NIS2 en Bélgica

1. Instantánea rápida de aplicabilidad para PYMES en Bélgica

¿Se aplica NIS2 a las pymes en 1. Instantánea rápida de aplicabilidad para PYMES en Bélgica?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Se aplica a entidades establecidas en Bélgica y, en determinadas circunstancias, a proveedores digitales extranjeros que ofrezcan servicios en Bélgica.

Las PYMES deben evaluar tempranamente su calificación bajo el marco NIS2 de Bélgica para determinar su exposición de cumplimiento.

2. Panorama de la implementación de NIS2 en Bélgica

Bélgica traspuso la Directiva mediante la Ley de 26 de abril de 2024 que establece un marco para la seguridad de las redes y sistemas de información de interés general para la seguridad pública, sustituyendo y ampliando el régimen de ciberseguridad anterior.

La ley fue adoptada en 2024 y alinea el régimen nacional de ciberseguridad de Bélgica con la Directiva (UE) 2022/2555. Refuerza las obligaciones de gobernanza, amplía la cobertura sectorial e introduce mecanismos de supervisión actualizados.

La implementación de NIS2 en Bélgica sigue la estructura base de la Directiva para la clasificación de entidades, la gestión de riesgos y las sanciones. Ciertos aspectos procedimentales reflejan la arquitectura regulatoria establecida en Bélgica.

Según el estado actual de transposición, Bélgica sigue el marco base de la Directiva NIS2. Los detalles nacionales de implementación pueden afinar obligaciones específicas.

3. Ámbito de aplicación en Bélgica

Bélgica no amplía de forma material el alcance sectorial más allá de las categorías mínimas de la Directiva en esta etapa.

4. Umbrales de tamaño y aplicabilidad a PYMES en Bélgica

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios en los sectores cubiertos entran automáticamente en el ámbito de aplicación.

Las pequeñas y microempresas pueden ser incluidas si son designadas por las autoridades competentes en función de su importancia crítica, consideraciones de seguridad pública o relevancia sistémica.

Las autoridades belgas mantienen facultades de designación cuando esté justificado por el riesgo o el interés nacional.

5. Marco de clasificación de entidades en Bélgica

Las entidades se clasifican como:

• Entidades esenciales — Sujetas a supervisión proactiva, incluidas inspecciones y auditorías de cumplimiento.
• Entidades importantes — Sujetas principalmente a supervisión reactiva, activada por incidentes o indicios de incumplimiento.

La clasificación es automática en función del sector y el tamaño. Las autoridades pueden reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifiquen una supervisión reforzada.

El modelo de clasificación de Bélgica refleja la estructura de la Directiva sin desviación estructural.

6. Requisitos de gestión de riesgos de ciberseguridad en Bélgica

El régimen de Bélgica se alinea con la línea de base de la Directiva para las obligaciones de ciberseguridad. Las entidades dentro del ámbito deben implantar medidas apropiadas y proporcionadas que aborden:

• Análisis de riesgos y seguridad de los sistemas de información
• Detección y gestión de incidentes
• Continuidad de negocio y gestión de crisis
• Controles de riesgo de la cadena de suministro NIS2 en Bélgica
• Adquisición y desarrollo seguro de sistemas TIC
• Políticas de control de acceso y autenticación
• Estrategias de cifrado y criptografía
• Gestión y divulgación de vulnerabilidades
• Concienciación y formación en ciberseguridad para el personal

Las medidas de seguridad deben reflejar el estado de la técnica y la exposición al riesgo de la organización. Se fomenta la alineación con ISO/IEC 27001 y la guía de ciberseguridad reconocida en Bélgica.

La gestión del riesgo de la cadena de suministro incluye salvaguardias contractuales y la supervisión de proveedores TIC de terceros.

7. Responsabilidad de la dirección y gobernanza en Bélgica

Los órganos de dirección deben aprobar formalmente las medidas de gestión de riesgos de ciberseguridad y supervisar su implementación.

Bajo el marco de Bélgica:

• Los consejos de administración asumen la responsabilidad del cumplimiento.
• La alta dirección debe garantizar una pericia adecuada en ciberseguridad.
• Las autoridades pueden imponer medidas administrativas por fallos de gobernanza.
• La suspensión temporal de funciones directivas puede estar disponible bajo herramientas de ejecución alineadas con la Directiva.

Las normas de responsabilidad de la dirección bajo NIS2 en Bélgica elevan la ciberseguridad a una responsabilidad de cumplimiento a nivel de consejo.

8. Obligaciones de notificación de incidentes en Bélgica

9. Autoridades supervisoras y modelo de ejecución en Bélgica

Autoridad principal: Centre for Cybersecurity Belgium (CCB).

Bélgica opera un modelo de coordinación centralizada, con participación de reguladores sectoriales en las funciones de supervisión cuando corresponda.

Supervisory powers include:

• Requerimientos de información
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones de cumplimiento vinculantes
• Participación en mecanismos de cooperación de la UE

El modelo de ejecución de Bélgica se integra con los órganos de coordinación de ciberseguridad a nivel de la UE.

10. Multas y sanciones NIS2 en Bélgica

Bélgica aplica sanciones administrativas alineadas con la Directiva.

La ejecución de las multas de NIS2 en Bélgica también puede incluir:

• Órdenes de subsanación vinculantes
• Identificación pública de las entidades incumplidoras
• Suspensión de la certificación o la autorización
• Facultades de suspensión de funciones directivas

11. Seguridad de la cadena de suministro y de proveedores NIS2 en Bélgica

Las entidades deben gestionar el riesgo de ciberseguridad de terceros mediante:

• Procesos de diligencia debida de proveedores
• Cláusulas contractuales de seguridad
• Supervisión continua de proveedores TIC
• Análisis del riesgo de concentración
• Controles del riesgo de propagación de incidentes

El enfoque de Bélgica se alinea con la línea de base de la Directiva, con énfasis en una supervisión proporcionada de los proveedores de servicios externos.

12. Deberes de registro y autoidentificación en Bélgica

Entities within scope must:

• Registrarse ante las autoridades competentes
• Facilitar los datos de identificación corporativa
• Comunicar la clasificación sectorial
• Mantener la información de contacto actualizada

Los plazos y la mecánica procedimental se definen en el marco de implementación de Bélgica. Según el estado actual de transposición, Bélgica sigue el marco base de la Directiva NIS2. Los detalles nacionales de implementación pueden afinar obligaciones específicas.

La autoidentificación es obligatoria cuando las entidades cumplen los umbrales legales.

13. Interacción con el GDPR y otras leyes en Bélgica

El Reglamento General de Protección de Datos continúa aplicándose junto con NIS2.

Las consideraciones de solapamiento incluyen:

• Obligaciones de doble notificación de incidentes
• Coordinación entre autoridades supervisoras
• Notificaciones de brechas de datos personales en 72 horas
• Legislación sectorial belga de ciberseguridad

Los incidentes que afecten tanto a la resiliencia del sistema como a los datos personales pueden activar obligaciones de cumplimiento paralelas.

14. Aplicabilidad transfronteriza

Las entidades con su principal establecimiento en Bélgica quedan bajo la autoridad supervisora belga para la prestación de servicios transfronterizos.

Los proveedores digitales extranjeros que ofrezcan servicios en Bélgica pueden estar sujetos a obligaciones nacionales según el establecimiento y el modelo de servicio.

Los requisitos de representación siguen los estándares de la Directiva para proveedores no pertenecientes a la UE que atienden a los mercados belgas.

15. Calendario de implementación en Bélgica

• Adopción de la Directiva: 2022
• Adopción de la ley nacional: 2024
• Entrada en vigor: Tras la publicación nacional
• Notificación a la Comisión: En alineación con los procedimientos de la UE
• Hito de cumplimiento: Plazos alineados con la Directiva

El calendario legislativo de Bélgica se ajusta a la programación de transposición de la UE sin periodos transitorios extendidos anunciados públicamente.

16. Aspectos clave para PYMES en Bélgica

• Las entidades medianas en sectores cubiertos entran automáticamente en el ámbito de aplicación.
• Las entidades pequeñas pueden ser designadas en función del riesgo o la criticidad.
• La supervisión a nivel de consejo es obligatoria.
• La notificación de incidentes sigue la estructura de 24h / 72h / 1 mes.
• Las sanciones financieras pueden alcanzar €10 million o 2% del volumen de negocios global.
• La gestión del riesgo de proveedores es una obligación central.
• La planificación temprana del cumplimiento reduce la exposición a la ejecución.

FAQ: Guía NIS2 para PYMES en Bélgica