Blog

NIS2 Artikel 23:

Wanneer de alarmketen moet werken, en niet alleen aan de muur hangt.

Ik vergelijk artikel 23 vaak met een brandalarm en een alarmketen. Niet omdat het dramatisch is, maar omdat het gewoon heel praktisch is. Het is niet genoeg dat het brandalarm er hangt. Het moet op tijd afgaan. Iemand moet begrijpen wat het signaal betekent. En iemand moet bellen – snel, kalm en met de juiste informatie.

Dat is precies waar NIS2 artikel 23 over gaat: incidentmelding die werkt als het chaotisch is. Wanneer het netwerk hapert, wanneer de leverancier "na de lunch terugbelt", en wanneer de organisatie al vermoeid is.
Robert Willborg

Co-founder en Chief Security Officer bij OneMore Secure.

Wat artikel 23 eigenlijk vereist

Artikel 23 geldt voor essentiële en belangrijke entiteiten in NIS2. Het vereist dat belangrijke incidenten worden gemeld aan de bevoegde autoriteit of het Computer Security Incident Response Team (CSIRT). De melding verloopt in meerdere stappen: een vroege waarschuwing binnen 24 uur, een incidentmelding binnen 72 uur en een eindrapport binnen een maand. (Europese Unie, 2022).

Het punt is niet dat je alles moet voorspellen. Het punt is dat je een proces hebt waarmee je drie dingen op tijd kunt melden: wat er is gebeurd, hoe ernstig het is en wat je eraan doet. Het stapsgewijze model is slim: het accepteert dat je niet alles weet na twee uur, maar vereist dat je toch vroeg signaleert en bijwerkt als het beeld duidelijker wordt. (Europese Unie, 2022).

Artikel 23 bevat ook een coördinatielogica: een centraal contactpunt (Single Point of Contact, SPOC) kan meldingen doorsturen naar andere lidstaten die worden getroffen en samenvattingen aan het Europees Cybersecurity Agentschap (ENISA) overleggen. (Europese Unie, 2022).

Nederlandse toepassing: dit is geen "EU-theorie" meer

In Nederland wordt NIS2 geïmplementeerd via de Cybersecuritywet (2025:1506), die op 15 januari 2026 in werking is getreden, en de Cybersecurityverordening (2025:1507). (Nederlandse overheid, 2025a; Nederlandse overheid, 2025b).

De Autoriteit voor Civiele Bescherming (ACB) heeft bovendien richtlijnen gepubliceerd over incidentmelding volgens de cybersecuritywet, inclusief de gevolgen van de inwerkingtreding voor wie moet melden en hoe de termijnen praktisch worden toegepast. (Autoriteit voor Civiele Bescherming, 2026).

De cybersecurityverordening bepaalt dat de Autoriteit voor Civiele Bescherming het centrale contactpunt is volgens NIS2. (Nederlandse overheid, 2025b).

De meest voorkomende valkuil die ik zie: de alarmketen is "iemand anders zijn taak"

Er is een reflex in veel organisaties: incidentmelding wordt een zaak voor de "securityafdeling". Maar artikel 23 geeft niets om hoe je georganiseerd bent. Het gaat erom dat iemand daadwerkelijk op tijd belt.

En hier komt de ongemakkelijke waarheid: de alarmketen faalt bijna nooit door techniek. Het faalt door dagelijkse logica.

  • Niemand weet wie de knop mag indrukken met "dit is een incident".

  • Contactlijsten zijn niet actueel.

  • Juridische, communicatieve en technische afdelingen zitten in aparte ruimtes en wachten op elkaar.

  • De leverancier beheert de logs, dus je kunt de situatie niet eens beschrijven zonder toestemming te vragen.

Dan doen deadlines er niet toe. Dan heb je een brandalarm zonder batterij.

Wat artikel 23 modern maakt

Ik vind artikel 23 een van de meest "volwassen" onderdelen van NIS2. Het gaat er niet van uit dat het leven perfect is. Het gaat ervan uit dat incidenten in het begin onduidelijk zijn, maar dat maatschappelijk kritische diensten toch moeten kunnen signaleren en coördineren.

Daarom kan artikel 23 ook niet op zichzelf staan. Het heeft steun nodig van wat in artikel 21 staat: risicomanagement en maatregelen waarmee je sneller kunt detecteren, isoleren en herstellen. ENISA heeft technische richtlijnen gepubliceerd die bepaalde sectoren helpen bij de praktische interpretatie van NIS2-maatregelen. (ENISA, 2025).

Mijn conclusie

Als je artikel 23 wilt begrijpen zonder een enkele paragraaf meer te lezen, denk dan zo: het is de alarmketen die stress moet kunnen weerstaan.

Als je vroeg kunt bellen, feitelijk kunt bijwerken en kunt afsluiten met een geloofwaardig eindrapport, dan heb je iets veel groters dan "compliance". Dan heb je een organisatie die de realiteit aankan zonder de controle te verliezen.

En in een digitale samenleving is dat vaak de meest tastbare vorm van zekerheid die we hebben.

Referenties

ENISA. (2025). NIS2 technische implementatierichtlijnen. Europees Agentschap voor Cybersecurity.

Europese Unie. (2022). Richtlijn (EU) 2022/2555 (NIS2). Publicatieblad van de Europese Unie, L 333.

Autoriteit voor Civiele Bescherming. (2026). Incidentmelding volgens de cybersecuritywet.

Nederlandse overheid. (2025a). Cybersecuritywet (2025:1506). Nederlandse regelgeving.

Nederlandse overheid. (2025b). Cybersecurityverordening (2025:1507). Nederlandse regelgeving.

NIS2 Artikel 21.2 a:

Wanneer risicoanalyse brandbeveiliging wordt, en geen map.

Ga naar het artikel

NIS2 Artikel 21.2 c:

Continuïteit is de noodstroomgenerator die je moet testen.

Ga naar het artikel

NIS2 Artikel 21.2 d:

De leveranciersketen is een koelketen, geen inkooplijst.

Ga naar het artikel

NIS2 Artikel 21.2 e:

Veiligheid bij inkoop en ontwikkeling: bouw het slot voordat je intrekt.

Ga naar het artikel

NIS2 Artikel 21.2 f:

De testknop op het brandalarm: wanneer veiligheid bewezen moet worden, niet aangenomen.

Ga naar het artikel

NIS2 Artikel 21.2 g:

Basis cyberhygiëne: keukenhygiene zodat gasten durven te eten.

Ga naar het artikel

NIS2 Artikel 21.2 h:

De sleutelkluis: wanneer cryptografie routine is, geen magie.

Ga naar het artikel

NIS2 Artikel 21.2 i:

Het toegangspasje: personeel, toegang en eigendommen.

Ga naar het artikel

NIS2 Artikel 21.2 j:

De voordeur: sterke authenticatie zonder wachtwoordstress.

Ga naar het artikel

NIS2 Artikel 23:

Wanneer de alarmketen moet werken, en niet alleen aan de muur hangt.

Ga naar het artikel
Terug naar de blogpagina