NIS2 in Belgio
Guida all'implementazione e alla conformità NIS2 in Belgio.
Il Belgio ha attuato la Direttiva NIS2 tramite una normativa nazionale di cybersicurezza aggiornata, rafforzando gli obblighi per le entità operanti nei settori critici e importanti. Questa guida fornisce una panoramica strutturata di ambito, governance, segnalazione, applicazione e aspettative di conformità nell'ambito del quadro nazionale belga, su misura per i decisori delle PMI che devono affrontare i requisiti di conformità NIS2 in Belgio.
1. Rapida panoramica di applicabilità per le PMI in Belgio
NIS2 si applica alle PMI in Belgio?
Sì — a seconda del settore e delle dimensioni.
- Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
- Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
- Si applica alle entità stabilite in Belgio e, in determinate circostanze, ai fornitori digitali stranieri che offrono servizi in Belgio.
Le PMI dovrebbero valutare precocemente la qualificazione nell'ambito del quadro NIS2 del Belgio per determinare l'esposizione alla conformità.
2. Panoramica dell'attuazione della NIS2 in Belgio
Il Belgio ha trasposto la Direttiva tramite la Law of 26 April 2024 che istituisce un quadro per la sicurezza dei sistemi di rete e informazione di interesse generale per la sicurezza pubblica, sostituendo ed espandendo il precedente regime di cybersicurezza.
La legge è stata adottata nel 2024 e allinea il regime nazionale di cybersicurezza del Belgio alla Direttiva (UE) 2022/2555. Rafforza gli obblighi di governance, amplia la copertura settoriale e introduce meccanismi di vigilanza aggiornati.
L'attuazione della NIS2 da parte del Belgio segue la struttura di base della Direttiva per la classificazione delle entità, la gestione del rischio e le sanzioni. Alcuni aspetti procedurali riflettono l'architettura regolamentare consolidata del Belgio.
L'implementazione del Belgio è tra le più avanzate operativamente nell'UE. Il CCB ha pubblicato il framework CyberFundamentals (CyFun®) come base di conformità nazionale, con scadenze rigide per l'autovalutazione e la certificazione già in vigore. Le entità interessate devono conformarsi tramite il percorso CyFun® o la certificazione ISO 27001. La registrazione tramite il portale Safeonweb@Work era obbligatoria entro il 18 marzo 2025.
3. Campo di applicazione in Belgio
Entità essenziali
Entità operanti in settori altamente critici:
Entità importanti
Entità operanti negli altri settori elencati:
Il Belgio non amplia in modo sostanziale l'ambito settoriale oltre le categorie minime della Direttiva in questa fase.
4. Soglie dimensionali e applicabilità alle PMI in Belgio
Si applicano le soglie di base:
- ≥50 dipendenti, e
- ≥€10 million fatturato annuo o totale di bilancio.
Le entità che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito di applicazione.
Le imprese piccole e micro possono essere incluse se designate dalle autorità competenti in base a importanza critica, considerazioni di sicurezza pubblica o rilevanza sistemica.
Le autorità belghe mantengono poteri di designazione quando giustificato dal rischio o dall'interesse nazionale.
5. Quadro di classificazione delle entità in Belgio
Le entità sono classificate come:
- Entità essenziali — Soggette a vigilanza proattiva, incluse ispezioni e audit di conformità.
- Entità importanti — Soggette principalmente a vigilanza reattiva, attivata da incidenti o evidenze di non conformità.
La classificazione è automatica in base al settore e alle dimensioni. Le autorità possono riclassificare le entità quando l'impatto operativo o l'esposizione al rischio giustificano una vigilanza rafforzata.
Il modello di classificazione del Belgio rispecchia la struttura della Direttiva senza deviazioni strutturali.
6. Requisiti di gestione del rischio di cybersicurezza in Belgio
Il regime del Belgio è allineato alla base della Direttiva per gli obblighi di cybersicurezza. Le entità nell'ambito devono implementare misure appropriate e proporzionate che affrontino:
- Analisi del rischio e sicurezza dei sistemi informativi
- Rilevamento e gestione degli incidenti
- Continuità operativa e gestione delle crisi
- Controlli del rischio della catena di fornitura NIS2 in Belgio
- Acquisizione e sviluppo sicuri dei sistemi ICT
- Politiche di controllo degli accessi e autenticazione
- Strategie di cifratura e crittografia
- Gestione e divulgazione delle vulnerabilità
- Consapevolezza e formazione in cybersicurezza del personale
Le misure di sicurezza devono riflettere lo stato dell'arte e l'esposizione al rischio organizzativo. Il Belgio riconosce due percorsi di conformità: il framework CyberFundamentals (CyFun®) sviluppato dal CCB e la certificazione ISO/IEC 27001. Entrambi sono considerati percorsi equivalenti per dimostrare la conformità agli obblighi di gestione del rischio NIS2. Il framework CyFun® definisce quattro livelli di garanzia — Small, Basic, Important ed Essential — con il livello richiesto determinato dallo strumento di selezione del CCB in base al settore, alle dimensioni e all'impatto sociale.
La gestione del rischio della catena di fornitura include salvaguardie contrattuali e il monitoraggio dei fornitori ICT di terze parti. Si avvisano le entità che gli obblighi della catena di fornitura NIS2 possono estendere i requisiti CyFun® ai fornitori diretti e ai partner di servizio attraverso obblighi contrattuali.
7. Responsabilità del management e governance in Belgio
Gli organi di gestione devono approvare formalmente le misure di gestione del rischio di cybersicurezza e sovrintenderne l'attuazione.
Nel quadro del Belgio:
- I consigli di amministrazione sono responsabili della conformità.
- Il senior management deve assicurare un'adeguata competenza in cybersicurezza.
- Le autorità possono imporre misure amministrative per carenze di governance.
- La sospensione temporanea delle funzioni manageriali può essere disponibile nell'ambito degli strumenti di applicazione allineati alla Direttiva.
Gli standard di responsabilità del management NIS2 in Belgio elevano la cybersicurezza a una responsabilità di conformità a livello di consiglio.
8. Obblighi di segnalazione degli incidenti in Belgio
Definizione di un incidente significativo
Un incidente si qualifica come significativo quando comporta:
- Grave interruzione operativa
- Perdita finanziaria significativa
- Impatto sociale sostanziale
- Effetti transfrontalieri
Tempistiche di segnalazione
| Fase di segnalazione | Scadenza | Autorità |
|---|---|---|
| Preallerta | 24 ore | Centre for Cybersecurity Belgium (CCB) |
| Notifica dell'incidente | 72 ore | Centre for Cybersecurity Belgium (CCB) |
| Relazione finale | 1 mese | Centre for Cybersecurity Belgium (CCB) |
Il Belgio segue la struttura della Direttiva per le scadenze di segnalazione NIS2. I regolatori settoriali possono coordinarsi con il CCB ove pertinente.
9. Autorità di vigilanza e modello di applicazione in Belgio
Autorità principale: Centre for Cybersecurity Belgium (CCB).
Il Belgio opera con un modello di coordinamento centralizzato, con i regolatori settoriali che contribuiscono alle funzioni di vigilanza ove applicabile.
Supervisory powers include:
- Richieste di informazioni
- Audit di sicurezza
- Ispezioni in loco
- Istruzioni vincolanti di conformità
- Partecipazione ai meccanismi di cooperazione dell'UE
Il modello di applicazione del Belgio si integra con gli organismi di coordinamento della cybersicurezza a livello UE.
10. Sanzioni e ammende NIS2 in Belgio
Il Belgio applica sanzioni amministrative allineate alla Direttiva.
Entità essenziali
Fino a €10 million o 2% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)
Entità importanti
Fino a €7 million o 1.4% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)
L'applicazione delle ammende NIS2 in Belgio può includere anche:
- Ordini vincolanti di adozione di misure correttive
- Identificazione pubblica delle entità non conformi
- Sospensione di certificazioni o autorizzazioni
- Poteri di sospensione dei dirigenti
11. Sicurezza della catena di fornitura e dei fornitori NIS2 in Belgio
Le entità devono gestire il rischio di cybersicurezza dei terzi attraverso:
- Processi di due diligence sui fornitori
- Clausole contrattuali di sicurezza
- Monitoraggio continuo dei fornitori ICT
- Analisi del rischio di concentrazione
- Controlli sul rischio di propagazione degli incidenti
L'approccio del Belgio è allineato alla base della Direttiva, enfatizzando una vigilanza proporzionata sui fornitori di servizi esterni.
12. Obblighi di registrazione e autoidentificazione in Belgio
Le entità interessate devono:
- Registrarsi presso il CCB tramite il portale Safeonweb@Work — il termine era il 18 marzo 2025 (già scaduto; le entità non ancora registrate sono già in violazione)
Le entità devono presentare la propria autovalutazione CyFun® (livello Basic o Important) o la politica di sicurezza delle informazioni ISO 27001 e la Dichiarazione di Applicabilità al CCB entro il 18 aprile 2026. La certificazione completa CyFun® di livello Essential o la certificazione ISO 27001 è richiesta entro il 18 aprile 2027.
L'autoidentificazione è obbligatoria quando le entità soddisfano le soglie legali. Il modello di registrazione è in gran parte autoattivato — le entità che soddisfano i criteri di dimensione e settore devono registrarsi senza attendere una designazione formale dell'autorità.
13. Interazione con il GDPR e altre leggi in Belgio
Il Regolamento generale sulla protezione dei dati continua ad applicarsi insieme alla NIS2.
Le considerazioni di sovrapposizione includono:
- Doppi obblighi di segnalazione degli incidenti
- Coordinamento tra autorità di vigilanza
- Notifiche di violazione dei dati personali entro 72 ore
- Legislazione belga specifica in materia di cybersicurezza di settore
Gli incidenti che incidono sia sulla resilienza dei sistemi sia sui dati personali possono attivare obblighi di conformità paralleli.
14. Applicabilità transfrontaliera
Le entità con la propria stabilimento principale in Belgio rientrano nella vigilanza belga per i servizi transfrontalieri.
I fornitori digitali stranieri che offrono servizi in Belgio possono essere soggetti a obblighi nazionali a seconda dello stabilimento e del modello di servizio.
I requisiti di rappresentanza seguono gli standard della Direttiva per i fornitori non UE che servono i mercati belgi.
15. Cronologia di attuazione in Belgio
- Adozione della Direttiva: 2022
- Adozione della legge nazionale: 26 aprile 2024 (Legge del 26 aprile 2024 che istituisce un quadro per la sicurezza informatica delle reti e dei sistemi informativi di interesse generale per la sicurezza pubblica)
- Entrata in vigore: 18 ottobre 2024
- Notifica alla Commissione: Completata; il Belgio è pienamente notificato e non è soggetto ad alcun parere motivato aperto della Commissione
- Traguardo di conformità: 18 marzo 2025: Termine per la registrazione delle entità (portale Safeonweb@Work); 18 aprile 2026: Termine per l'autovalutazione CyFun® o la presentazione del SoA ISO 27001; 18 aprile 2027: Termine per la certificazione completa CyFun® o ISO 27001 di livello Essential
Il Belgio è uno degli Stati membri dell'UE più avanzati nell'implementazione di NIS2, con la registrazione completata, l'applicazione in corso e traguardi di conformità concreti pubblicati fino al 2027.
16. Punti chiave per le PMI in Belgio
- Le entità di medie dimensioni nei settori coperti rientrano automaticamente nell'ambito.
- Le piccole entità possono essere designate in base al rischio o alla criticità.
- La supervisione a livello di consiglio è obbligatoria.
- La segnalazione degli incidenti segue la struttura 24h / 72h / 1 mese.
- Le sanzioni finanziarie possono raggiungere €10 milioni o il 2% del fatturato globale.
- La gestione del rischio dei fornitori è un obbligo fondamentale.
- Una pianificazione anticipata della conformità riduce l'esposizione all'applicazione.
FAQ: Guida NIS2 per PMI in Belgio
La NIS2 si applica alle piccole imprese in Belgio?
Le piccole imprese sono generalmente escluse, salvo designazione o operatività in settori altamente critici. Le entità di medie dimensioni che soddisfano le soglie dimensionali sono automaticamente incluse.
Quali sono le ammende NIS2 in Belgio?
Le Entità Essenziali affrontano sanzioni fino a €10 milioni o al 2% del fatturato annuo globale. Le Entità Importanti fino a €7 milioni o all'1,4% del fatturato annuo globale.
Quando entra in vigore la NIS2 in Belgio?
La legge NIS2 del Belgio è entrata in vigore il 18 ottobre 2024. Il termine di registrazione tramite il portale Safeonweb@Work era il 18 marzo 2025. Le entità devono presentare la propria autovalutazione CyFun® o la documentazione ISO 27001 al CCB entro il 18 aprile 2026, con la certificazione completa richiesta entro il 18 aprile 2027. L'applicazione attiva e gli audit da parte del CCB e dei regolatori settoriali sono già in corso.
Chi applica la NIS2 in Belgio?
Il Centre for Cybersecurity Belgium (CCB) funge da autorità di vigilanza coordinatrice primaria, supportata dai regolatori settoriali ove applicabile.
Gli amministratori possono essere personalmente responsabili ai sensi della NIS2 in Belgio?
Gli organi di gestione devono approvare e sovrintendere alle misure di cybersicurezza. Gli strumenti di applicazione amministrativa possono includere poteri di sospensione manageriale nei casi gravi.
In che cosa la NIS2 differisce dal GDPR in Belgio?
La NIS2 disciplina la gestione del rischio di cybersicurezza e la resilienza operativa. Il GDPR regola la protezione dei dati personali. Entrambi i quadri possono applicarsi simultaneamente a seguito di un incidente informatico.
Cosa costituisce un incidente significativo ai sensi della NIS2 in Belgio?
Un incidente che causi grave interruzione, perdite finanziarie significative, impatto sociale o conseguenze transfrontaliere in genere soddisfa la soglia di segnalazione.