NIS2 in Belgien

1. Schnellüberblick zur KMU-Anwendbarkeit in Belgien

Gilt NIS2 für KMU in Belgien?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in Belgien ansässige Einrichtungen und unter bestimmten Umständen für ausländische digitale Anbieter, die in Belgien Dienste anbieten.

KMU sollten ihre Einstufung frühzeitig im Rahmen des belgischen NIS2-Systems prüfen, um das Compliance-Risiko zu bestimmen.

2. Überblick über die NIS2-Umsetzung in Belgien

Belgien hat die Richtlinie durch das Law of 26 April 2024 umgesetzt, das einen Rahmen für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit schafft und das frühere Cybersicherheitsregime ersetzt und erweitert.

Das Gesetz wurde 2024 verabschiedet und harmonisiert das nationale Cybersicherheitsregime Belgiens mit der Richtlinie (EU) 2022/2555. Es stärkt Governance-Pflichten, erweitert den Sektorumfang und führt aktualisierte Aufsichtsmechanismen ein.

Die NIS2-Umsetzung Belgiens folgt der Basisstruktur der Richtlinie für Einstufung, Risikomanagement und Sanktionen. Bestimmte Verfahrensaspekte spiegeln die etablierte belgische Regulierungsarchitektur wider.

Belgiens Umsetzung gehört zu den operativ fortschrittlichsten in der EU. Das CCB hat das CyberFundamentals (CyFun®)-Framework als nationale Compliance-Grundlage veröffentlicht, mit verbindlichen Fristen für Selbstbewertung und Zertifizierung, die bereits in Kraft sind. Betroffene Einrichtungen müssen entweder den CyFun®-Pfad oder die ISO 27001-Zertifizierung einhalten. Die Registrierung über das Safeonweb@Work-Portal war bis zum 18. März 2025 verpflichtend.

3. Anwendungsbereich in Belgien

Belgien erweitert den sektoralen Umfang derzeit nicht materiell über die Mindestkategorien der Richtlinie hinaus.

4. Größenkriterien und KMU-Anwendbarkeit in Belgien

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die in erfassten Sektoren beide Kriterien erfüllen, sind automatisch im Anwendungsbereich.

Kleine und Kleinstunternehmen können einbezogen werden, wenn sie von den zuständigen Behörden aufgrund kritischer Bedeutung, öffentlicher Sicherheitsüberlegungen oder systemischer Relevanz benannt werden.

Belgische Behörden behalten Benennungsbefugnisse, sofern dies durch Risiko oder nationales Interesse gerechtfertigt ist.

5. Einstufungsrahmen für Einrichtungen in Belgien

Einrichtungen werden eingestuft als:

• Wesentliche Einrichtungen — Unterliegen proaktiver Aufsicht, einschließlich Inspektionen und Compliance-Audits.
• Wichtige Einrichtungen — Unterliegen primär reaktiver Aufsicht, ausgelöst durch Vorfälle oder Hinweise auf Nichteinhaltung.

Die Einstufung erfolgt automatisch nach Sektor und Größe. Behörden können Einrichtungen neu einstufen, wenn operative Auswirkungen oder Risikolage eine intensivere Aufsicht rechtfertigen.

Das belgische Einstufungsmodell spiegelt die Struktur der Richtlinie ohne strukturelle Abweichungen wider.

6. Anforderungen an das Management von Cybersicherheitsrisiken in Belgien

Das belgische Regime orientiert sich an der Richtlinien-Basis für Cybersicherheitspflichten. Erfasste Einrichtungen müssen angemessene und verhältnismäßige Maßnahmen umsetzen, die Folgendes adressieren:

• Risikobeurteilung und Sicherheit von Informationssystemen
• Erkennung und Behandlung von Vorfällen
• Geschäftskontinuität und Krisenmanagement
• NIS2-Lieferketten-Risikokontrollen in Belgien
• Sichere Beschaffung und Entwicklung von IKT-Systemen
• Zugriffs- und Authentifizierungsrichtlinien
• Verschlüsselungs- und Kryptographie-Strategien
• Umgang mit Schwachstellen und Offenlegung
• Sensibilisierung und Schulung der Beschäftigten zur Cybersicherheit

Sicherheitsmaßnahmen müssen dem Stand der Technik und der organisatorischen Risikoexposition entsprechen. Belgien erkennt zwei Compliance-Pfade an: das vom CCB entwickelte CyberFundamentals (CyFun®)-Framework und die ISO/IEC 27001-Zertifizierung. Beide gelten als gleichwertige Wege zum Nachweis der Einhaltung der NIS2-Risikomanagementpflichten. Das CyFun®-Framework definiert vier Sicherheitsstufen — Small, Basic, Important und Essential — wobei die erforderliche Stufe durch das CCB-Auswahltool basierend auf Sektor, Größe und gesellschaftlicher Auswirkung bestimmt wird.

Das Lieferketten-Risikomanagement umfasst vertragliche Schutzmaßnahmen und die Überwachung von ICT-Drittanbietern. Einrichtungen wird empfohlen, dass NIS2-Lieferkettenverpflichtungen die CyFun®-Anforderungen durch vertragliche Verpflichtungen auf direkte Lieferanten und Dienstleistungspartner ausweiten können.

7. Managementhaftung und Governance in Belgien

Leitungsorgane müssen Maßnahmen zum Management von Cybersicherheitsrisiken formell genehmigen und deren Umsetzung überwachen.

Nach dem belgischen Rahmen:

• Gremien tragen die Verantwortung für die Compliance.
• Das obere Management muss angemessene Cybersicherheitskompetenz sicherstellen.
• Behörden können bei Governance-Versäumnissen Verwaltungsmittel anwenden.
• Die vorübergehende Suspendierung von Leitungsfunktionen kann unter richtlinienkonformen Durchsetzungsinstrumenten möglich sein.

Die NIS2-Standards zur Managementhaftung in Belgien heben Cybersicherheit zu einer Compliance-Verantwortung auf Vorstandsebene an.

8. Meldepflichten für Vorfälle in Belgien

9. Aufsichtsbehörden und Durchsetzungsmodell in Belgien

Zuständige Hauptbehörde: Centre for Cybersecurity Belgium (CCB).

Belgien betreibt ein zentrales Koordinationsmodell, in dem sektorspezifische Regulierer, wo anwendbar, Aufsichtsfunktionen beitragen.

Supervisory powers include:

• Auskunftsverlangen
• Sicherheitsaudits
• Vor-Ort-Inspektionen
• Verbindliche Compliance-Anordnungen
• Teilnahme an EU-Kooperationsmechanismen

Das belgische Durchsetzungsmodell ist in EU-weite Koordinierungsgremien der Cybersicherheit integriert.

10. NIS2-Bußgelder und Sanktionen in Belgien

Belgien wendet richtlinienkonforme Verwaltungssanktionen an.

Die Durchsetzung von NIS2-Bußgeldern in Belgien kann zudem Folgendes umfassen:

• Verbindliche Abhilfemaßnahmen
• Öffentliche Benennung nichtkonformer Einrichtungen
• Aussetzung von Zertifizierungen oder Genehmigungen
• Befugnisse zur Suspendierung von Leitungsfunktionen

11. NIS2-Lieferkette und Lieferantensicherheit in Belgien

Einrichtungen müssen Drittparteien-Cyberrisiken steuern durch:

• Lieferanten-Due-Diligence-Prozesse
• Vertragliche Sicherheitsklauseln
• Kontinuierliche Überwachung von IKT-Lieferanten
• Analyse von Klumpenrisiken
• Kontrollen zur Begrenzung der Vorfallausbreitung

Der Ansatz Belgiens entspricht der Richtlinien-Basis und betont eine verhältnismäßige Aufsicht über externe Dienstleister.

12. Registrierungs- und Selbstidentifikationspflichten in Belgien

Betroffene Einrichtungen müssen:

• Sich beim CCB über das Safeonweb@Work-Portal registrieren — Frist war der 18. März 2025 (bereits abgelaufen; noch nicht registrierte Einrichtungen verstoßen bereits gegen die Vorschriften)

Einrichtungen müssen ihre CyFun®-Selbstbewertung (Basic- oder Important-Stufe) oder die ISO 27001-Informationssicherheitsrichtlinie und Erklärung zur Anwendbarkeit bis zum 18. April 2026 beim CCB einreichen. Die vollständige CyFun®-Zertifizierung auf Essential-Stufe oder die ISO 27001-Zertifizierung ist bis zum 18. April 2027 erforderlich.

Die Selbstidentifizierung ist verpflichtend, wenn Einrichtungen die gesetzlichen Schwellenwerte erfüllen. Das Registrierungsmodell ist weitgehend selbstgesteuert — Einrichtungen, die die Größen- und Sektorkriterien erfüllen, müssen sich registrieren, ohne auf eine formelle behördliche Bestimmung zu warten.

13. Zusammenspiel mit GDPR und anderen Gesetzen in Belgien

Die Datenschutz-Grundverordnung gilt weiterhin neben NIS2.

Überschneidungen umfassen:

• Doppelte Meldepflichten für Vorfälle
• Koordination der Aufsichtsbehörden
• 72-Stunden-Meldungen bei Verletzungen personenbezogener Daten
• Sektorspezifische belgische Cybersicherheitsvorschriften

Vorfälle, die sowohl Systemresilienz als auch personenbezogene Daten betreffen, können parallele Compliance-Pflichten auslösen.

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Belgien unterliegen für grenzüberschreitende Dienste der belgischen Aufsicht.

Ausländische digitale Anbieter, die Leistungen nach Belgien erbringen, können je nach Niederlassung und Servicemodell nationalen Pflichten unterliegen.

Vertretungspflichten folgen den Richtlinienstandards für Nicht-EU-Anbieter, die belgische Märkte bedienen.

15. Umsetzungszeitplan in Belgien

• Annahme der Richtlinie: 2022
• Verabschiedung des nationalen Gesetzes: 26. April 2024 (Gesetz vom 26. April 2024 zur Schaffung eines Rahmens für die Cybersicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit)
• Inkrafttreten: 18. Oktober 2024
• Notifizierung an die Kommission: Abgeschlossen; Belgien ist vollständig notifiziert und unterliegt keiner offenen begründeten Stellungnahme der Kommission
• Compliance-Meilenstein: 18. März 2025: Frist für die Registrierung der Einrichtungen (Safeonweb@Work-Portal); 18. April 2026: Frist für die CyFun®-Selbstbewertung oder ISO 27001 SoA-Einreichung; 18. April 2027: Frist für die vollständige CyFun®- oder ISO 27001-Zertifizierung auf Essential-Stufe

Belgien ist einer der fortschrittlichsten EU-Mitgliedstaaten bei der NIS2-Umsetzung, mit abgeschlossener Registrierung, laufender Durchsetzung und konkreten Compliance-Meilensteinen, die bis 2027 veröffentlicht wurden.

16. Zentrale Erkenntnisse für KMU in Belgien

• Mittelgroße Einrichtungen in erfassten Sektoren sind automatisch im Anwendungsbereich.
• Kleine Einrichtungen können je nach Risiko oder Kritikalität benannt werden.
• Aufsicht auf Vorstandsebene ist verpflichtend.
• Vorfalldokumentation folgt der Struktur 24h / 72h / 1 Monat.
• Finanzielle Sanktionen können bis zu €10 million oder 2% des globalen Umsatzes erreichen.
• Risikomanagement für Lieferanten ist eine Kernpflicht.
• Frühe Compliance-Planung verringert das Durchsetzungsrisiko.

FAQ: NIS2 Belgien KMU-Leitfaden