Cyberincident melden in België: bij wie en hoe

Bij wie moet je melden?

België heeft meerdere instanties die elk een andere rol spelen bij cyberincidenten. Dat maakt het onoverzichtelijk. Hier is het overzicht.

Instantie	Wanneer melden	Wat ze doen
CERT.be	Elk cyberincident dat je bedrijf treft	Technische analyse, advies, waarschuwen van andere slachtoffers
CCB (via notif.safeonweb.be)	Significante incidenten als NIS2-entiteit	Toezichthouder, coördineert respons, handhaaft NIS2
GBA	Datalek met persoonsgegevens (risico voor betrokkenen)	Privacy-toezichthouder, beoordeelt ernst en maatregelen
Lokale politie / FCCU	Strafbare feiten (hacking, fraude, afpersing)	Strafrechtelijk onderzoek, doorverwijzing naar FCCU
verdacht@safeonweb.be	Verdachte mails, sms’jes, links (zonder schade)	Automatische analyse, blokkering van frauduleuze sites

Bij een serieus incident meld je bij meerdere instanties tegelijk. Dat klinkt als dubbel werk, maar elke instantie heeft een ander doel: CERT.be helpt je technisch, de politie onderzoekt het misdrijf, de GBA bewaakt de privacy van betrokkenen.

Stap voor stap: de eerste 24 uur

Je ontdekt dat je bedrijf gehackt is, dat er ransomware op je systemen staat, of dat er ongeautoriseerde toegang is geweest. Wat doe je?

1. Beperk de schade. Isoleer getroffen systemen. Haal ze van het netwerk maar zet ze niet uit. Bewijs op een systeem dat is uitgeschakeld kan verloren gaan. Meer hierover in onze gids je bedrijf is gehackt: wat nu?
2. Meld bij CERT.be. Ga naar ccb.belgium.be/cert/report-incident en vul het meldformulier in. Je krijgt automatisch een bevestiging met een referentienummer. CERT.be kan je helpen met technische analyse en advies over inperking.
3. Informeer je IT-partner. Heb je een externe IT-leverancier of managed service provider? Bel ze. Zij kunnen helpen met het isoleren van systemen, het identificeren van de aanvalsvector en het herstellen van backups.
4. Doe aangifte bij de politie. Ga naar je lokale politiekantoor of bel de Federal Computer Crime Unit (FCCU) op 02 743 72 00. Neem alle relevante informatie mee: screenshots, e-mails, logbestanden, tijdstippen.
5. Check of er persoonsgegevens gelekt zijn. Als dat het geval is, meld dan ook bij de GBA (zie verderop). Bij twijfel: meld liever te veel dan te weinig.

NIS2-meldplicht: wat als je eronder valt?

Valt je organisatie onder de Belgische NIS2-wet? Dan geldt een wettelijke meldplicht voor significante incidenten. Het CCB is de bevoegde autoriteit en het meldproces verloopt in fasen.

Wat is een significant incident? Een incident dat de dienstverlening van je organisatie ernstig verstoort of kan verstoren, dat aanzienlijke financiële schade veroorzaakt, of dat andere personen of organisaties kan treffen door materiële of immateriële schade.

De meldtijdlijn:

1. Binnen 24 uur: vroegtijdige waarschuwing. Meld via notif.safeonweb.be dat er een incident is. Je hoeft op dit moment nog niet alles te weten. Vermeld of het incident vermoedelijk kwaadwillig is en of het grensoverschrijdende impact kan hebben. Het CCB benadrukt dat deze melding je niet mag afleiden van de incidentrespons zelf.
2. Binnen 72 uur: incidentmelding. Nu geef je een uitgebreidere beoordeling: aard van het incident, ernst, impact, en de maatregelen die je hebt genomen. Voor vertrouwensdiensten geldt een kortere termijn van 24 uur.
3. Op verzoek: tussentijds verslag. Het CCB of de sectorale toezichthouder kan om een tussentijdse update vragen.
4. Binnen één maand: eindverslag. Een gedetailleerd rapport met de oorzaak, de volledige impact, en de genomen herstelmaatregelen.

Datalek? Dan ook de GBA

Zijn er bij het cyberincident persoonsgegevens betrokken? Klantgegevens, personeelsdossiers, medische gegevens? Dan gelden de AVG-regels bovenop de cybersecurity-meldplicht.

De Gegevensbeschermingsautoriteit (GBA) verwacht een melding binnen 72 uur na ontdekking, tenzij het onwaarschijnlijk is dat het lek een risico vormt voor de betrokkenen. In de praktijk: als er persoonsgegevens toegankelijk waren voor onbevoegden, meld je het.

De melding gaat via het elektronisch formulier op de GBA-website. Je vermeldt de aard van de inbreuk, de categorieën persoonsgegevens, het geschatte aantal betrokkenen, en de maatregelen die je hebt genomen.

Zijn de risico’s voor de betrokkenen hoog? Denk aan financiële gegevens, inloggegevens of medische data. Dan moet je ook de betrokkenen zelf informeren. Wees eerlijk en concreet: wat is er gebeurd, wat heb je gedaan, en wat kunnen zij zelf doen (wachtwoord wijzigen, bankrekening controleren).

Aangifte bij de politie

Een cyberincident is vaak ook een misdrijf. Hacking, afpersing via ransomware, CEO-fraude: het zijn strafbare feiten onder Belgisch recht. Aangifte doen is belangrijk, ook als je denkt dat de dader niet gevonden zal worden. De politie registreert elk incident, en die data helpen bij het opsporen van patronen en netwerken.

Ga naar je lokale politiekantoor. Neem mee:

• Screenshots van het incident (ransomware-scherm, phishing-mail, verdachte transacties)
• Logbestanden als je die hebt
• Tijdstip van ontdekking en tijdstip van het vermoedelijke incident
• Het referentienummer van je CERT.be-melding

De lokale politie werkt samen met de regionale en federale Computer Crime Units (RCCU en FCCU). Bij complexe zaken wordt de FCCU ingeschakeld. Je kunt de FCCU ook rechtstreeks bereiken op 02 743 72 00.

Dit artikel is informatief en geen juridisch advies. De NIS2-wet en de meldprocedures evolueren. Raadpleeg het CCB of een gespecialiseerde jurist voor je specifieke situatie.