Ernstig incident
Een incident dat een daadwerkelijk nadelig effect heeft op de beveiliging van de netwerk- en informatiesystemen van een fabrikant die worden gebruikt voor de ontwikkeling, productie of het onderhoud van een product met digitale elementen. De ontdekking van een dergelijk incident verplicht de fabrikant binnen 24 uur melding te doen bij het relevante CSIRT en ENISA.
Bronvermeldingen
Wettekst
Artikel 3(39) van Verordening (EU) 2024/2847 verwijst naar de definitie van «incident» in artikel 6(6) van Richtlijn (EU) 2022/2555 (NIS 2).
Meldingstermijnen (Art. 14(1))
| Termijn | Vereiste |
|---|---|
| 24 uur | Vroegtijdige waarschuwing aan CSIRT en ENISA |
| 72 uur | Incidentmelding met eerste beoordeling van ernst |
| 1 maand | Eindverslag met volledige analyse en herstelmaatregelen |
Onderscheid: ernstig incident vs. actief misbruikte kwetsbaarheid
| Type | Meldingssysteem |
|---|---|
| Ernstig incident | Art. 14(1) — CSIRT + ENISA + eventueel andere autoriteiten |
| Actief misbruikte kwetsbaarheid | Art. 13(6) — ENISA (kwetsbaarhedendatabank) |
Meldingskanalen
- De melding gaat naar het CSIRT van de lidstaat waar de fabrikant gevestigd is
- ENISA ontvangt meldingen rechtstreeks via de Europese kwetsbaarhedendatabank en het voorgestelde centrale meldsysteem (CVSS)