NIS 2 Status in Belgien
Was die Richtlinie verlangt, wie Belgien umsetzt und wo das CCB im Bild steht.
Überblick
Die NIS 2 Richtlinie ist die EU Ebene. Sie verpflichtet jeden Mitgliedstaat, also auch Belgien, auf einen gemeinsamen Cybersicherheitsboden für wesentliche und wichtige Einrichtungen. Belgien muss diesen Boden in belgisches Recht giessen und eine Aufsicht darunter betreiben.
Belgien setzt NIS 2 durch das Gesetz vom 26. April 2024 über einen Rahmen für die Cybersicherheit der Netz- und Informationssysteme von allgemeinem Interesse für die öffentliche Sicherheit um. Das Gesetz wurde am 17. Mai 2024 im Moniteur belge / Belgisch Staatsblad veröffentlicht und trat am 18. Oktober 2024 in Kraft, zusammen mit einem Königlichen Erlass, der die operativen Details regelt. Belgien gehört zu den wenigen Mitgliedstaaten, die die Frist vom 17. Oktober 2024 eingehalten haben.
Das Centre for Cybersecurity Belgium (CCB) ist die federführende zuständige Behörde. CERT.be arbeitet als Dienst innerhalb des CCB. Die Registrierung läuft über das Portal Safeonweb@work. Sektorale Regulierer bleiben dort eingebunden, wo sie schon bestehen: die Belgische Nationalbank (NBB) und FSMA im Finanzsektor, wo DORA als lex specialis greift, BIPT für elektronische Kommunikation.
EU Richtlinie
Richtlinie (EU) 2022/2555 (NIS 2)
Die EU weite Cybersicherheitsrichtlinie. Setzt die Pflichten, die jeder Mitgliedstaat umsetzen muss, inklusive Grössen- und Sektorentest für wesentliche und wichtige Einrichtungen.
EU Durchführung
Durchführungsverordnung (EU) 2024/2690
Technische und methodische Massnahmen für digitale Infrastrukturanbieter. In Belgien unmittelbar anwendbar ohne nationale Umsetzung.
Belgische Umsetzung
Gesetz vom 26. April 2024 (NIS 2 Gesetz)
Die belgische NIS 2 Umsetzung, veröffentlicht am 17. Mai 2024 im Moniteur belge und in Kraft seit 18. Oktober 2024. Der Königliche Erlass vom Juni 2024 und CCB Leitfäden ergänzen die operativen Details. Das Gesetz hebt das Gesetz vom 7. April 2019 (die belgische NIS 1 Umsetzung) auf.
Gesetz vom 26. April 2024
Überträgt die NIS 2 Pflichten in belgisches Recht. Definiert wesentliche und wichtige Einrichtungen, Aufsichtsbefugnisse des CCB, Meldepflichten und Sanktionen. Die meisten operativen Details stehen im Königlichen Erlass vom Juni 2024 und in den CCB Leitfäden.
CCB als Aufsicht, CERT.be als CSIRT
Das Centre for Cybersecurity Belgium führt Aufsicht, Audits und Sanktionen. CERT.be arbeitet innerhalb des CCB als nationales CSIRT für die Vorfallsbearbeitung. Safeonweb@work ist das öffentliche Portal für Registrierung und Leitlinien.
Registrierung und Meldungen
Anbieter digitaler Dienste mussten sich bis zum 18. Dezember 2024 auf Safeonweb@work registrieren. Alle übrigen wesentlichen und wichtigen Einrichtungen bis zum 18. März 2025. Erhebliche Vorfälle folgen dem Rhythmus der Richtlinie: 24 Stunden Frühwarnung, 72 Stunden Meldung, ein Monat Abschlussbericht.
Lokales Recht gilt in Belgien
Operativer Betrieb auf belgischem Boden folgt der belgischen Umsetzung. Ein deutscher Geschäftsführer, der eine belgische Tochter führt, liest für diese Tochter das Gesetz vom 26. April 2024, nicht das deutsche BSIG. Die Richtlinienpflichten sind dieselben, das Verfahren, das Portal und die Sanktionen stehen im belgischen Recht.
Belgien kann den EU Boden nicht unterschreiten
Die Richtlinie ist ein Mindestharmonisierungsinstrument. Belgien kann strenger sein und ist es in der Praxis über das CyberFundamentals Framework und den Königlichen Erlass. Belgien darf aber nicht unter den Richtlinienboden gehen bei Pflichten wesentlicher und wichtiger Einrichtungen, Meldefristen oder Geschäftsleitungsverantwortung.
CCB
Centre for Cybersecurity Belgium, die nationale Cybersicherheitsbehörde, angesiedelt beim Premierminister. Federführende zuständige Behörde für NIS 2: Aufsicht, Audits, Sanktionen und das Registrierungsportal Safeonweb@work. Veröffentlicht das CyberFundamentals Framework, dessen validierte Umsetzung eine Konformitätsvermutung für die NIS 2 Risikomanagementmassnahmen begründet.
CERT.be
Das nationale Computer Security Incident Response Team. Arbeitet als Dienst innerhalb des CCB, nicht als separate Behörde. Bearbeitet Vorfallsmeldungen, technische Koordination und operative Zusammenarbeit mit anderen EU CSIRTs.
ENISA
Die EU Cybersicherheitsagentur. Veröffentlicht Leitlinien, betreibt die europäische Schwachstellendatenbank und unterstützt grenzüberschreitende Koordination. Keine Aufsicht für belgische Einrichtungen, das ist das CCB.
Belgien ist auf demselben Zeitplan wie Deutschland.
Belgien hat die Frist vom 17. Oktober 2024 eingehalten. Das Gesetz vom 26. April 2024 wurde am 17. Mai 2024 im Moniteur belge veröffentlicht und trat am 18. Oktober 2024 in Kraft, mit Registrierungsfristen, die bereits im Dezember 2024 und März 2025 abgelaufen sind. Deutschland dagegen finalisiert das NIS2UmsuCG noch. Belgische Einrichtungen können sich nicht hinter der deutschen Verzögerung verstecken, ihre Aufsicht ist aktiv und eine versäumte Registrierung ist überfällig.
Es gibt noch kein funktionierendes Registrierungsportal.
Safeonweb@work ist live und in Betrieb. Anbieter digitaler Dienste mussten bis zum 18. Dezember 2024 registrieren, alle übrigen wesentlichen und wichtigen Einrichtungen bis zum 18. März 2025. Verspätete Registrierung ist eine Konformitätslücke, gegen die das CCB vorgehen kann, und die Registrierungsdaten müssen nach Artikel 27 der Richtlinie aktuell gehalten werden.
Nur Sektoren mit bereits bestehender NIS 1 Aufsicht sind betroffen.
NIS 2 erweitert den Anwendungsbereich deutlich über die NIS 1 OES Liste hinaus. Neue Sektoren sind unter anderem öffentliche Verwaltung, Fertigung, Lebensmittel, Post- und Kurierdienste, Abfallwirtschaft und Chemie. Der Grössentest kappt grundsätzlich bei mittleren und grossen Unternehmen, aber kleine Einrichtungen können erfasst sein, wenn sie alleinige Anbieter sind oder das Gesetz sie hinzufügt. Die Anwendbarkeitsprüfung muss im Einzelfall erfolgen.
Belgien ist das seltene EU Land, in dem NIS 2 operativ ist und nicht theoretisch. Das CCB ist besetzt, das Registrierungsportal funktioniert, der Königliche Erlass ist in Kraft und das CyberFundamentals Framework liefert Einrichtungen einen konkreten Umsetzungspfad mit eingebauter Konformitätsvermutung. Belgische Betreiber, die noch nicht registriert sind, sind nicht voraus, sondern zurück.
Der praktische Schritt ist überall in der EU derselbe: Anwendbarkeit nach der Richtlinie prüfen, auf Safeonweb@work registrieren, die vier laufenden Pflichten aufsetzen (Registrierungspflege, Vorfallsmeldung, Lieferkettenrisiko, Geschäftsleitungsaufsicht), das Minimum dokumentieren. Das CyFun Framework hilft bei den materiellen Kontrollen, ersetzt aber nicht das NIS 2 Pflichtenregister.
Wir bauen das NIS 2 Pflichtenregister auf der EU Ebene, nicht auf einer einzelnen nationalen Umsetzung. Dieselbe Checkliste funktioniert für eine belgische Tochter mit dem Gesetz vom 26. April 2024, eine deutsche Mutter mit BSIG und eine niederländische Schwester mit der Cyberbeveiligingswet. Artikelverweise wechseln pro Sprache, die inhaltlichen Pflichten nicht.
Für den belgischen Geltungsbereich startet man mit der Anwendbarkeitsprüfung, dann Registrierung auf Safeonweb@work, Meldetakt für Vorfälle, Lieferkettenklauseln und Geschäftsleitungsfreigabe. Wo das CCB CyFun Leitfäden veröffentlicht, verweisen wir darauf, wir duplizieren sie nicht.
- Richtlinie (EU) 2022/2555 (NIS 2) — EUR-Lex
- Durchführungsverordnung (EU) 2024/2690
- Gesetz vom 26. April 2024 über einen Rahmen für die Cybersicherheit der Netz- und Informationssysteme von allgemeinem Interesse für die öffentliche Sicherheit — Moniteur belge / Belgisch Staatsblad, 17. Mai 2024
- Königlicher Erlass vom Juni 2024 zur Durchführung des NIS 2 Gesetzes — Moniteur belge / Belgisch Staatsblad
- Centre for Cybersecurity Belgium (CCB) — ccb.belgium.be
- Safeonweb@work — atwork.safeonweb.be (NIS 2 Registrierungsportal)
- CERT.be — nationales CSIRT, angesiedelt innerhalb des CCB
- CyberFundamentals (CyFun) Framework — CCB