Hoe herschrijft Artikel 35 de regels voor inbreuken op persoonsgegevens - en wie betaalt daar nu eigenlijk de prijs voor?
Compliance op de achtergrond houden is niet langer voldoende. Sinds Verordening (EU) 2024/2690 van kracht is geworden, maakt artikel 35 van de NIS 2 een einde aan de lappendeken van uiteenlopende nationale regels en legt het dezelfde hoge lat voor elke organisatie, ongeacht branche of locatie. Een datalek wordt beoordeeld aan de hand van één handboek; u moet aantonen dat uw reactie gebaseerd is op bewijs, gesynchroniseerd is tussen juridische, IT- en uitvoerende lagen, en bestand is tegen de directe controle van een auditor. Als u denkt dat "het gewoon een IT-probleem is" of denkt dat een gezichtsreddende e-maildiscussie de verantwoordingsplicht van uw bestuur zal dekken, bewijst de nieuwe regeling het tegendeel.
Tegenwoordig riskeert een ontbrekende registratie van een incident hetzelfde onderzoek – en dezelfde boete – als een technisch beveiligingsfalen.
Wat is veranderd, is niet alleen het tempo, maar ook de verwachting: bewijs vóór expertise, en demonstratie door de raad van bestuur vóór een backoffice-oplossing. Vroeger wachtten veel organisaties op een zetje van een lokale toezichthouder en haastten zich vervolgens om notulen van vergaderingen of auditlogs te produceren. Als je nu geen aantoonbare, systeemgeregistreerde gezamenlijke actie kunt aantonen, van detectie tot afsluiting op bestuursniveau, uw bewijskloof is de breuk geworden, en de handhaving verloopt snel. Dit is niet alleen theorie: in het afgelopen jaar werd in meer dan 40% van de boetes voor grote datalekken in de EU gewezen op onvoldoende betrokkenheid van de raad van bestuur, en niet alleen op ontbrekende IT-documentatie.
De nieuwe realiteit? "Redelijk" wordt niet bepaald door intentie, maar door auditklare bewijsvoering: tijdlijnen, overdrachten en resultaten. Als er een hiaat zit in uw incidentenproces, als rollen vaag zijn, of als vastgelegd bewijsmateriaal vastzit in e-mails in plaats van in een systeem, dan komt de boete bovenaan te liggen. Voor directies, DPO's en IT-leiders heeft Artikel 35 de voorbereiding op inbreuken veranderd in een teamsport waarbij niemand vanaf de tribune mag toekijken.
Waarom is ‘procesfalen’ nu juridisch gezien een datalek? En wat betekent dat voor u?
Op grond van artikel 35, een gemiste meldingsdeadline, een onvolledig logboek of een niet-gedocumenteerd incident is nu op zichzelf een meldingsplichtige overtreding van het regelboek- niet langer een bijzaak. Dit verhoogt de inzet: het is niet alleen technische beveiliging die telt, maar ook uw operationele discipline - het gedetailleerde, live overzicht van beslissingen, beoordelingen en goedkeuringen.
Als u niet registreert, niet bewaart of niet toewijst, is de vertrouwensketen verbroken, hoe klein de technische oplossing ook is.
Waarom? Omdat het werkelijke risico met persoonsgegevens niet alleen schuilt in de hack of onbedoelde openbaarmaking, maar in de blinde vlek van de organisatie. Een "afgehandeld" incident, overhaast afgehandeld zonder volledige toeschrijving of tijdstempel, is nu de eerste indicator van nalatigheid voor de toezichthouder. Als het niet in kaart kan worden gebracht van detectie tot afsluiting, en als de raad van bestuur niet in realtime kan aantonen waar het toezicht begon en eindigde, wordt non-compliance in de bedrijfsadministratie opgenomen.
Voor professionals – juridische zaken, compliance en IT – is de boodschap bot. Oude notities, informele chats of jurisdictiespecifieke 'uitzonderingen' zijn allesbehalve waardeloos: ze vormen het bewijs van onoplettendheid. In plaats daarvan: gezamenlijke logboeken, controleerbare workflows en systeemgestuurde herinneringen zijn de basis gewordenBestuurders zijn nu rechtstreeks verantwoordelijk voor het aantonen dat elke inbreuk, ongeacht de uitkomst, is afgehandeld via een proces dat de toetsing heeft doorstaan, zonder uitzonderingen.
Wat zijn de kosten als je dit verkeerd aanpakt? Boetes worden niet langer alleen bepaald door verloren gegevens, maar vaak veroorzaakt door hiaten in de overdracht, niet-erkende escalaties of het niet bijwerken van het logboek met de laatste geleerde lessen. Systematiseer je incidentenproces nu, anders kan de volgende meldingsfout wel eens de oorzaak zijn van een volledige aanpak. nalevingsonderzoek.
Beheers NIS 2 zonder spreadsheetchaos
Centraliseer risico's, incidenten, leveranciers en bewijsmateriaal op één overzichtelijk platform.
Hoe kan fragmentatie uw organisatie een direct risico op sancties opleveren?
Inbreuken op persoonsgegevens houden niet op bij de grenzen van uw gemeente, en dat geldt ook voor regelgevende maatregelen. Op grond van artikel 35, toezichthouders die op zoek zijn naar de oorzaak, graven snel in elke fragmentatie van respons, rol of logboekDe tijd dat een "goed verhaal" in Ierland een papierlek in Duitsland kon dichten, is voorbij. Als uw inbreukprocedure logs of acties verspreid laat over verschillende departementen of rechtsgebieden, heeft u uw risico in feite vergroot.
Elke vertraging die voortkomt uit verwarring over de eigendomsverhoudingen of handmatige overdracht is een compliancerisico dat net zo reëel is als de oorspronkelijke aanval.
Wat verwachten auditors nu? Een tijdlijn: wie wist het, wie handelde, wie tekende en wanneer. Deze registratie moet elk gebied, elke bedrijfseenheid en elke juridische belanghebbende in één stroom samenbrengen – geen splitsingen, geen ontbrekende vestigingen. Zodra een incident de grenzen overschrijdt – van een bedrijfslijn of land – is het uw verantwoordelijkheid om een allesomvattend, eenduidig overzicht bij te houden van detectie, melding en afhandeling. Alles wat minder is, leidt tot zowel gemiste deadlines als tegenstrijdige openbaarmakingen, waardoor de regelgeving in gevaar komt.
De meeste vertragingen bij het reageren op inbreuken worden veroorzaakt door onduidelijke rollen, offline registraties en redundante tracking. Platforms zoals ISMS.online Onthul, aan de hand van echte incidentgegevens, dat meer dan de helft van de vertragingen in de levenscyclus van incidenten het gevolg is van handmatige processen waarbij meerdere eigenaren betrokken zijn (https://nl.isms.online/incident-management-platform). De kosten? Verloren dagen, gestarte onderzoeken, verhoogde boetes – niet door technische storingen, maar door operationele vertraging.
Om deze keten te doorbreken:
- Wijs vanaf het begin duidelijke, cross-functionele incidentmanagers aan.
- Gebruik een logboek waarin elke bedrijfsoverdracht wordt vastgelegd.
- Automatiseer herinneringen en zorg ervoor dat bij elke stap ontvangst/bevestiging wordt gevraagd.
- Archiveer post-mortems als verplicht, niet optioneel, met toegang voor zowel IT als juridische zaken.
Beheers deze mechanismen en in plaats van brandjes te blussen op het tempo van de toezichthouder, kunt u zich bij elke actie en elke keer houden aan de regel van Artikel 35, waarbij één bron vereist is.
Hoe ziet het 'operationaliseren' van artikel 35 eruit? Discipline, bewijsvoering en deadlinemanagement
Het is niet genoeg om een beleid te bezitten; je moet het ook animeren. Artikel 35 vraagt om Teamoverschrijdende routines voor incidentrespons die controleerbare sporen achterlaten: echte actoren, strikte deadlines en live bewijslinksHet toewijzen van een afdeling is niet voldoende; nu moeten er specifieke personen aan elke fase worden gekoppeld, waarbij het bewijsmateriaal in realtime in kaart wordt gebracht.
Deadlines - de beruchte 24-uurs NIS 2 en 72-uurs GDPR Klokken worden niet afgedwongen door hoop, maar door technologie (https://nl.isms.online/policy-documentation). Bij elke gebeurtenis – eerste detectie, escalatie, overdracht aan de raad van bestuur, afsluiting – hebt u een rolgebaseerd logboek met tijdstempel nodig, anders zullen toezichthouders elke lacune als bewijs van nalatigheid beschouwen. Documentatie van "bijna op tijd", of afstemming achteraf, laat u volledig kwetsbaar voor handhaving.
Organisaties die in realtime documenteren, met systeemgestuurde waarschuwingen voor elke belanghebbende, slagen voor audits en vermijden boetes, zelfs als de inbreuk zelf technisch complex is.
Voor degenen die onder één framework werken, simuleer de routine van het andere: GDPR-teams zouden 24-uurs oefeningen moeten uitvoeren, NIS 2-operators zouden het 72-uurs GDPR-model moeten oefenen. De best voorbereide teams normaliseren incidentrepetities over afdelingen heen, zodat elke zwakke schakel wordt gesignaleerd en gedicht voordat er een inbreuk plaatsvindt.
De beste praktijken van vandaag maken gebruik van incidentmanagementplatforms die workflow-bewijsmateriaal controleerbaar houden, wijs elke actor toe en automatiseer beoordelingsherinneringen voordat de nalevingsdeadline verstrijkt (https://nl.isms.online/incident-management-platform). Met een systeem als ISMS.online worden taken aan de bron vastgelegd en wordt uw auditpakket een directe weerspiegeling van de wettelijke vereiste van artikel 35.
ISO 27001-brugtabel: Toewijzing van artikel 35-verplichtingen aan operationele en auditcontroles
Hieronder worden de belangrijkste wettelijke vereisten omgezet in duidelijke operationele acties en ISO 27001 controle referenties:
| Verwachting | Operationalisatieplatform | ISO 27001 / Bijlage A Ref |
|---|---|---|
| Toegewijde eigenaar van persoonlijke inbreuken | Beleidsworkflow met persoonlijke ID | A.5.24, A.8.13 |
| Vertraagd controlespoor van elke stap | Systeemgeregistreerde rol + actieketen | A.5.27, A.8.13 |
| Bidirectionele multi-framework-melding | Controlelijstsynchronisatie op basis van regels | A.5.31, A.5.24 |
| Bewijs van afsluiting plus goedkeuring | Platform "bewijsbank" gesynchroniseerd met SoA | A.5.35, A.8.13 |
In een volwassen ISMS staan deze operationele controles centraal, zodat u met slechts één klik op de knop een Statement of Applicability (SoA) of auditorpakket kunt genereren voor elke denkbare beoordeling.
Wees vanaf dag één NIS 2-ready
Ga aan de slag met een bewezen werkruimte en sjablonen: pas ze aan, wijs ze toe en ga aan de slag.
Waarom vraagt moderne compliance om ‘levende zebrapaden’ en hoe werken ze?
Een checkboxbeleid voegt geen waarde toe als het niet is gekoppeld aan live-acties. In de huidige inbreukomgeving, ‘Best practice’ is wat in kaart wordt gebracht, niet alleen wat er staat geschrevenToezichthouders, en inmiddels de meeste externe accountants, proberen te testen: is de trigger voor elke melding gekoppeld aan een controle? Wordt de goedkeuring vastgelegd met attributie? Zonder een mappingtabel en levend bewijs links, is uw proces onzichtbaar en dus niet-conform.
Als het bewijs niet in een live-onderzoek naar voren kan worden gebracht, is het voor accountants en toezichthouders alsof het niet bestaat.
Denk aan een typisch incident: detectie, initiële toewijzing van de eigenaar, 24-uurs timer, escalatie naar DPO, afsluiting en beoordeling. Op elk punt moet u acties vastleggen in uw ISMS met toegewezen besturingselementen-A.5.24 voor rapportage, A.8.13 voor bewijs, A.5.31 voor melding, A.5.35 voor beoordelingen.
Zo ziet een 'live zebrapad' eruit:
| Trigger | Risico-update | Controle/SoA-koppeling | Geregistreerd bewijs |
|---|---|---|---|
| Inbreuk gedetecteerd | Risicoregister nota | A.5.24 / A.8.13 | Detectie + eigenaar toegewezen |
| Deadline van 24 uur nadert | Timergebeurtenis | A.5.27 (NIS 2),… | Notificatie/Redenplanner |
| Escalatie naar DPO | Overdrachtsrecord | A.5.31 / A.8.13 | Erkenning DPO |
| Incident opgelost | Bestuursbeoordelingslogboek | A.5.27 / A.5.35 | Geleerde lessen + afsluiting |
Door deze als onderdeel van een continue cyclus uit te voeren – geautomatiseerd door uw incidentmanagementsysteem – transformeert u elke inbreuk in een kans voor proactieve veerkracht. Vooruitstrevende organisaties werken elke actie bij, elke keer weer, zodat de voorbereiding op een audit of wettelijke beoordeling een bijproduct is van dagelijks werk, en geen haastwerk dagen voor een deadline.
Is uw audit trail realtime, naadloos en gebaseerd op bewijsmateriaal, of loopt u het risico op 'inactieve naleving'?
'Compliance' gaat niet langer alleen over de inbreuk zelf. Het gaat om gereedheid, registratie, beoordeling en verbetering in elke reactieLacunes, verspreide registraties, handmatige logboeken - dit is de snelste manier om boetes te krijgen. Het is veiliger en slimmer om de fout in te gaan met extreme zorgvuldigheid. Niemand wordt ooit gestraft voor te veel bijhouden; bijna alle grote boetes worden veroorzaakt door gebreken in de documentatie (https://nl.isms.online/incident-management-platform).
Elke gesloten lus in uw audit trail (detectie, rol, bewijs, beoordeling) vergroot uw kansen om niet alleen boetes te voorkomen, maar ook reputatieschade.
Tegenwoordig kunnen compliance officers en IT-managers gebruikmaken van ISMS-platformen die elke stap automatisch registreren en een elektronische, onveranderlijke tijdlijn bieden voor zowel technische als niet-technische rollen. Het model is simpel: hoe meer feedbackloops u laat zien, hoe meer krediet en vertrouwen u wint, zowel bij auditors als in uw bestuurskamer. Post-mortem reviews, het uploaden van bewijsmateriaal en goedkeuringen door het management worden allemaal routinematige items, waardoor de zekerheid wordt vergroot en de kosten drastisch worden verlaagd. voorbereiding van de audit.
In plaats van bang te zijn voor een onderzoek door de toezichthouder, behandelen slimme organisaties elke incident reactie als brandstof voor verbetering op de lange termijn. En met automatisering staat uw compliance niet stil: het evolueert om aan de norm te voldoen voordat toezichthouders u dwingen om bij te blijven.
Al uw NIS 2, allemaal op één plek
Van artikelen 20-23 tot auditplannen: voer ze uit en bewijs dat ze van begin tot eind voldoen aan de regelgeving.
Bewijsgestuurde naleving: een vertrouwenslus opbouwen, geen checklist
Marktleiders worden niet gedefinieerd door proceshandleidingen, maar door live, adaptieve logs die bewijs, teamleren en bestuurlijk toezicht integrerenKlanten van ISMS.online die de compliance-strategie verschuiven van "slaag voor audit" naar "dagelijkse verbetering aantonen", zien hun kosten, hersteltijd en incidentpercentages dalen (https://nl.isms.online/case-studies/). Auditlogs zijn niet zomaar defensieve, gedeelde dashboards die elke directeur of manager het realtime overzicht geven dat toezichthouders verwachten.
Compliance is niet zozeer een eindpunt, maar eerder een springplank. Je reset de basis en versterkt hem na elke doorbraak en oefening.
Een klant die gevoelige EU-gezondheidszorggegevens verwerkte, beheerde oefeningen voor grensoverschrijdende inbreuken op ISMS.online. Elke opdracht, bewijspost, melding en beoordelingsstap werd centraal geregistreerd; elke les was direct beschikbaar voor de volgende cyclus. Toen de auditors arriveerden, presenteerde de raad van bestuur een eenvoudig rapport: geen uitzonderingen, geen ontbrekende schakels, geen paniek. Het resultaat? Geen bevindingen, een groter vertrouwen bij de klant en een raad van bestuur die als "marktklaar" werd beschouwd voor de volgende golf van wettelijke verwachtingen.
Om dit niveau te bereiken: centraliseer uw audit trail, automatiseer overdrachten, stimuleer managementbeoordelingen en werk uw incidentenhandboek bij na elke echte of gesimuleerde inbreuk. Zo is veerkracht al business as usual wanneer de volgende uitdaging of situatie zich voordoet.
Wat volgt: van artikel 35 tot het volledige veerkrachtspectrum: is uw systeem er klaar voor?
Artikel 35 is een voorproefje, geen finale. Met DORA, sectorale kaders en de opkomende EU AI-wet, op bewijs gebaseerde, geplatformiseerde naleving is al de verwachtingNieuwe mandaten zullen leiden tot een toename van tijdlijnen, overdrachten en overlappende verantwoordelijkheden. Uiteindelijk zijn het niet ambitie, maar herhaalbaarheid en bewijs die bepalend zijn voor "de beste in zijn klasse".
Het feit dat u live verbeteringen kunt laten zien - kwartaaloefeningen, bijgewerkte draaiboeken, bestuursbeoordelingen - is al het onderscheidende kenmerk.
Bouw vandaag nog ritmes van evaluatie, verbeteringsregistratie en simulatie van de volgende bedreiging in uw ISMS (https://nl.isms.online/policy-documentation). Besturen worden nu gevolgd op basis van de acties die ze onderschrijven, niet op basis van de diapresentaties die ze bekijken. Wees voorbereid om elke strategische risicodiscussie te baseren op concreet bewijs - toon uw oefenlogs en verbetercycli als een levend systeem.
Veerkrachtige, auditklare bedrijven koppelen bonus- en bestuursstrategie aan bewijs, niet aan ambitie. Ze visualiseren compliancecycli als prestatiedashboards, niet als jaarlijkse hoofdpijndossiers. En de markt kijkt toe: gereguleerde kopers en investeerders waarderen organisaties die de bedreigingen van morgen in kaart brengen voordat ze gedwongen worden te reageren.
Het ISMS.online-model: altijd-aan naleving, controleerbare veerkracht, betrouwbare verbetering
Geen enkele organisatie bereikt veerkracht door papierwerk of spiergeheugen. In dit tijdperk, Compliance betekent altijd beschikbare, systematische en bewijsrijke paraatheidVan incidentworkflows tot goedkeuring door het bestuurISMS.online biedt een platform dat is gecontroleerd en vertrouwd gedurende de volledige levenscyclus: respons op incidenten, beheer van inbreuken op persoonsgegevens en continue verbetering (https://nl.isms.online/incident-management-platform).
Incidenten zijn niet iets wat zomaar gebeurt; uw managementsysteem leeft en ademt met elke gebeurtenis. Of u nu de controlestatus bijwerkt, een nieuwe manager coacht of de feedback van een audit verwerkt, het ISMS.online bewijsdossier is live, uniform en kan op elk moment door elke instantie worden ingezien.
Organisaties die realtime compliance vastleggen, tonen hun waarde niet in ambitie, maar in de praktijk. Bewijs is niet de last, maar het schild. Wanneer Artikel 35 of de volgende wetgevingsgolf van kracht wordt, kan uw team niet wijzen op goede bedoelingen, maar op concrete resultaten.
Operationele excellentie ontstaat niet pas achteraf; het wordt dag na dag vastgelegd in logs, reviews en live dashboards. Wanneer uw bewijs net zo snel kan veranderen als bedreigingen, is veerkracht vanzelfsprekend.
Veelgestelde Vragen / FAQ
Wat is de oorzaak van een ‘inbreuk die een inbreuk op de bescherming van persoonsgegevens inhoudt’ in de zin van artikel 35 van de NIS 2?
Elke niet-nakoming van de kernverplichtingen van NIS 2 die leidt tot het in gevaar brengen van persoonsgegevens – ongeacht of dit gebeurt door verlies, ongeautoriseerde toegang of onrechtmatige openbaarmaking – geldt als een "inbreuk die een datalek met zich meebrengt" in de zin van artikel 35. Cruciaal is dat dit lek niet alleen kan worden veroorzaakt door cyberaanvallen, maar ook door storingen in beveiligingsroutines, late meldingen, onduidelijke roltoewijzingen, ontbrekende logs of onvolledige documentatie. Indien dergelijke tekortkomingen direct leiden tot een datalek, moet de bevoegde autoriteit van NIS 2 de gebeurtenis escaleren naar de gegevensbeschermingsautoriteit (DPA). Deze dubbele blootstelling betekent lacunes in de naleving in proces, administratie of incident reactie uw organisatie onder zowel NIS 2 als AVG brengen regelgevend toezicht.
Gemiste deadlines, vage rollen of slechte registraties kunnen ertoe leiden dat een routinematige fout verandert in een overtreding van de wet. Hierdoor komt uw team in de schijnwerpers te staan van twee toezichthouders, in plaats van slechts één.
Belangrijkste triggers voor een overtreding van de regelgeving
- Niet-geteste, verouderde of onvolledige door NIS 2 verplicht gestelde controles (bijvoorbeeld niet-gepatchte kwetsbaarheden of overgeslagen risicobeoordelingen).
- Te laat of ontbrekend incidentmeldingen-vooral als het niet binnen 24 uur wordt verzonden.
- Het niet aanwijzen van personen die verantwoordelijk zijn voor rapportage, escalatie of documentatie.
- Vertrouwen op ongestructureerde bewijsstukken: spreadsheets, verspreide logboeken en e-mailketens.
- Het verwaarlozen van de documentatie van zowel ‘bijna-ongelukken’ als herhaalde incidenten op kleine schaal.
Toezichthouders, waaronder ENISA, beschouwen proceshiaten die leiden tot gegevensverlies als grootschalige inbreuken. Hierdoor groeit de vraag naar systematische, op rollen gebaseerde naleving.
Hoe verhouden artikel 35 (NIS 2) en de AVG zich tot kennisgeving en boete?
Artikel 35 integreert NIS 2 en de AVG nauw door onmiddellijke dubbele melding te vereisen indien een datalek voortvloeit uit een NIS 2-fout. Dit betekent dat u verplicht bent om de bevoegde autoriteit voor NIS 2 binnen 24 uur en de Autoriteit Persoonsgegevens binnen 72 uur op de hoogte te stellen – beiden via formele procedures en formulieren. De autoriteiten coördineren hun onderzoek, maar handhaving en sancties zijn geharmoniseerd: als de Autoriteit Persoonsgegevens u een boete oplegt op grond van de AVG, kan de NIS 2-autoriteit voor dezelfde inbreuk geen financiële boete opleggen, maar kan zij wel waarschuwingen geven of corrigerende maatregelen opleggen.
Het gezamenlijke notificatieproces, stap voor stap
- 24 uur: Eerste kennisgeving aan de NIS 2-autoriteit (ook als de feiten onvolledig zijn).
- 72 uur: Gedetailleerd rapport aan de DPA onder AVG.
- Grensoverschrijdend?: De autoriteiten van alle betrokken rechtsgebieden worden hierbij betrokken, waardoor harmonisatie van uw meldingen en registraties wordt afgedwongen.
- Geen dubbele boetes, wel strenger toezicht: NIS 2 kan proceswijzigingen bevelen, certificeringen opschorten of nieuwe audits vereisen, zelfs wanneer de boete alleen van de DPA komt (NIS 2, art. 35(4)).
Autoriteiten verwachten niet alleen bewijs van actie, maar ook bewijs van realtime, rolgebaseerde organisatie. Automatisering en procesdiscipline zijn niet 'leuk om te hebben', ze zijn nu verplicht.
Wat is het stapsgewijze ISMS-proces voor het detecteren en melden van inbreuken onder artikel 35 en de AVG?
Om compliant en auditgereed te blijven, moet uw incidentmanagementsysteem (ISMS) de respons op het moment dat er een inbreuk wordt vermoed, strak orkestreren. Dit geldt met name wanneer er sprake is van blootstelling van processen:
Stapsgewijze workflow voor incidenten
- Gebeurtenisregistratie: Registreer de inbreuk veilig in uw ISMS. Registreer het tijdstip, de melder, de getroffen systemen, de impact en de initiële risicobeoordeling (ISO 27001: A.5.24, A.8.13).
- Workflow-activering: Trigger vooraf goedgekeurd incidenten draaiboeken met nauwkeurige tijdstempeling en individuele toewijzing voor elke stap.
- NIS 2-autoriteit op de hoogte stellen: Maak binnen 24 uur gebruik van het daarvoor bestemde portaal of het voorgeschreven kanaal van het land, ongeacht de status van het onderzoek.
- DPA op de hoogte stellen: Geef binnen 72 uur alle AVG-vereiste gegevens over de inbreuk en context, inclusief de soorten gegevens, het aantal betrokkenen en de mogelijke gevolgen.
- Benoemde rollen toewijzen: Leg duidelijk vast wie verantwoordelijk is voor onderzoek, communicatie (intern en extern) en mitigatieactiviteiten.
- Communiceer met de getroffen personen:Als de inbreuk risico's oplevert voor de rechten van de betrokkene, dient u de betrokkene onmiddellijk op de hoogte te stellen en alle communicatie vast te leggen.
- Centraliseer gegevens: Volg elke update, conversatie, systeemwijziging en mitigerende actie in een veilig, auditbestendig systeem (A.5.27, A.5.35).
- Evaluatie en verbetering na incident: Voer een sessie uit waarin lessen worden geleerd, koppel bevindingen aan updates over risico's en controles en werk uw Statement of Applicability (SoA) bij.
Traceerbaarheidssnapshot
| Triggergebeurtenis | Risico-update | Controle/SoA-ref | Geregistreerd bewijs |
|---|---|---|---|
| SOC markeert ongeautoriseerde toegang | Risico geëscaleerd | A.5.24, A.8.13 | ISMS-incidentenrecord |
| Deadline van 24 uur gemist | Non-conformiteit ingediend | A.5.35 | Auditlogboek, e-mailwaarschuwing |
| Meldingen verzonden naar autoriteiten | Incident gesloten | A.5.27, A.5.31 | Workflow- en beoordelingslogboeken |
Een volledig geregistreerd, aan rollen gekoppeld en onveranderlijk incidentenrecord is uw sterkste verdediging tegen regelgevingsrisico's en auditrisico's.
Kunt u voor dezelfde overtreding een boete krijgen op basis van zowel NIS 2 als de AVG? En hoe worden de sancties bepaald?
Artikel 35(4) van NIS 2 en de AVG verankeren het principe van "geen dubbele vervolging" voor geldboetes voor dezelfde overtreding. De boete van de DPA blokkeert gelijktijdige NIS 2-boetes voor het incident, maar de NIS 2-autoriteit kan nog steeds niet-geldelijke maatregelen opleggen: waarschuwingen, verplichte herstelmaatregelen, schorsingen en uitgebreidere toekomstige audits. De boetes zijn afhankelijk van de classificatie van uw entiteit:
| Geheel | Maximale financiële boete | Juridische verwijzing |
|---|---|---|
| Essentiële | € 10 miljoen of 2% wereldwijde omzet | NIS 2 / AVG |
| belangrijk | € 7 miljoen of 1.4% wereldwijde omzet | NIS 2 / AVG |
- De boetes zijn hoger als incidenten niet worden gemeld, deadlines worden gemist of registraties onvolledig, te laat of handmatig zijn.
- Een systematische registratie en een snelle, grondige reactie zorgen er systematisch voor dat maximale sancties worden verminderd of voorkomen (Skillcast, 2025).
- Niet-monetaire maatregelen, zoals het eisen van nieuwe audits of het opschorten van certificeringen, zijn veelvoorkomende aanvullingen als er procestekortkomingen worden geconstateerd.
Het belangrijkste is niet alleen dat u de inbreuk herstelt, maar ook hoe snel, transparant en systematisch u uw proces aantoont in de ogen van beide autoriteiten.
Wat houdt een typisch ‘parallel onderzoek’ in na een schending van Artikel 35?
Moderne handhaving leidt bijna altijd tot zowel een technisch als een procedureel onderzoek: toezichthouders willen niet alleen inzicht in hoe de inbreuk is ontstaan, maar ook in hoe uw reactiesysteem in realtime heeft gefunctioneerd.
- Metaplatforms: kreeg een boete van € 91 miljoen nadat er een beveiligingsinbreuk ontstond door trage, gefragmenteerde meldingen en ontbrekende logs.
- TikTok: kreeg een boete van € 530 miljoen vanwege transferfouten en een gebrek aan systematische administratie.
- Vodafone Duitsland: (€ 45 miljoen) werd aangehaald vanwege het ontbreken van gedocumenteerde naleving van grensoverschrijdende processen en de slechte toewijzing van rollen voor respons op incidenten.
Live audit-examinator richt zich op
- Overzicht van elke overdracht: wie kreeg welke taak toegewezen en wanneer.
- Vraag naar onveranderlijke, aan rollen gekoppelde workflowrecords.
- Onderzoek van hulpmiddelen: spreadsheets en e-mailfragmenten nodigen keer op keer uit tot diepgaander onderzoek.
- Onderzoek van zowel de technische gegevensstroom als de procedureketen, waarbij ‘zachte’ hiaten werden verheven tot ernstige bevindingen.
In de huidige regelgeving is het eerste waar vraagtekens bij worden gezet de duidelijkheid en volledigheid van uw audit trail. Ontbrekende context of te late logs zijn direct een waarschuwingssignaal voor dubbele controle.
Welke kaders en hulpmiddelen zorgen ervoor dat u compliant en veerkrachtig blijft na Artikel 35?
- Incidentautomatisering: Maak gebruik van een speciaal systeem voor incident- en archiefbeheer dat roltoewijzingen, automatische meldingen, workflowescalatie en realtime logboeken omvat die direct zijn gekoppeld aan de ISO 27001/Bijlage A-maatregelen ((https://nl.isms.online/incident-management-platform)).
- Centralisatie: Sla alle gebeurtenis-, workflow- en beoordelingslogboeken op in een onveranderlijke, centrale locatie. Geen verspreide bestanden of e-mailsporen.
- Live mapping: Koppel elke wettelijke verplichting aan uw operationele draaiboeken en Statement of Applicability (SoA) voor traceerbaarheid.
- Routineoefeningen: Kwartaaloverzichten van de cycli van ‘inbreuk + melding’, waarbij controles en praktijken worden bijgewerkt op basis van echte resultaten (ENISA, 2024).
- Individuele opdracht: Benoem voor elke fase van het incident (detectie, rapportage, communicatie, afsluiting) de verantwoordelijke persoon, niet alleen de afdeling.
- Continue verbetering: Evaluaties na incidenten moeten rechtstreeks in uw SoA-updates stromen en risicobeoordelingen, wat bewijst dat je leert en je aanpast.
ISO 27001-brug: verwachting → operationalisering → auditreferentie
| Verwachting | Operationalisering | ISO 27001/Bijlage A referentie |
|---|---|---|
| 24/72 uur wettelijke meldingen | Workflowautomatisering, bijgehouden deadlines | A.5.31, A.5.24, A.5.35 |
| Rolspecifiek audittraject | Onveranderlijke logs, toegewezen personeel | A.5.27, A.8.13 |
| Betrokkenheid bij dubbele autoriteit | Bewijsspoor verbindt met SoA | A.5.31, A.5.35 |
| Lessen uit het verleden, controles verbeterd | Gedocumenteerde beoordeling, SoA/risicoregistratie | A.5.27, A.5.35 |
Ga verder door van uw ISMS de frontlinie te maken van zowel de technische verdediging als de procedurele veerkracht. Zo is elke melding, beoordeling en overdracht al in kaart gebracht voordat auditors erom vragen.
Identiteit CTA: Voor leidinggevenden, risicomanagers en ISMS-eigenaren draait echte naleving van Artikel 35 niet om slagen of zakken. Het is het kenmerk van een systeem waarin proces, bewijs en verantwoording nauw samenwerken, waardoor uw reputatie verdedigbaar is voordat er iets misgaat.
