Ga direct naar inhoud

Incident melden

Omdat de Cyberbeveiligingswet (de nationale implementatiewet van de NIS2-richtlijn) nog niet inwerking is getreden, blijft vooralsnog de Wbni gelden. Vitale aanbieders en aanbieders van essentiële diensten (AED’s) hebben in geval van ernstige incidenten een meldplicht bij het NCSC. Lees hieronder verder over de Wbni-melding. Daarnaast kunnen organisaties vanaf 17 oktober ook een vrijwillige NIS2-incidentmelding doen via dit formulier

Wbni-melding

Op grond van de Wbni hebben vitale aanbieders, digitale dienstverleners en aanbieders van essentiële diensten (AED’s) in geval van ernstige incidenten een meldplicht bij het NCSC. AED’s melden ook bij hun sectorale toezichthouder. 

Meldingen moeten zo snel mogelijk worden gedaan. Stuur een melding direct (indien gewenst versleutelde) naar cert@ncsc.nl onder vermelding van de meldplicht. Je kunt ook gebruik maken van het formulier Wbni melding.

Bij een incident gaat het om elke gebeurtenis met een schadelijk effect op de beschikbaarheid, integriteit, vertrouwelijkheid en authenticiteit van netwerk- en informatiesystemen.

Moet elk incident worden gemeld? Nee, niet elk incident moet gemeld worden. Jij moet vaststellen of het incident aanzienlijke gevolgen voor jouw dienstverlening heeft, want alleen die incidenten moeten worden gemeld. Het gaat hierbij onder meer om het aantal gebruikers dat door de verstoring van de dienst wordt getroffen of de gevolgen van een incident voor economische en maatschappelijke activiteiten. Zo zijn er ‘aanzienlijke gevolgen’ wanneer:

  • de dienst in de EU meer dan 5.000.000 gebruikersuren niet beschikbaar is;
  • het incident heeft in de EU voor meer dan 100.000 gebruikers negatieve gevolgen inzake de integriteit, vertrouwelijkheid of authenticiteit;
  • een of meerdere gebruikers van de dienst hebben meer dan 1.000.000 EUR schade opgelopen;
  • er is sprake van een risico voor de openbare veiligheid, openbare beveiliging of het verlies van een of meerdere mensenlevens.

In de factsheet staat meer informatie over wanneer, waarom en hoe je een Wbni-melding doet bij het NCSC voor digitale veiligheidsincidenten.

Vrijwillige melding

Het is bij het NCSC altijd mogelijk om een vrijwillige melding te doen. Er wordt gesproken van een vrijwillige melding als er nog geen aanleiding is voor een wettelijk verplichte melding.

Ook bij vrijwillige melding kan het NCSC mogelijk ondersteuning en advies bieden. Bij een vrijwillige melding is er geen verplichting om dit te melden bij de toezichthouder, het Rijksinspectie Digitale Infrastructuur (RDI). Jij bepaalt zelf welke informatie jij wilt delen.

Wij bewaren op nationaal niveau het overzicht van cybersecurity dreigingen. Vrijwillige meldingen dragen bij aan dit beeld en helpen het NCSC om een actueel dreigingsbeeld op te kunnen maken, zodat organisaties voorbereid zijn op actuele dreigingen.

Documenten