NIS2 en Bélgica

1. Instantánea rápida de aplicabilidad para PYMES en Bélgica

¿Se aplica NIS2 a las pymes en 1. Instantánea rápida de aplicabilidad para PYMES en Bélgica?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Se aplica a entidades establecidas en Bélgica y, en determinadas circunstancias, a proveedores digitales extranjeros que ofrezcan servicios en Bélgica.

Las PYMES deben evaluar tempranamente su calificación bajo el marco NIS2 de Bélgica para determinar su exposición de cumplimiento.

2. Panorama de la implementación de NIS2 en Bélgica

Bélgica traspuso la Directiva mediante la Ley de 26 de abril de 2024 que establece un marco para la seguridad de las redes y sistemas de información de interés general para la seguridad pública, sustituyendo y ampliando el régimen de ciberseguridad anterior.

La ley fue adoptada en 2024 y alinea el régimen nacional de ciberseguridad de Bélgica con la Directiva (UE) 2022/2555. Refuerza las obligaciones de gobernanza, amplía la cobertura sectorial e introduce mecanismos de supervisión actualizados.

La implementación de NIS2 en Bélgica sigue la estructura base de la Directiva para la clasificación de entidades, la gestión de riesgos y las sanciones. Ciertos aspectos procedimentales reflejan la arquitectura regulatoria establecida en Bélgica.

La implementación de Bélgica se encuentra entre las más avanzadas operativamente en la UE. El CCB ha publicado el marco CyberFundamentals (CyFun®) como la base de cumplimiento nacional, con plazos firmes para la autoevaluación y certificación ya en vigor. Las entidades en el ámbito de aplicación deben cumplir a través de la vía CyFun® o la certificación ISO 27001. El registro a través del portal Safeonweb@Work era obligatorio antes del 18 de marzo de 2025.

3. Ámbito de aplicación en Bélgica

Bélgica no amplía de forma material el alcance sectorial más allá de las categorías mínimas de la Directiva en esta etapa.

4. Umbrales de tamaño y aplicabilidad a PYMES en Bélgica

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios en los sectores cubiertos entran automáticamente en el ámbito de aplicación.

Las pequeñas y microempresas pueden ser incluidas si son designadas por las autoridades competentes en función de su importancia crítica, consideraciones de seguridad pública o relevancia sistémica.

Las autoridades belgas mantienen facultades de designación cuando esté justificado por el riesgo o el interés nacional.

5. Marco de clasificación de entidades en Bélgica

Las entidades se clasifican como:

• Entidades esenciales — Sujetas a supervisión proactiva, incluidas inspecciones y auditorías de cumplimiento.
• Entidades importantes — Sujetas principalmente a supervisión reactiva, activada por incidentes o indicios de incumplimiento.

La clasificación es automática en función del sector y el tamaño. Las autoridades pueden reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifiquen una supervisión reforzada.

El modelo de clasificación de Bélgica refleja la estructura de la Directiva sin desviación estructural.

6. Requisitos de gestión de riesgos de ciberseguridad en Bélgica

El régimen de Bélgica se alinea con la línea de base de la Directiva para las obligaciones de ciberseguridad. Las entidades dentro del ámbito deben implantar medidas apropiadas y proporcionadas que aborden:

• Análisis de riesgos y seguridad de los sistemas de información
• Detección y gestión de incidentes
• Continuidad de negocio y gestión de crisis
• Controles de riesgo de la cadena de suministro NIS2 en Bélgica
• Adquisición y desarrollo seguro de sistemas TIC
• Políticas de control de acceso y autenticación
• Estrategias de cifrado y criptografía
• Gestión y divulgación de vulnerabilidades
• Concienciación y formación en ciberseguridad para el personal

Las medidas de seguridad deben reflejar el estado de la técnica y la exposición al riesgo organizacional. Bélgica reconoce dos vías de cumplimiento: el marco CyberFundamentals (CyFun®) desarrollado por el CCB y la certificación ISO/IEC 27001. Ambos se consideran rutas equivalentes para demostrar el cumplimiento de las obligaciones de gestión de riesgos de NIS2. El marco CyFun® define cuatro niveles de garantía — Small, Basic, Important y Essential — y el nivel requerido se determina mediante la herramienta de selección del CCB según el sector, el tamaño y el impacto social.

La gestión del riesgo de la cadena de suministro incluye salvaguardias contractuales y la supervisión de proveedores de TIC de terceros. Se advierte a las entidades que las obligaciones de la cadena de suministro de NIS2 pueden extender los requisitos de CyFun® a proveedores directos y socios de servicios mediante obligaciones contractuales.

7. Responsabilidad de la dirección y gobernanza en Bélgica

Los órganos de dirección deben aprobar formalmente las medidas de gestión de riesgos de ciberseguridad y supervisar su implementación.

Bajo el marco de Bélgica:

• Los consejos de administración asumen la responsabilidad del cumplimiento.
• La alta dirección debe garantizar una pericia adecuada en ciberseguridad.
• Las autoridades pueden imponer medidas administrativas por fallos de gobernanza.
• La suspensión temporal de funciones directivas puede estar disponible bajo herramientas de ejecución alineadas con la Directiva.

Las normas de responsabilidad de la dirección bajo NIS2 en Bélgica elevan la ciberseguridad a una responsabilidad de cumplimiento a nivel de consejo.

8. Obligaciones de notificación de incidentes en Bélgica

9. Autoridades supervisoras y modelo de ejecución en Bélgica

Autoridad principal: Centre for Cybersecurity Belgium (CCB).

Bélgica opera un modelo de coordinación centralizada, con participación de reguladores sectoriales en las funciones de supervisión cuando corresponda.

Supervisory powers include:

• Requerimientos de información
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones de cumplimiento vinculantes
• Participación en mecanismos de cooperación de la UE

El modelo de ejecución de Bélgica se integra con los órganos de coordinación de ciberseguridad a nivel de la UE.

10. Multas y sanciones NIS2 en Bélgica

Bélgica aplica sanciones administrativas alineadas con la Directiva.

La ejecución de las multas de NIS2 en Bélgica también puede incluir:

• Órdenes de subsanación vinculantes
• Identificación pública de las entidades incumplidoras
• Suspensión de la certificación o la autorización
• Facultades de suspensión de funciones directivas

11. Seguridad de la cadena de suministro y de proveedores NIS2 en Bélgica

Las entidades deben gestionar el riesgo de ciberseguridad de terceros mediante:

• Procesos de diligencia debida de proveedores
• Cláusulas contractuales de seguridad
• Supervisión continua de proveedores TIC
• Análisis del riesgo de concentración
• Controles del riesgo de propagación de incidentes

El enfoque de Bélgica se alinea con la línea de base de la Directiva, con énfasis en una supervisión proporcionada de los proveedores de servicios externos.

12. Deberes de registro y autoidentificación en Bélgica

Las entidades en el ámbito de aplicación deben:

• Registrarse ante el CCB a través del portal Safeonweb@Work — el plazo fue el 18 de marzo de 2025 (ya vencido; las entidades aún no registradas ya están en infracción)

Las entidades deben presentar su autoevaluación CyFun® (nivel Basic o Important) o la política de seguridad de la información ISO 27001 y la Declaración de Aplicabilidad ante el CCB antes del 18 de abril de 2026. La certificación completa CyFun® de nivel Essential o la certificación ISO 27001 es obligatoria antes del 18 de abril de 2027.

La autoidentificación es obligatoria cuando las entidades cumplen los umbrales legales. El modelo de registro es en gran medida autoactivado — las entidades que cumplen los criterios de tamaño y sector deben registrarse sin esperar una designación formal de la autoridad.

13. Interacción con el GDPR y otras leyes en Bélgica

El Reglamento General de Protección de Datos continúa aplicándose junto con NIS2.

Las consideraciones de solapamiento incluyen:

• Obligaciones de doble notificación de incidentes
• Coordinación entre autoridades supervisoras
• Notificaciones de brechas de datos personales en 72 horas
• Legislación sectorial belga de ciberseguridad

Los incidentes que afecten tanto a la resiliencia del sistema como a los datos personales pueden activar obligaciones de cumplimiento paralelas.

14. Aplicabilidad transfronteriza

Las entidades con su principal establecimiento en Bélgica quedan bajo la autoridad supervisora belga para la prestación de servicios transfronterizos.

Los proveedores digitales extranjeros que ofrezcan servicios en Bélgica pueden estar sujetos a obligaciones nacionales según el establecimiento y el modelo de servicio.

Los requisitos de representación siguen los estándares de la Directiva para proveedores no pertenecientes a la UE que atienden a los mercados belgas.

15. Calendario de implementación en Bélgica

• Adopción de la Directiva: 2022
• Adopción de la ley nacional: 26 de abril de 2024 (Ley del 26 de abril de 2024 por la que se establece un marco para la ciberseguridad de las redes y sistemas de información de interés general para la seguridad pública)
• Entrada en vigor: 18 de octubre de 2024
• Notificación a la Comisión: Completada; Bélgica está plenamente notificada y no está sujeta a ningún dictamen motivado abierto de la Comisión
• Hito de cumplimiento: 18 de marzo de 2025: Plazo de registro de entidades (portal Safeonweb@Work); 18 de abril de 2026: Plazo para la autoevaluación CyFun® o la presentación del SoA ISO 27001; 18 de abril de 2027: Plazo para la certificación completa CyFun® o ISO 27001 de nivel Essential

Bélgica es uno de los Estados miembros de la UE más avanzados en la implementación de NIS2, con el registro completado, la aplicación en curso y hitos de cumplimiento concretos publicados hasta 2027.

16. Aspectos clave para PYMES en Bélgica

• Las entidades medianas en sectores cubiertos entran automáticamente en el ámbito de aplicación.
• Las entidades pequeñas pueden ser designadas en función del riesgo o la criticidad.
• La supervisión a nivel de consejo es obligatoria.
• La notificación de incidentes sigue la estructura de 24h / 72h / 1 mes.
• Las sanciones financieras pueden alcanzar €10 million o 2% del volumen de negocios global.
• La gestión del riesgo de proveedores es una obligación central.
• La planificación temprana del cumplimiento reduce la exposición a la ejecución.

FAQ: Guía NIS2 para PYMES en Bélgica