Welke incidenten moeten worden gemeld?
De meldplicht is bedoeld voor significante incidenten die de dienstverlening ernstig verstoren of aanzienlijke gevolgen hebben. Niet iedere kleine storing of phishingmail is automatisch meldplichtig.
Gefaseerd melden
De melding verloopt in meerdere stappen. De eerste waarschuwing moet snel plaatsvinden, waarna aanvullende informatie en een eindverslag volgen. Daarom is het belangrijk dat organisaties vooraf weten wie beslist, wie meldt en welke informatie beschikbaar moet zijn.
Ook leveranciers moeten snel melden
Een opdrachtgever kan contractueel verlangen dat een leverancier incidenten veel sneller meldt dan de leverancier zelf gewend is. Zonder duidelijke afspraken kan een opdrachtgever daardoor te laat zijn met zijn eigen wettelijke melding.
Wat moet vooraf geregeld zijn?
Zorg voor een incidentclassificatie, contactlijst, escalatieprocedure, registratiemethode, communicatiesjablonen en afspraken met leveranciers. Oefen het proces, zodat tijdens een echt incident geen tijd verloren gaat.
Deze pagina is informatief. Controleer bij twijfel altijd de actuele officiële informatie of raadpleeg een juridisch of cybersecuritydeskundige.