICT-diensten; van toepassing sinds 7 november 2024.
- UK Government — Cyber Security and Resilience Bill: incident reporting factsheet — de voorgestelde structuur met eerste melding binnen 24 uur en volledig rapport binnen 72 uur.
- Lov om digital sikkerhet (digitalsikkerhetsloven) — het Noorse kader, van kracht sinds 1 oktober 2025.
- ENISA — Technical Implementation Guidance on Cybersecurity Risk Management Measures — juni 2025; verwachtingen rond incidentafhandeling en -melding.
- Mayer Brown — Cyber rules for essential and important entities take effect in Germany — NIS2UmsuCG van kracht sinds 6 december 2025; melden via het BSI.
Verder lezen
Download dit sjabloon
Versie 1.0 · Bijgewerkt 14 jul 2026 · Gratis, geen e-mail vereist · Downloadbestanden in het Nederlands (anders: Engels)
Veelgestelde vragen
Wat zijn de NIS2-termijnen voor incidentmelding?
NIS2-artikel 23, lid 4, kent een ladder met drie fasen, alle gerekend vanaf het moment waarop de entiteit kennis krijgt van een significant incident: een vroegtijdige waarschuwing binnen 24 uur, een incidentmelding binnen 72 uur (24 uur voor verleners van vertrouwensdiensten onder sommige nationale wetten) en een eindrapport uiterlijk één maand na de incidentmelding. Een CSIRT of bevoegde autoriteit kan daarnaast tussentijdse statusrapporten opvragen, en loopt het incident op de éénmaandsgrens nog, dan wordt een voortgangsrapport ingediend en volgt het eindrapport binnen een maand na afhandeling.
Wat moet de vroegtijdige waarschuwing binnen 24 uur bevatten?
Bewust weinig. Artikel 23, lid 4, onder a), vereist alleen een indicatie of het significante incident vermoedelijk door onrechtmatige of kwaadwillige handelingen is veroorzaakt en of het een grensoverschrijdend effect kan hebben. De vroegtijdige waarschuwing bestaat zodat autoriteiten snel situationeel bewustzijn krijgen — en artikel 23, lid 5, verplicht het CSIRT binnen 24 uur te reageren met richtsnoeren en, op verzoek, technische ondersteuning.
Wanneer is een incident 'significant' onder NIS2?
Artikel 23, lid 3: het incident heeft een ernstige operationele verstoring of financieel verlies voor de entiteit veroorzaakt of kan dat doen, of het heeft andere personen getroffen of kan die treffen door aanzienlijke materiële of immateriële schade te veroorzaken. Voor entiteiten in digitale infrastructuur en ICT-diensten maakt Uitvoeringsverordening (EU) 2024/2690 dit kwantitatief — bijvoorbeeld directe financiële schade boven 500.000 euro of 5% van de jaaromzet (de laagste van de twee), of DNS-resolutie die langer dan 30 minuten niet beschikbaar is.
Wat moet het eindrapport na één maand bevatten?
Artikel 23, lid 4, onder d), schrijft vier elementen voor: een gedetailleerde beschrijving van het incident, met de ernst en de gevolgen; het type dreiging of de onderliggende oorzaak die het incident waarschijnlijk heeft veroorzaakt; toegepaste en lopende risicobeperkende maatregelen; en, waar van toepassing, het grensoverschrijdende effect. Loopt het incident nog wanneer het eindrapport verschuldigd is, dan wordt in plaats daarvan een voortgangsrapport ingediend, met het eindrapport binnen één maand na de afhandeling van het incident.
Waar dien ik NIS2-incidentmeldingen daadwerkelijk in?
Via het kanaal van uw nationale CSIRT of bevoegde autoriteit. In Duitsland melden entiteiten via het meldportaal van het BSI onder het NIS2UmsuCG, van kracht sinds 6 december 2025. In Noorwegen leidt de digitalsikkerhetsloven (van kracht sinds 1 oktober 2025) meldingen naar de NSM en de sectorautoriteit langs dezelfde ladder van 24 uur/72 uur/één maand. Andere lidstaten hebben hun eigen portalen — de formulieren in dit pakket structureren de inhoud zodat indienen neerkomt op overtypen, niet op opstellen.
Hebben Britse bedrijven vergelijkbare meldplichten?
Die komen eraan. De Britse Cyber Security and Resilience Bill — bij het parlement in behandeling, met Royal Assent verwacht eind 2026 — stelt een tweetrapsregime voor dat nauw op NIS2 aansluit: een eerste melding binnen 24 uur na kennisname van een significant incident en een volledig rapport binnen 72 uur, ingediend bij de toezichthouder met parallelle notificatie van het NCSC. Groepen die in zowel de EU als het VK opereren, kunnen hetzelfde interne register en dezelfde formulieren voor beide regimes hergebruiken.