Cybersecurity incidenten melden begint met weten wat er is gebeurd
Incident response onder nieuwe EU data- en cyberwetgeving vraagt niet om vijf losse checklists, maar om één evidence-based proces.
Een gezamenlijke publicatie van Lawrence Advocaten en Hunt & Hackett
Wanneer een cyberincident zich voordoet, heeft een organisatie wel andere dingen aan haar hoofd dan meldtermijnen. De eerste prioriteit ligt bij het begrijpen van wat er gebeurt, het beperken van de schade en het vervolgens herstellen van de bedrijfsvoering. Toch ontstaat al snel druk vanuit juristen, toezichthouders, klanten of externe adviseurs: moeten we melden, aan wie, en binnen welke termijn?
Die vraag is begrijpelijk, maar onder de nieuwe EU data- en cyberwetgeving is zij te smal. In de afgelopen jaren is het Europese regelgevingskader voor incident response fors uitgebreid. Naast de Algemene Verordening Gegevensbescherming ("AVG") kennen we nu de Network and Information Security 2-richtlijn (Richtlijn (EU) 2022/2555; "NIS2"), de Digital Operational Resilience Act (Verordening (EU) 2022/2554; "DORA"), de Artificial Intelligence Act (Verordening (EU) 2024/1689; "AI Act") en de Cyber Resilience Act (Verordening (EU) 2024/2847; "CRA"). Elk regime hanteert een eigen definitie van een meldplichtig incident, een eigen meldtermijn, een eigen toezichthouder en een eigen kring van geadresseerden. De simpele "72-uursvraag" gaat ervan uit dat duidelijk is welk regime van toepassing is. In de eerste uren van een incident is dat zelden zo.
Na het lezen weet je:
- Waarom één incident tegelijk kan vallen onder de AVG, NIS2, DORA, CRA en de AI Act, elk met een eigen meldtermijn en toezichthouder.
- Hoe technische feiten de juridische kwalificatie bepalen, en niet het interne label dat je aan het incident geeft.
- Waarom slechte logging niet alleen een technisch maar ook een juridisch probleem is: in 86% van de IR-onderzoeken van Hunt & Hackett in 2025 was de telemetrie onvolledig.
- Waarom een aanvalstijdlijn van negen dagen juridisch relevant wordt, en alleen zichtbaar is als het forensisch materiaal er is.
- Waarom zekerheid geen voorwaarde is voor melden, en wat toezichthouders in plaats daarvan verwachten.
Goede incident response begint bij de feiten
Organisaties die incident response goed hebben ingericht, beginnen niet bij de wet en de termijn. Zij beginnen bij de gebeurtenis. Wat is waargenomen, welke systemen zijn geraakt, welke data (waaronder mogelijk persoonsgegevens) zijn betrokken? Pas wanneer die feiten (of een verdedigbare voorlopige inschatting daarvan) op tafel liggen, kan een juridisch betrouwbare kwalificatie worden gemaakt. Daarmee wordt incident response een geïntegreerd technisch-juridisch proces. Het is niet langer "eerst de techniek, daarna legal", of andersom, maar twee sporen die naast elkaar lopen.
Beginnen bij de gebeurtenis zelf betekent ook: bij de fase van de gebeurtenis. Een ransomwareaanval waarbij versleuteling nog niet heeft plaatsgevonden, vraagt om andere prioriteiten dan een aanval waarbij systemen al zijn versleuteld en mogelijk data is geëxfiltreerd. In het eerste geval is de focus gericht op het voorkomen van encryptie: het isoleren van besmette systemen, het vergroten van zichtbaarheid en het buiten sluiten van de aanvaller. In het tweede geval verschuift de focus naar het achterhalen van de oorzaak (root cause), het in kaart brengen van de schade, herstel en de vraag welke data mogelijk buiten de organisatie is gebracht. Die verschillen in aanpak bepalen mede welke technische vragen met prioriteit moeten worden beantwoord en daarmee welke juridische kwalificaties op welk moment verdedigbaar zijn.
Eén gebeurtenis, meerdere juridische identiteiten
Wat technisch één gebeurtenis is, kan juridisch meerdere identiteiten hebben. Een ransomwareaanval bij een managed service provider (“MSP”) die data van klanten verwerkt, kan relevant zijn onder:
- AVG — als er persoonsgegevens zijn gelekt, vernietigd of onrechtmatig ingezien;
- NIS2 — als de MSP kwalificeert als essentiële of belangrijke entiteit;
- DORA — als een getroffen klant een financiële entiteit is;
- CRA — vanaf 11 september 2026, bij een actief uitgebuite kwetsbaarheid in een product met digitale elementen;
- AI Act — bij een ernstig incident met een hoog-risico-AI-systeem in de zin van artikel 3, punt 49
Welk regime van toepassing is, hangt af van de feiten. Niet van het label dat de organisatie intern aan het incident geeft. Een incident dat intern wordt gezien als "een storing", kan onder de AVG, NIS2, DORA of de CRA een geheel andere status hebben. Het is de reden waarom de eerste juridische stap niet bestaat uit het toewijzen van een termijn, maar uit het in kaart brengen van mogelijke regimes.
Vanuit technisch perspectief geldt hetzelfde. De respons verschilt per incidenttype:
- Ransomware vereist onmiddellijke isolatie van besmette systemen, brede en zo volledig mogelijke zichtbaarheid via monitoring, en een root cause analyse om de omvang te begrijpen en verdere schade te beperken.
- Spionage is doorgaans sluipend en langdurig, en vraagt om een voorzichtige respons die de aanvaller niet alarmeert.
- Business email compromise heeft een smalle maar potentieel grote directe financiële impact.
- Een datalek kan zowel zichtbaar als verborgen zijn.
- Een supply chain-aanval heeft een systematisch karakter, waarbij de vraag wie eigenaar is van het probleem complex ligt.
Die technische verschillen zijn niet los te zien van de juridische kwalificatie: de aard van het incident bepaalt mede welke feiten technisch moeten worden vastgesteld, en welke melddrempels worden geraakt.
Dat dit geen abstract probleem is, blijkt uit de data van Hunt & Hackett. Het Trend Report 2026 baseert zich op meer dan 54.000 security incidenten die in 2025 door het Security Operations Center (SOC) en Incident Response-team van Hunt & Hackett zijn onderzocht. Binnen de incident response onderzoeken specifiek was 71% van de incidenten financieel gemotiveerd, met ransomware (43%) en business email compromise (29%) als dominante typen. Wat Hunt & Hackett terugziet is dat identiteitsgerichte aanvallen (identity-based intrusion) daarbij zijn uitgegroeid tot een leidend aanvalspatroon. Volgens IBM-data van 2025 is dit goed voor circa 30% van wereldwijde inbraken. Daaronder zit een verschuiving die voor de juridische kwalificatie betekenisvol is: van perimeter naar identiteiten, van encryptie naar datadiefstal, en van papieren compliance naar aantoonbare weerbaarheid.[1] Diezelfde verschuiving werkt door in het meldlandschap: van één meldplicht naar meerdere toezichthouders die parallel en met eigen termijnen in beeld komen.
De vergeten eerste stap: regime-scan
In een goed ingericht incident response-playbook gaat aan iedere meldbeslissing een korte juridische horizon-scan vooraf. Niet om meteen vast te stellen welk regime van toepassing is (dat kan in de eerste uren vaak nog niet), maar om te voorkomen dat een relevant meldspoor te laat in beeld komt. De vraag is steeds: welke wetten zouden, gegeven wat we nu waarnemen, in beeld kunnen komen?
Een praktische regime-scan begint bij drie assen:
| Stap | Vraag | Mogelijk regime |
| 1. Data |
Zijn er persoonsgegevens geraakt? Zo ja, heeft dit een risico of hoog risico voor betrokkenen? |
AVG |
| 2. Dienstverlening |
Is er verstoring die anderen treft of de eigen bedrijfsvoering?
|
NIS2 voor essentiële of belangrijke entiteiten DORA voor financiële entiteiten |
| 3. Technologie |
Is er gereguleerde software of AI betrokken? |
CRA bij actief uitgebuite kwetsbaarheden in producten met digitale elementen AI-verordening bij ernstige incidenten door aanbieders van hoog-risico-AI-systemen in de zin van artikel 3, punt 49; termijnen variëren naar ernst, met versnelde melding bij de zwaarste incidenten. |
In de praktijk stuit de regime-scan bij de eerste stap al op een terugkerend probleem: organisaties weten vaak niet precies welke systemen en data zij in beheer hebben, welke bedrijfsprocessen daarvan afhankelijk zijn en of onder welk regime die vallen. Dat inzicht ontbreekt niet door onwil, maar omdat het nooit systematisch is opgebouwd. Het gevolg is dat de regime-scan in de eerste fase van een incident meer tijd kost dan nodig en dat relevante meldsporen te laat in beeld komen.
Elk regime heeft daarnaast zijn eigen toezichthouder. Autoriteiten wisselen op enkele punten informatie uit, maar dat ontslaat de juiste rechtspersoon binnen de groep niet van zijn eigen meldplicht. Eén melding bij één loket is niet automatisch genoeg. Wie aan het verkeerde loket meldt, of die melding niet doet omdat een ander regime in beeld leek, voldoet niet aan zijn verplichting onder het andere regime.
Forensische feiten bepalen de juridische kwalificatie
Een juridische kwalificatie kan pas met enige zekerheid worden gemaakt als voldoende technische feiten beschikbaar zijn. Forensisch onderzoek levert daarvoor een aantal kerninzichten:
- Een tijdlijn van detectie, toegang en eventuele verdere verspreiding door het netwerk (lateral movement);
- Een scope van geraakte systemen, accounts en datacategorieën;
- Een onderbouwde inschatting van wat is ingezien, gekopieerd, versleuteld of geëxfiltreerd;
- Een kennisstatus die expliciet maakt wat is vastgesteld, wat aannemelijk is en wat nog open staat.
Hoe dit er in de praktijk uitziet, laat zich illustreren aan de hand van wat Hunt & Hackett doorgaans ziet bij ransomware-incidenten. Isolatie van betrokken systemen en accounts vindt idealiter zo snel mogelijk plaats en in ieder geval binnen één tot drie uur na detectie. De eerste scope-inschatting en initiële root cause analyse lopen gedurende ten minste de eerste vierentwintig uur. Een volledige root cause analyse vraagt doorgaans twee tot acht dagen voor de eerste tachtig procent van de bevindingen; de resterende twintig procent kan tot vijfentwintig dagen vergen. Die technische tijdlijnen lopen daarmee dwars door de juridische meldtermijnen heen: een NIS2-vroege waarschuwing moet binnen vierentwintig uur, een incidentmelding binnen tweeënzeventig uur, terwijl het forensisch onderzoek dan nog volop loopt. Dat is geen frictie die weggeorganiseerd kan worden. Het is juist de reden waarom werken met evidence-based voorlopige kwalificaties geen noodgreep is, maar de standaard werkwijze. Die feiten bepalen vervolgens de juridische kwalificatie. Is er sprake van een inbreuk op persoonsgegevens, een significant incident bij een essentiële of belangrijke entiteit, een ernstig ICT-incident, een ernstig incident met een hoog-risico-AI-systeem, of een actief uitgebuite kwetsbaarheid in een product met digitale elementen? Meerdere kwalificaties tegelijk zijn eerder regel dan uitzondering. In alle gevallen wil de toezichthouder bij een melding niet alleen een conclusie, maar een feitelijk onderbouwde basis. Een melding zonder technisch fundament is kwetsbaar: zij roept vragen op, maakt opvolging moeilijker en kan achteraf onder druk komen te staan. Een uitblijvende melding zonder gedocumenteerd onderbouwde reden om niet te melden is even kwetsbaar. Forensische werkzaamheden zijn vanaf het begin input voor de juridische kwalificatie. Tegelijkertijd zijn juridische triggers vanaf het begin input voor de forensische scope: welke vragen moeten met prioriteit worden beantwoord, welke logbronnen moeten worden veiliggesteld, welke tijdlijn-precisie is nodig om termijnen te kunnen verantwoorden? De vragen die de juridische teams stellen (was er ongeautoriseerde toegang, was er exfiltratie, was er lateral movement, wanneer begon het incident, wanneer was er voldoende kennisneming, wat is de scope) zijn dezelfde vragen die de forensische teams stellen, maar met een ander einddoel. Goede incident response stemt die twee gespreksniveaus op elkaar af.
Hoe zwaar dat afstemmingsprobleem in de praktijk weegt, blijkt opnieuw uit de cijfers van Hunt & Hackett. In 86% van hun incident response-onderzoeken in 2025 werd detectie en onderzoek bemoeilijkt door onvolledige telemetrie (ontbrekende auditlogs, te beperkte logretentie, of systemen die buiten de monitoringscope vielen). Een concreet voorbeeld hiervan is een incident waarbij Hunt & Hackett werd ingeschakeld na een ransomwareaanval bij een bedrijf. De aanvaller claimde data te hebben gestolen. Forensisch onderzoek vond geen directe sporen van exfiltratie maar het ontbreken van netwerkdata maakte een definitieve conclusie onmogelijk. Het advies luidde: ga uit van mogelijk dataverlies, monitor op publicatie van de data, en voer de vereiste juridische en toezichtsmeldingen uit. Niet omdat exfiltratie was bewezen, maar omdat het forensisch bewijs ontbrak om het uit te sluiten. Dat is precies de situatie waarin een melding niet kan wachten op zekerheid en waarin de kwaliteit van de logging bepaalt hoe verdedigbaar de meldingsbeslissing achteraf is. Dat raakt direct aan de juridische positie van de organisatie. Wie niet kan reconstrueren wat is gebeurd, kan ook niet onderbouwen waarom een melding wel of niet is gedaan, of waarom een eerdere kwalificatie achteraf is bijgesteld. Het bewijsdossier waarop de melding rust, is vervat in dezelfde logbronnen die ook de forensische analyse moeten dragen.
Waar forensisch onderzoek en juridisch werk elkaar treffen
De samenwerking tussen forensisch onderzoek en juridische bijstand krijgt zijn scherpste vorm op het meldmoment zelf. Het forensische team reconstrueert wat er is gebeurd, bewaakt de technische betrouwbaarheid van het feitenbeeld en vertaalt nieuwe bevindingen naar mogelijke gevolgen voor scope, impact en eerdere aannames. Het juridische team vertaalt dat feitenbeeld naar concrete meldplichten, voert het contact met de toezichthouder, kiest de juiste grondslag en autoriteit, en bewaakt de cadans van vroege waarschuwing, incidentmelding, tussentijds verslag en eindverslag, zonder dat de communicatie te stellig of juist te vaag wordt. Geen van beide rollen kan de andere op het meldmoment vervangen, en geen van beide kan zonder de andere onder tijdsdruk een houdbare positie tegenover de toezichthouder bouwen.
Ervaring weegt hier zwaar. Teams die vaker incidenten onder toezichtdruk hebben begeleid, weten welke vragen doorgaans vroeg opkomen: wat is zeker, wat is aannemelijk, wat is nog onbekend, welke maatregelen zijn genomen en wanneer volgt aanvullende informatie? Die ervaring voorkomt dat een eerste melding te stellig, te vaag of technisch onvoldoende onderbouwd wordt. Aan forensische kant geldt hetzelfde. De kwaliteit van incident response wordt vaak zichtbaar op het moment dat nog niet alle feiten bekend zijn. Dan moeten keuzes worden gemaakt over containment, bewijsveiligstelling, onderzoeksprioriteiten en communicatie, terwijl het onderzoek nog loopt. Ervaring helpt om die keuzes proportioneel te maken en tegelijkertijd ruimte te houden voor nieuwe inzichten wanneer het feitenbeeld zich verder ontwikkelt.
Het oerwoud van termijnen
De wet verlangt snelheid. Maar de moeilijkste vraag is vaak niet welke termijn geldt, maar wanneer die termijn begint te lopen. De AVG kijkt naar het moment van kennisneming van de inbreuk. NIS2 werkt met kennisneming van het significante incident. DORA koppelt de eerste kennisgeving aan classificatie als major en aan het moment waarop de entiteit zich van het incident bewust werd. De AI-verordening kijkt naar het vaststellen van een causaal verband, of van de redelijke waarschijnlijkheid daarvan, tussen het AI-systeem en het ernstig gevolg.
Juist daarom is een nauwkeurige incident timeline geen technisch detail, maar juridische kerninformatie.
|
Regime |
Vroege waarschuwing |
Incidentmelding |
(Eind)rapport |
Bijzonderheden |
|
AVG |
|
Binnen 72 uur na kennisneming |
|
|
|
NIS2 |
Binnen 24 uur |
Binnen 72 uur, incl. eerste beoordeling |
Binnen 1 maand, inclusief root cause analyse; indien incident nog loopt dan tussentijds rapport, daarna eindrapport |
Bij vertrouwensdienstverleners: verscherpte meldplicht, waaronder incidentmelding al binnen 24 uur |
|
DORA |
Binnen 4 uur na classificatie als major ICT gerelateerd incident |
Binnen 24 uur na bewustwording/ detectie |
Tussentijds: binnen 72 uur na eerste melding; eindrapport inclusief root cause analyse 1 maand na incidentmelding |
|
|
CRA (v.a. sep. 2026) |
Binnen 24 uur na kennis van actief uitgebuite kwetsbaarheid |
|
|
|
|
AI-verordening |
|
Eigen meldspoor; kortere termijnen in meest ernstige gevallen |
|
|
Hoe die precisie met tijdlijnen in de praktijk werkt, laat zich illustreren aan de hand van twee incidenten die Hunt & Hackett begeleidde. In het eerste geval werd een Nederlandse organisatie geïnformeerd over een inbraak waarbij de aanvaller al het hoogste privilege-niveau had bereikt en actief bezig was met verdere verspreiding door het netwerk. Het moment van detectie was daarmee niet het moment van initiële toegang en dat verschil is juridisch relevant: wanneer begon het incident, wanneer was er sprake van “voldoende” kennisneming, en vanaf welk moment liep de meldtermijn? In het tweede geval reconstrueerde forensisch onderzoek een aanvalstijdlijn van negen dagen tussen initiële toegang en ransomware-uitrol: negen dagen waarin de aanvaller actief was, en waarvan het bestaan alleen zichtbaar werd dankzij beschikbaar forensisch materiaal. Wie niet kan documenteren wanneer bewustwording, detectie, classificatie of het vaststellen van een oorzakelijk verband heeft plaatsgevonden, kan ook niet onderbouwen waarom een melding op tijd of niet op tijd is gedaan. Tegelijkertijd is het feitenbeeld in de meeste gevallen verre van volledig. Logs zijn niet allemaal binnen, EDR-data wordt nog gecorreleerd, IAM-events worden nog gereconstrueerd, exfiltratiehypothesen worden nog getoetst. Daar zit de kernspanning van moderne incident response. Wie niet forensisch kan vaststellen wat er is gebeurd, kan juridisch niet betrouwbaar bepalen wat er moet worden gemeld. Maar wie te lang wacht op volledige zekerheid, kan te laat zijn.
De oplossing is niet wachten op zekerheid. Een voorlopige melding kan onder verschillende regimes nadrukkelijk verplicht zijn voordat het forensisch onderzoek is afgerond. De oplossing is dan ook werken met evidence-based voorlopige kwalificaties. Een organisatie moet, ook bij een eerste melding, kunnen uitleggen: dit wisten wij op dat moment, dit wisten wij nog niet, dit waren onze aannames, dit waren de open onderzoeksvragen, en daarom hebben wij op deze manier wel of niet gemeld. Vervolgmeldingen en tussentijdse verslagen zijn juist bedoeld om een voorlopig feitenbeeld aan te vullen en, waar nodig, eerdere kwalificaties bij te stellen.
De toets achteraf zal niet zijn of de organisatie in het eerste uur alles wist, maar of zij op basis van de toen beschikbare informatie een verdedigbare route heeft gekozen en die route zorgvuldig heeft bijgewerkt toen nieuwe feiten bekend werden. Dat is een lagere lat dan perfectie, en tegelijkertijd een hogere lat dan het simpelweg halen van een termijn.
Van vijf checklists naar één geïntegreerd proces
Het model dat hieruit volgt is eenvoudig in opzet maar veeleisend in uitvoering:
Bij de eerste stap stelt het securityteam vast wat is waargenomen. Bij de tweede stap brengt legal of compliance in kaart welke wetgeving gegeven die waarneming relevant zou kunnen zijn. Bij de derde stap leveren de forensische experts een eerste feitenbeeld, met expliciete markering van wat is vastgesteld, wat aannemelijk is en wat nog open staat. Bij de vierde stap maakt legal de juridische kwalificatie en bepaalt welke meldplichten worden getriggerd. Bij de vijfde stap volgt de melding aan de juiste autoriteit, in de juiste vorm, binnen de juiste termijn. Bij de zesde stap wordt het bewijsdossier opgebouwd waarmee de besluitvorming achteraf kan worden gereconstrueerd en, waar nodig, verdedigd.
Dit is geen lineair proces. Stappen drie tot en met zes lopen voortdurend door elkaar. Nieuwe forensische feiten leiden tot bijgewerkte juridische kwalificaties, die op hun beurt nieuwe meldverplichtingen kunnen triggeren of bestaande meldingen actualiseren. Daarom is een gemeenschappelijke incidenttaal tussen security- en legal-teams zo belangrijk: forensische bevindingen moeten worden verwoord op een manier die juridisch interpreteerbaar is, juridische triggers moeten worden vertaald naar concrete onderzoeksvragen. Wie de twee niveaus gescheiden houdt, raakt onder tijdsdruk uit de pas.
Vanuit incident response perspectief lopen forensisch onderzoek en rapportage aan toezichthouders in deze procesflow altijd parallel. Initiële root cause analyse, forensisch onderzoek en eerste rapportage vinden gelijktijdig plaats, niet na elkaar. En ook na de acute fase blijft het bewijsdossier actief: toezichtsrapportage en juridische review zijn geen afsluiting van het incident, maar een doorlopend spoor dat zijn grondslag vindt in dezelfde forensische bevindingen die ook het herstel sturen.
Tot besluit: melden begint met weten wat er is gebeurd
Onder de nieuwe EU data- en cyberwetgeving is incident response geen administratieve handeling waarbij eerst de techniek werkt en daarna legal een melding schrijft, of andersom. Het is een geïntegreerd proces waarin forensisch onderzoek en juridische kwalificatie vanaf de start naast elkaar lopen, met dezelfde gebeurtenis als gemeenschappelijk vertrekpunt en hetzelfde bewijsdossier als gemeenschappelijke uitkomst. Melden begint daarmee niet bij een termijn. Het begint bij een verdedigbare analyse van de feiten die op dat moment beschikbaar zijn. Iedere melding moet kunnen worden teruggeleid naar zo'n analyse. Iedere niet-gedane melding ook.
De vraag voor organisaties die hun incident response willen toetsen is dan ook niet of hun playbook de juiste termijnen bevat. De vraag is of het playbook ook regime-mapping, bewijsvereisten (evidence-requirements), gedefinieerde besluitvormingsmomenten, escalatielijnen en dossieropbouw omvat en of de randvoorwaarden daarvoor aanwezig zijn: logging en retentie op orde, rollen gedefinieerd, en directe toegang tot forensische en juridische expertise beschikbaar op het moment dat een incident zich voordoet. Dat is wat het verschil maakt tussen een organisatie die onder tijdsdruk een verdedigbare route kan kiezen, en een organisatie die in de eerste uren al achterloopt. Dat geldt ook voor de manier waarop organisaties hun SOC- of MDR-capaciteit beoordelen. Die capaciteit moet niet alleen worden afgemeten aan detectie en responstijd, maar ook aan de mate waarin zij onder tijdsdruk een juridisch bruikbaar feitenbeeld, een expliciete kennisstatus en een verdedigbaar bewijsdossier kan ondersteunen.
Wij noemen die bredere aanpak evidence-based resilience: weerbaarheid die niet alleen op papier bestaat, maar in iedere fase van een incident herleidbaar is naar feiten, beslismomenten en bronnen. Het doel is niet alleen om aan meldplichten te voldoen, en ook niet alleen om systemen te herstellen. Het doel is om beslissingen onder tijdsdruk steeds te kunnen baseren op een verdedigbaar feitenbeeld. Pas in de combinatie van forensische diepgang en juridische precisie ontstaat een meldproces dat onder druk doet wat het moet doen. De echte test volgt wanneer het feitenbeeld nog onvolledig is, de meldtermijnen lopen en belangrijke beslissingen niet kunnen wachten. Met onderstaande zelfevaluatie toets je in zes stappen of uw incident response proces daarop is ingericht.