NIS2 in Belgien: Wie das Gesetz vom 26. April 2024 die EU-Richtlinie umsetzt

Wer sollte das lesen: Compliance-Beauftragte, CIOs, CISOs, Justiziare, Risikoverantwortliche und Operations-Leiter in Organisationen, die in Belgien tätig sind.

Belgien hat die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) noch vor den meisten Mitgliedstaaten in nationales Recht umgesetzt. Das Gesetz vom 26. April 2024 zur Festlegung eines Rahmens für die Cybersicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit (das „NIS2-Gesetz”) wurde im Belgischen Staatsblatt (Moniteur belge / Belgisch Staatsblad) am 17. Mai 2024 veröffentlicht (S. 63179, NUMAC 2024202344) und trat am 18. Oktober 2024 in Kraft. Es hob das Gesetz vom 7. April 2019 auf, mit dem NIS1 umgesetzt worden war, und wurde durch das Gesetz vom 19. Dezember 2025 über die Resilienz kritischer Einrichtungen (das „CER-Gesetz”), veröffentlicht am 19. Januar 2026, wesentlich geändert. Zum Zeitpunkt dieses Artikels ist das NIS2-Gesetz seit rund zwanzig Monaten in Kraft: die meisten wesentlichen und wichtigen Einrichtungen haben die erste Registrierungswelle abgeschlossen und arbeiten nun an den schwierigeren, langsameren Teilen der Compliance.

Für Organisationen, die in Belgien tätig sind, ändert sich die Rechtslage in drei konkreten Punkten. Erstens ist der Anwendungsbereich weitaus weiter als unter NIS1: mittlere und große Unternehmen aus achtzehn Sektoren sind standardmäßig erfasst, ergänzt um eine großzügige Liste größenunabhängiger Kategorien. Zweitens ist die institutionelle Architektur eigentümlich: das Zentrum für Cybersicherheit Belgien (CCB, Centre pour la Cybersécurité Belgique) ist gleichzeitig die nationale zuständige Behörde, die zentrale Anlaufstelle und das nationale CSIRT, wobei das Nationale Krisenzentrum (NCCN, Centre national de crise) bei der Krisensteuerung mitführt und sektorale Regulierungsbehörden eine definierte Rolle behalten. Drittens hat Belgien sich für ein bestimmtes Compliance-Modell entschieden: verpflichtende periodische Konformitätsbewertung für wesentliche Einrichtungen, gemessen an einem akkreditierten Referenzrahmen (in der Praxis CyberFundamentals), mit einer widerlegbaren Konformitätsvermutung für diejenigen, die diese bestehen.

Dieser Artikel ist ein praxisorientierter Leitfaden für den Geschäftsleser zu dem, was das belgische NIS2-Gesetz verlangt. Er ordnet jede Pflicht ihrem Gegenstück in der EU-Richtlinie zu, benennt die belgische Stelle, mit der Sie für jede Interaktion zu tun haben, und verweist auf die Referenzartikel, die das jeweilige Thema vertiefen. Es handelt sich nicht um eine Rechtsberatung; dafür wenden Sie sich bitte an einen Rechtsbeistand. Aber es sollte einem Führungsteam genügen, um zu planen, zu budgetieren und Verantwortliche zu benennen, selbst wenn Sie spät begonnen haben.

Für einen breiteren Kontext zur Richtlinie selbst lesen Sie unseren NIS2-Compliance-Leitfaden.

Der gesetzgeberische Weg: von NIS1 zum Gesetz vom 26. April 2024

NIS1 wurde durch das Gesetz vom 7. April 2019 in belgisches Recht umgesetzt. Dieses Gesetz galt für einen kleinen Kreis von „Betreibern wesentlicher Dienste”, die von sektoralen Regulierungsbehörden identifiziert wurden, zuzüglich einer Handvoll digitaler Dienstanbieter. Es erfüllte seinen Zweck, ließ aber den Großteil der Wirtschaft außerhalb des Cybersicherheitsperimeters.

Das Gesetz vom 26. April 2024 ersetzt diesen Rahmen vollständig. Der vollständige Text ist auf dem belgischen eJustice-Portal unter der ELI verfügbar: https://www.ejustice.just.fgov.be/eli/loi/2024/04/26/2024202344/justel. Der Text wurde seit Verabschiedung wesentlich geändert: das CER-Gesetz vom 19. Dezember 2025 (in Kraft seit 19. Januar 2026) ersetzte die Verweise auf das nun aufgehobene Gesetz über kritische Einrichtungen vom 18. Juli 2023 und fügte einen neuen Artikel 75 hinzu, der die CSIRT-bezogenen Bestimmungen (Artikel 8, 38 und Titel 2) auf jede in Belgien niedergelassene natürliche oder juristische Person ausdehnt. Das bedeutet, dass das CSIRT-Mandat des CCB nicht mehr auf regulierte Einrichtungen beschränkt ist; es ist im eigentlichen Sinne national.

Falls Ihre Organisation bereits unter NIS1 erfasst war, beginnen Sie nicht mit einem leeren Blatt: die Übergangsregeln behandeln zuvor benannte Betreiber wesentlicher Dienste standardmäßig als wesentliche Einrichtungen unter dem neuen Regime. Neue Pflichten gelten ab dem ersten Tag; das einzige, was übergeht, ist Ihr Benennungsstatus, nicht Ihre Compliance-Haltung. Für eine Zusammenfassung dessen, was sich zwischen den beiden Regimen ändert, lesen Sie NIS1 vs. NIS2: die wichtigsten Unterschiede.

Anwendungsbereich

Artikel 3 des NIS2-Gesetzes spiegelt die zweistufige Anwendungslogik der EU-Richtlinie wider und ergänzt sie um mehrere belgische Zusätze.

Sektor plus Größe (Art. 3 §1). Erstens muss die Einrichtung von einem in Anhang I oder Anhang II des Gesetzes aufgeführten Typ sein. Anhang I umfasst die elf Sektoren mit hoher Kritikalität: Energie (einschließlich des Teilsektors Wasserstoff), Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (Business-to-Business), öffentliche Verwaltung und Weltraum. Anhang II umfasst sieben weitere kritische Sektoren: Post- und Kurierdienste, Abfallbewirtschaftung, Herstellung und Vertrieb von Chemikalien, Herstellung und Vertrieb von Lebensmitteln, verarbeitendes Gewerbe (Medizinprodukte, Computer, elektrische Ausrüstungen, Maschinen, Kraftfahrzeuge, sonstige Fahrzeuge), Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke) und Forschung. Zweitens muss die Einrichtung mindestens als mittleres Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission gelten (50 oder mehr Beschäftigte oder Jahresumsatz beziehungsweise Bilanzsumme über 10 Millionen Euro) oder diese Schwellen überschreiten.

Größenunabhängige Kategorien (Art. 3 §3). Unabhängig von ihrer Größe gilt das Gesetz für Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste, Vertrauensdiensteanbieter, Register der Domänennamen oberster Stufe, DNS-Diensteanbieter, Einrichtungen, die nach Kapitel 4 des Gesetzes als wesentlich oder wichtig identifiziert wurden, die föderale öffentliche Verwaltung, die durch Königlichen Erlass nach Artikel 11 §2 identifizierten föderierten Einrichtungen, die Notfallzonen sowie den Brüsseler Feuerwehr- und Rettungsdienst SIAMU.

Kritische Einrichtungen (Art. 3 §4). Einrichtungen, die nach dem CER-Gesetz vom 19. Dezember 2025 als kritisch benannt sind, fallen größenunabhängig in den Anwendungsbereich. Da dasselbe Instrument, mit dem CER in belgisches Recht überführt wurde, auch diesen Artikel geändert hat, ist die Grenze zwischen den beiden Regimen ungewöhnlich eng: kritische Einrichtungen werden typischerweise auch wesentliche Einrichtungen unter NIS2 sein.

Dienste der Domänennamen-Registrierung (Art. 3 §5). Anbieter von Domänennamen-Registrierungsdiensten fallen unabhängig von ihrer Größe in den Anwendungsbereich.

Wenn Sie unsicher sind, ob das Gesetz auf Ihre Organisation Anwendung findet, ist die schnellste erste Prüfung unser NIS2-Anwendungsbereichsprüfer, der Sektor und Größe in drei Klicks durchläuft. Für eine tiefere Lektüre zur Anwendungslogik der Richtlinie lesen Sie unsere Leitfäden zu Anwendungsbereich und Anwendbarkeit von NIS2 und zur Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen.

Der Finanzsektor verdient eine gesonderte Anmerkung. Artikel 6 §3 des NIS2-Gesetzes nimmt Banken und Finanzmarktinfrastrukturen (und die Zentralverwahrer-Tätigkeit der Belgischen Nationalbank) von den Titeln 3 bis 5 aus, soweit die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor („DORA”) gilt. Artikel 6 §4 fügt spezifische Ausnahmen für die BNB selbst (mit Ausnahme ihrer Zentralverwahrer-Tätigkeit) und für die Finanzinstitute hinzu, die sie nach den Artikeln 8 und 12bis des BNB-Statuts beaufsichtigt. Wo DORA gilt, gilt sie anstelle von NIS2 für denselben Sachverhalt. Wir entpacken die Abgrenzung in NIS2 und der Finanzsektor: wie DORA mit dem Bankensektor überlappt und in NIS2, DORA und CER: sich überlappende Regulierungen.

Artikel 5 §4 nimmt einen kleinen Kreis sensibler Tätigkeiten aus: die Nachrichten- und Sicherheitsdienste, die Koordinierungsstelle für die Analyse von Bedrohungen (OCAM/CUTA), das Verteidigungsministerium, die Polizei und die allgemeine Polizeiinspektion, die Justizbehörden, die Justizdatenbanken des SPF Justice, die belgischen diplomatischen und konsularischen Netze im Ausland sowie kerntechnische Anlagen der Klasse I (mit einer Rücknahme für die Elemente des Stromtransports von Kernkraftwerken, die über den Energiesektor im Anwendungsbereich bleiben).

Die belgische institutionelle Architektur

Das Gesetz vom 26. April 2024 benennt einen kleinen Kreis von Stellen und weist jeder eine klare Rolle zu. Das ist einer der nützlichsten Teile des Textes für Compliance-Teams: Er sagt Ihnen genau, mit wem Sie unter welchen Umständen sprechen.

Zentrum für Cybersicherheit Belgien (CCB, Centre pour la Cybersécurité Belgique). Nach Artikel 15 §1 und Artikel 16 ist das CCB die nationale zuständige Behörde für die Cybersicherheitsaufsicht und -durchsetzung, die zentrale Anlaufstelle für die grenzüberschreitende Zusammenarbeit sowie das nationale CSIRT. Es ist zudem der Vertreter Belgiens in EU-CyCLONe und im CSIRT-Netzwerk. Praktische Implikation: das CCB ist die Stelle, die Sie für die meisten Einrichtungen registriert, Vorfallsmeldungen entgegennimmt, inspiziert, auditiert, Informationen anfordert, verbindliche Anweisungen erteilt und Bußgelder verhängt. Das CCB veröffentlicht seine NIS2-Leitlinien und die CyberFundamentals-Materialien unter ccb.belgium.be.

Nationales Krisenzentrum (NCCN, Centre national de crise). Das NCCN führt die Steuerung von Cyberkrisen gemeinsam mit dem CCB. Nach Artikel 34 §1 und Artikel 35 §3 werden Vorfallsmeldungen wesentlicher Einrichtungen nicht nur an das CCB, sondern auch an das NCCN übermittelt. Das NCCN und das CCB treiben gemeinsam den nationalen Cyberkrisen-Reaktionsplan voran, der nach Artikel 29 vorgesehen ist.

Sektorale Behörden (Art. 15 §2). Königlicher Erlass benennt die sektoralen Behörden, die an der Seite des CCB arbeiten. Drei sind unmittelbar im Gesetz aufgeführt:

• Belgische Nationalbank (BNB, Banque Nationale de Belgique) als sektorale Behörde für den Finanzsektor nach Artikel 80, mit Ausnahme von Handelsplatzbetreibern (wo die Behörde für Finanzdienste und Märkte (FSMA, Autorité des services et marchés financiers) die kooperierende Rolle spielt).
• Belgisches Institut für Postdienste und Telekommunikation (BIPT/IBPT, Institut belge des services postaux et des télécommunications) als sektorale Behörde für digitale Infrastruktur (mit Ausnahme der Vertrauensdiensteanbieter) sowie für Post- und Versanddienste nach Artikel 83.
• Föderalagentur für Nuklearkontrolle (FANC, Agence fédérale de Contrôle nucléaire) für die Elemente des Stromtransports von Kernkraftwerken nach Artikel 77 (neuer Artikel 15ter, der in das FANC-Statut eingefügt wurde).

Wenn Sie die EU-weite Perspektive darauf möchten, wie diese Stellen in die Konzeption der Richtlinie passen, präsentiert unser Referenzartikel zu die institutionelle Architektur von NIS2: Behörden, CSIRTs und Anlaufstellen das Schema.

Nationale Strategie und Krisenplan

Das Gesetz verlangt zwei strategische Instrumente.

Die nationale Cybersicherheitsstrategie (Artikel 28) wird vom Ministerrat verabschiedet und mindestens alle fünf Jahre überprüft. Absatz 2 zählt zehn verpflichtende Inhalte auf (Ziele, Governance, Mechanismen zur Risikobewertung, Vorsorgemaßnahmen und so weiter). Absatz 3 listet zehn Politikfelder auf, die die Strategie abdecken muss, darunter Sicherheit der Lieferkette, öffentliches Beschaffungswesen, Offenlegung von Schwachstellen, Cyberhygiene für KMU und der inzwischen kennzeichnende Begriff „cyberprotection active” (aktiver Cyberschutz), den Belgien als eigenes Politikfeld in der Strategie verankert hat. Für Hintergrundwissen dazu, warum Artikel 7 der Richtlinie eine Strategie verlangt und wie gute Strategien aussehen, lesen Sie Die nationale Cybersicherheitsstrategie: was Artikel 7 verlangt.

Der nationale Cyberkrisen-Reaktionsplan (Artikel 29) wird durch Königlichen Erlass verabschiedet. Er definiert Krisenmanagementverfahren, Vorsorgemaßnahmen und Modalitäten für die grenzüberschreitende Beteiligung an koordinierten Reaktionen auf EU-Ebene. Dies verankert die Rolle Belgiens in EU-CyCLONe und im CSIRT-Netzwerk. Siehe Die Kooperationsgruppe, EU-CyCLONe und das CSIRT-Netzwerk für die Mechanik auf EU-Ebene.

Die Cybersicherheits-Risikomanagementmaßnahmen (Artikel 30)

Artikel 30 des NIS2-Gesetzes ist der operative Kern. Er verpflichtet wesentliche und wichtige Einrichtungen, „geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen” auf Grundlage eines All-Hazards-Ansatzes zu treffen. Wo die EU-Richtlinie zehn Kategorien von Maßnahmen aufzählt, fügt die belgische Umsetzung eine elfte hinzu: eine Politik zur koordinierten Offenlegung von Schwachstellen, die in Artikel 30 §3 als eigenständige Pflicht festgeschrieben ist und nicht (wie in der Richtlinie) als Teilbestandteil sicherer Entwicklung.

Die vollständige Liste der Maßnahmen nach Artikel 30 §3:

• Strategien zur Risikoanalyse und Sicherheit von Informationssystemen;
• Bewältigung von Sicherheitsvorfällen;
• Geschäftskontinuität, einschließlich Backup-Management, Notfallwiederherstellung und Krisenmanagement;
• Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen zu direkten Lieferanten und Dienstleistern;
• Sicherheit bei Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Schwachstellenmanagement und -offenlegung;
• Konzepte und Verfahren zur Bewertung der Wirksamkeit der Cybersicherheits-Risikomanagementmaßnahmen;
• grundlegende Cyberhygienepraktiken und Cybersicherheitsschulungen;
• Konzepte und Verfahren zum Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
• Personalsicherheit, Konzepte zur Zugangskontrolle und Anlagenverwaltung;
• Multi-Faktor-Authentifizierung oder Lösungen zur kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gesicherte interne Notfallkommunikationssysteme, je nach Lage des Falles;
• eine Politik zur koordinierten Offenlegung von Schwachstellen (der belgische Zusatz).

Für die vertiefte Behandlung dessen, was jede dieser Maßnahmen in der Praxis umfasst, lesen Sie Die 10 Cybersicherheitsmaßnahmen nach NIS2 Artikel 21. Das All-Hazards-Prinzip, das über reine Cyberbedrohungen hinausgeht und die physische Umgebung einschließt, wird in Der All-Hazards-Ansatz: physische Sicherheit unter NIS2 entpackt. Das Risiko der Lieferkette erhält eine eigene Behandlung in Sicherheit der Lieferkette und Lieferantenrisiko unter NIS2. Dazu, wie man die Maßnahmen an Größe und Risikoprofil der Einrichtung kalibriert (anstatt sie überzudimensionieren), lesen Sie NIS2-Verhältnismäßigkeit und was „geeignet” tatsächlich bedeutet.

Zwei Belgien-spezifische Hinweise. Erstens verlangt Artikel 30 §5, dass die Maßnahmen in einem schriftlichen „P.S.I.” (Politique de Sécurité des systèmes et réseaux d’Information), der formalen Informationssicherheitsrichtlinie der Einrichtung, niedergelegt werden. Zweitens behält Artikel 33 dem König die Befugnis vor, durch Königlichen Erlass zusätzliche, für einen Sektor spezifische Risikomanagementmaßnahmen aufzuerlegen. Erwarten Sie, dass sektorale Erlasse sich im Zeitverlauf über Artikel 30 legen, insbesondere in den Bereichen Energie, Verkehr und digitale Infrastruktur.

Verantwortlichkeit des Leitungsorgans (Artikel 31)

Artikel 31 des NIS2-Gesetzes ist kurz, aber folgenschwer. Die Leitungsorgane wesentlicher und wichtiger Einrichtungen müssen die Cybersicherheits-Risikomanagementmaßnahmen genehmigen, ihre Umsetzung überwachen und können für Verstöße persönlich haftbar gemacht werden. Artikel 31 §2 schreibt regelmäßige Schulungen für Mitglieder des Leitungsorgans vor und verpflichtet die Einrichtung, ihren Mitarbeitern vergleichbare Schulungen anzubieten. Artikel 32 weist die Verantwortung für die Risikoanalyse der Einrichtung selbst zu, und Artikel 61 dehnt die Verantwortung weiter aus: auf gesetzliche Vertreter und auf jede natürliche Person mit Entscheidungs- oder Kontrollbefugnissen innerhalb der Einrichtung.

Für Aufsichtsräte und Vorstände bedeutet dies, dass Cybersicherheit nicht länger ein „IT-Thema” ist, das an den CISO delegiert wird. Es ist eine Angelegenheit auf Vorstandsebene, mit dokumentierter Aufsicht, Schulungsnachweisen und Protokollen. Unser Artikel zu Vorstandsverantwortung und Governance unter NIS2 beschreibt, wie eine verteidigbare Governance-Haltung aussieht.

Meldung von Sicherheitsvorfällen nach den Artikeln 34 bis 37

Die Artikel 34 bis 37 übernehmen das Drei-Uhren-Meldesystem der EU-Richtlinie, das eine der operativ wichtigsten Pflichten des Gesetzes darstellt.

Meldung an das nationale CSIRT (Art. 34 §1). Alle erheblichen Vorfälle werden ohne unangemessene Verzögerung an das nationale CSIRT (das CCB) gemeldet, das die Meldung an die zuständige sektorale Behörde weiterleitet. Meldungen wesentlicher Einrichtungen werden zudem an das NCCN übermittelt. Dieses Modell der einzigen Eingangstür ist eine bewusste belgische Designentscheidung: Sie sprechen mit dem CCB, und das CCB leitet weiter.

Frühwarnung, innerhalb von 24 Stunden (Art. 35 §1 1°). Innerhalb von 24 Stunden, nachdem die Einrichtung von einem erheblichen Vorfall Kenntnis erlangt hat, übermittelt sie eine Frühwarnung, die angibt, ob vermutet wird, dass der Vorfall durch rechtswidrige oder böswillige Handlungen verursacht wurde, und ob er grenzüberschreitende Auswirkungen haben könnte.

Vorfallsmeldung, innerhalb von 72 Stunden (Art. 35 §1 2°). Die Meldung aktualisiert die Frühwarnung und liefert eine erste Bewertung von Schwere, Auswirkungen und (sofern verfügbar) Kompromittierungsindikatoren. Vertrauensdiensteanbieter arbeiten mit einer einzigen Meldefrist von 24 Stunden nach Artikel 35 §2, ohne separaten 72-Stunden-Schritt.

Zwischenbericht auf Anfrage (Art. 35 §1 3°). Das CCB kann zu jedem Zeitpunkt während der Vorfallsbehandlung einen Zwischenbericht anfordern.

Abschlussbericht, innerhalb eines Monats (Art. 35 §1 4°). Der Bericht umfasst eine detaillierte Beschreibung, die Grundursache, die ergriffenen und laufenden Abhilfemaßnahmen sowie die grenzüberschreitenden Auswirkungen. Wenn der Vorfall zum Zeitpunkt eines Monats noch behandelt wird, übermittelt die Einrichtung nach Artikel 35 §1 5° einen Fortschrittsbericht und einen Abschlussbericht innerhalb eines Monats nach Abschluss der Vorfallsbehandlung.

Das CCB muss innerhalb von 24 Stunden eine erste Antwort auf die Frühwarnung liefern (Artikel 36), einschließlich Anleitung und operativer Empfehlungen. Freiwillige Meldungen können keine automatische Inspektion auslösen (Artikel 38), was wichtig ist: eine Einrichtung, die einen Beinahe-Vorfall beobachtet, kann ihn teilen, ohne aufsichtsrechtliche Maßnahmen befürchten zu müssen. Das CCB veröffentlicht anonymisierte vierteljährliche Berichte an die ENISA (Artikel 37 §4).

Für den praktischen Leitfaden zur Einhaltung der Fristen lesen Sie Der NIS2-Vorfallsmeldezeitplan. Dazu, wann ein Vorfall tatsächlich die Schwelle „erheblich” überschreitet (die schwierigste Entscheidung in den ersten 24 Stunden), lesen Sie Was macht einen Vorfall im Sinne von NIS2 erheblich.

Konformitätsbewertung und CyberFundamentals (Artikel 39 bis 43)

Hier hat Belgien etwas Ungewöhnliches getan, und es ist der Teil des Gesetzes, der Ihren Compliance-Fahrplan am wahrscheinlichsten prägen wird: verpflichtende periodische Konformitätsbewertung für wesentliche Einrichtungen.

Nach den Artikeln 39 bis 43 muss jede wesentliche Einrichtung wiederkehrend die Konformität mit Artikel 30 nachweisen. Das Gesetz lässt der Einrichtung die Wahl. Option eins (Artikel 40) ist eine externe Bewertung durch eine Konformitätsbewertungsstelle, die nach einem durch Königlichen Erlass festgelegten Referenzrahmen akkreditiert ist, wobei die Kosten von der Einrichtung getragen werden. Option zwei ist eine Inspektion, die direkt durch das CCB durchgeführt wird. Wichtige Einrichtungen können sich nach Artikel 41 freiwillig dafür entscheiden. Wenn die Einrichtung die Bewertung gegen einen anerkannten Rahmen besteht, gewährt Artikel 42 eine widerlegbare Vermutung der Konformität mit Artikel 30: im Streitfall verschiebt sich die Beweislast auf die Regulierungsbehörde, um nachzuweisen, dass die Konformität tatsächlich nicht erreicht wurde.

Für kritische Einrichtungen und für die öffentliche Verwaltung fügt Artikel 40 §1 eine Anforderung an die Sicherheitsfreigabe hinzu: die Bewertungsstelle und ihre einzelnen Bewerter müssen eine geeignete Sicherheitsfreigabe besitzen.

In der Praxis ist der CyberFundamentals (CyFun)-Rahmen des CCB der faktische Referenzrahmen, den belgische Einrichtungen anwenden, um dieses Regime zu nutzen. CyFun wird in vier Vertrauensniveaus veröffentlicht (Small, Basic, Important, Essential), bildet anerkannte internationale Kontrollen ab (NIST CSF, ISO/IEC 27001, CIS Controls, IEC 62443) und ist nun die praktische Grundlage, gegen die die meisten belgischen Compliance-Teams planen werden. Wenn Ihre bestehende Sicherheitslage bereits nach ISO/IEC 27001 zertifiziert ist, haben Sie einen starken Ausgangspunkt für das entsprechende CyFun-Niveau. Für das breitere Verhältnis zwischen NIS2 und anerkannten Normen lesen Sie NIS2, ISO 27001 und Cybersicherheits-Zertifizierungsschemata.

Registrierung und Pflichten der Einrichtungen (Artikel 13 und 14)

Es gelten zwei Registrierungspfade.

Allgemeine Registrierung (Artikel 13 §1). Innerhalb von fünf Monaten nach Inkrafttreten des Gesetzes (oder nach Identifikation der Einrichtung als im Anwendungsbereich) müssen Einrichtungen sich beim CCB registrieren, indem sie ihren Unternehmensnamen und ihre BCE/KBO-Nummer, Anschrift, E-Mail, IP-Bereiche, Telefon, Sektor und Untersektor sowie die Liste der EU-Mitgliedstaaten mitteilen, in denen sie Dienste erbringen. Änderungen sind innerhalb von zwei Wochen zu melden (Artikel 13 §3).

Registrierung des digitalen Sektors (Artikel 14 §1). DNS-Diensteanbieter, Register der Domänennamen oberster Stufe, Anbieter von Domänennamen-Registrierungsdiensten, Cloud- und Rechenzentrumsanbieter, Anbieter von Content-Delivery-Netzwerken, Anbieter verwalteter Dienste, Anbieter verwalteter Sicherheitsdienste sowie Anbieter von Online-Marktplätzen, Suchmaschinen und sozialen Netzwerken müssen sich innerhalb von zwei Monaten registrieren, mit einem detaillierteren Datensatz (einschließlich IP-Bereiche). Das CCB leitet diesen an die ENISA für das EU-weite Register nach Artikel 27 der Richtlinie weiter. Änderungen sind hier innerhalb von drei Monaten zu melden (Artikel 14 §2). Artikel 14 §3 stellt sicher, dass Daten von Vertrauensdiensteanbietern, die bereits bei der eIDAS-Aufsichtsstelle vorliegen, direkt an das CCB übermittelt werden, um eine doppelte Registrierung zu vermeiden.

Wenn Ihr Unternehmen ein Anbieter verwalteter Dienste oder ein MSSP ist, lesen Sie Werden MSPs und MSSPs unter NIS2 reguliert für die Implikationen. Für Cloud-, Rechenzentrums- und CDN-Anbieter lesen Sie Digitale Infrastruktur unter NIS2: Cloud und Rechenzentrum.

Koordinierte Offenlegung von Schwachstellen und der belgische Haftungsausschluss (Artikel 22 und 23)

Wenn es einen Punkt gibt, an dem die belgische Umsetzung sich von jedem anderen Mitgliedstaat abhebt, dann hier. Das Gesetz institutionalisiert die koordinierte Offenlegung von Schwachstellen (CVD) und schafft in Artikel 23 einen strafrechtlichen Haftungsausschluss für ethische Hacker, der der stärkste in der EU ist.

Artikel 22 benennt das CCB als vertrauenswürdigen Vermittler für CVD. Artikel 23 gewährt sodann Immunität gegen Strafverfolgung nach den Artikeln 314bis, 458, 550bis und 550ter des Strafgesetzbuchs sowie nach Artikel 145 des Gesetzes vom 13. Juni 2005 über die elektronische Kommunikation für eine Person, die eine Schwachstelle an das CCB meldet, vorbehaltlich definierter Bedingungen: keine betrügerische Absicht, eine vereinfachte Meldung innerhalb von 24 Stunden und eine vollständige Meldung innerhalb von 72 Stunden, Verhältnismäßigkeit der Testmethoden, keine öffentliche Offenlegung der Schwachstelle ohne Zustimmung des CCB sowie eine vorherige schriftliche Vereinbarung mit dem Eigentümer, sofern das im Anwendungsbereich befindliche System von einer Behörde oder von der Justiz betrieben wird.

Die kombinierte Wirkung der Artikel 22 und 23 macht Belgien zum aufnahmebereitesten EU-Rechtsraum für verantwortungsvolle Schwachstellenforschung. Wesentliche und wichtige Einrichtungen sollten erwarten, mehr eingehende Meldungen zu erhalten, als sie es etwa in Frankreich oder Deutschland täten, und sie sollten über einen definierten Aufnahmeprozess verfügen, um damit umzugehen. Die eigenständige CVD-Pflicht in Artikel 30 §3 (die belgische elfte Maßnahme) ist das operative Pendant zu dieser nationalen Haltung. Für den EU-weiten Rahmen und empfohlene Praktiken lesen Sie unseren Referenzartikel zum Rahmen für die Offenlegung von Schwachstellen.

Aufsicht und Durchsetzung (Artikel 44 bis 50)

Das Gesetz zieht eine scharfe Linie zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen, was die Art ihrer Aufsicht angeht.

Wesentliche Einrichtungen unterliegen einer Aufsicht ex ante und ex post. Das CCB und die zuständige sektorale Behörde können regelmäßige Konformitätsbewertungen nach den Artikeln 39 bis 43 verlangen, Vor-Ort-Inspektionen durchführen, Informationen anfordern, auditieren und proaktiv eingreifen.

Wichtige Einrichtungen unterliegen nur einer Aufsicht ex post (Artikel 48 §2). Inspektionen und Audits bleiben möglich, aber nur auf Grundlage von Belegen oder Hinweisen auf Non-Compliance: die Regulierungsbehörde muss einen Grund artikulieren.

Der Aufsichtswerkzeugkasten nach Artikel 48 §1 ist detailliert. Er umfasst Zugang zu und Kopien von Dokumenten, Vor-Ort- und Fern-Audits, Stichproben, zielgerichtete unabhängige Audits für wesentliche Einrichtungen, Ad-hoc-Audits nach erheblichen Vorfällen, Sicherheitsscans, Identitätsprüfungen für das Personal der inspizierten Einrichtung und (nach Artikel 48 §5 und §6) die Beschlagnahme von IT-Systemen mit richterlicher Genehmigung. Wo Zugang zu bewohnten Räumen erforderlich ist, muss der Inspektor die Genehmigung des Ermittlungsrichters einholen, der innerhalb von 48 Stunden entscheidet; die Einrichtung hat ein Berufungsrecht vor der chambre des mises en accusation. Polizeiunterstützung kann angefordert werden. Sektorale Behörden und Inspektionsdienste können Inspektionen im Einvernehmen mit dem CCB mitführen oder übernehmen.

Wenn das CCB vermutet, dass eine Verletzung des Schutzes personenbezogener Daten betroffen ist, verlangt Artikel 48 §7 verpflichtende Zusammenarbeit mit der belgischen Datenschutzbehörde (APD/GBA, Autorité de protection des données). Artikel 21 §4 fügt einen interessanten Schutzmechanismus hinzu: die APD/GBA übt eine vorgelagerte Kontrollfunktion über CSIRT-Anfragen nach Metadaten der elektronischen Kommunikation aus und stellt damit sicher, dass die Verhältnismäßigkeit unabhängig überprüft wird.

Unser Referenzartikel zu NIS2-Durchsetzungsbefugnisse, Sanktionen und Bußgelder zeigt, wie Behörden diese Werkzeuge in der Praxis einsetzen.

Verwaltungsmaßnahmen und Bußgelder (Artikel 58 bis 60)

Das Gesetz legt einen Werkzeugkasten für Verwaltungsmaßnahmen (Artikel 58), eine Bußgeldordnung (Artikel 59) sowie eine Eskalationsstufe für wesentliche Einrichtungen (Artikel 60) fest.

Verwaltungsmaßnahmen (Artikel 58). Das CCB kann Verwarnungen, verbindliche Anweisungen, Unterlassungsverfügungen, Anordnungen zur Behebung von Mängeln, Anordnungen zur Information von Dienstempfängern über Cyberbedrohungen sowie Anordnungen zur Veröffentlichung von Vorfalldetails erlassen. Für wesentliche Einrichtungen führt Artikel 58 8° ein kennzeichnendes Instrument ein: einen „responsable du contrôle” (Überwachungsbeauftragten), der bestellt wird, um die Behebung innerhalb der Einrichtung zu beaufsichtigen.

Bußgelder (Artikel 59). Das Gesetz legt eine gestaffelte Bußgeldordnung fest:

• Verstoß gegen eine Informationspflicht nach Artikel 12: 500 bis 125.000 EUR.
• Repressalien gegen Mitarbeiter, die bei der Compliance mithelfen: 500 bis 200.000 EUR.
• Verstoß gegen Aufsichtspflichten: 500 bis 200.000 EUR.
• Wichtige Einrichtungen für zentrale operative Verstöße: 500 bis 7.000.000 EUR oder 1,4 % des gesamten weltweiten Jahresumsatzes des Vorjahres, je nachdem, welcher Betrag höher ist.
• Wesentliche Einrichtungen für zentrale operative Verstöße: 500 bis 10.000.000 EUR oder 2 % des gesamten weltweiten Jahresumsatzes des Vorjahres, je nachdem, welcher Betrag höher ist.

Alle Obergrenzen werden im Wiederholungsfall verdoppelt, definiert als derselbe Sachverhalt, der innerhalb von drei Jahren erneut auftritt. Für eine tiefgehende Behandlung der Kalibrierung und Anwendung dieser Obergrenzen lesen Sie Bußgelder nach NIS2: der Rahmen von 10 Mio. EUR und 7 Mio. EUR.

Eskalation für wesentliche Einrichtungen (Artikel 60). Wenn Verwaltungsmaßnahmen und Bußgelder wirkungslos bleiben, kann das CCB zwei weitere Maßnahmen verfolgen: vorübergehende Aussetzung einer Zertifizierung oder Genehmigung sowie vorübergehendes Verbot, dass der Geschäftsführer oder gesetzliche Vertreter Leitungsfunktionen in dieser Einrichtung ausübt, bis die Behebung erreicht ist.

Einziehung und Rechtsbehelf. Bußgelder werden durch Vollstreckungstitel („contrainte”) eingezogen, der durch Gerichtsvollzieher zugestellt wird; die Einrichtung hat 15 Tage Zeit, um Widerspruch beim Pfändungsrichter („juge des saisies”) einzulegen, was die Vollstreckung aussetzt (Artikel 56 §3). Die Verjährung läuft drei Jahre auf den Sachverhalt und fünf Jahre auf Maßnahmen und Bußgelder (Artikel 57).

Non-bis-in-idem mit DSGVO (Artikel 54 §2). Wenn die APD/GBA bereits ein DSGVO-Bußgeld für denselben Sachverhalt verhängt hat, kann das CCB kein NIS2-Bußgeld verhängen, wobei nicht monetäre Durchsetzungsmaßnahmen weiterhin verfügbar bleiben. Die Wechselwirkung wird in Überschneidung von NIS2 und DSGVO: Cybersicherheit und Datenschutz entpackt.

Ausnahme für die öffentliche Verwaltung (Artikel 62). Föderale öffentliche Verwaltungseinrichtungen sind von den Artikeln 59 und 60 ausgenommen: sie unterliegen weiterhin dem Aufsichtsregime, aber nicht den Bußgeldern oder der Eskalation nach Artikel 60. Dies steht im Einklang mit der Erlaubnis der Richtlinie, dass Mitgliedstaaten die Non-Compliance des öffentlichen Sektors über interne Disziplinarwege handhaben.

Sektorale Überschneidungen und Ausnahmen

Mehrere Überschneidungsbereiche verdienen Aufmerksamkeit.

DORA (Artikel 6 §3). Wie im Abschnitt zum Anwendungsbereich erwähnt, sind Banken, Finanzmarktinfrastrukturen und die Zentralverwahrer-Tätigkeit der BNB von den Titeln 3 bis 5 des NIS2-Gesetzes ausgenommen, soweit DORA gilt. Für Einrichtungen, die nur teilweise in den DORA-Anwendungsbereich fallen, gilt das NIS2-Gesetz weiterhin für den verbleibenden Teil.

CER-Gesetz vom 19. Dezember 2025. Dasselbe Instrument, das das NIS2-Gesetz geändert hat, hat auch die EU-Richtlinie über die Resilienz kritischer Einrichtungen in belgisches Recht überführt. Kritische Einrichtungen nach dem CER-Gesetz fallen größenunabhängig in den NIS2-Anwendungsbereich (Artikel 3 §4). Für das vollständige Bild dazu, wie die drei Regime zusammenwirken, lesen Sie NIS2, DORA und CER: sich überlappende Regulierungen.

eIDAS (Artikel 14 §3). Daten von Vertrauensdiensteanbietern, die von der eIDAS-Aufsichtsstelle an das CCB übermittelt werden, vermeiden eine doppelte Registrierung.

DSGVO. Verpflichtende Zusammenarbeit mit der APD/GBA bei vermuteten Verletzungen des Schutzes personenbezogener Daten (Artikel 48 §7), Non-bis-in-idem bei Bußgeldern (Artikel 54 §2) und die vorgelagerte Kontrolle der APD über CSIRT-Anfragen nach Metadaten (Artikel 21 §4) definieren gemeinsam die Abgrenzung.

Sektorspezifische Lektüre

Wenn Ihre Organisation in einem regulierten Sektor tätig ist, weist die Anhangskategorisierung direkt auf die entsprechenden sektoralen Leitfäden:

• Energie (Anhang I §1): NIS2 im Energiesektor.
• Verkehr (Anhang I §2): NIS2 im Verkehr: Luftfahrt, Schiene, See, Straße.
• Bankwesen und Finanzmarktinfrastrukturen (Anhang I §3 und §4): siehe die DORA-Überschneidung oben.
• Gesundheitswesen (Anhang I §5): NIS2 im Gesundheitswesen: Krankenhäuser und Pharma.
• Digitale Infrastruktur (Anhang I §8): NIS2 für Cloud und Rechenzentren.
• Verwaltung von IKT-Diensten (Anhang I §9): Werden MSPs und MSSPs unter NIS2 reguliert.
• Verarbeitendes Gewerbe (Anhang II §5): NIS2 im verarbeitenden Gewerbe.

Was Sie in diesem Quartal tun sollten

Das Gesetz ist seit zwanzig Monaten in Kraft. Inzwischen haben die meisten Führungsteams einige Fortschritte erzielt; die Lücke liegt nach unserer Erfahrung selten in der Registrierung und selten im ersten Vorfallsreaktions-Runbook. Die Lücke liegt in der schwierigeren Mitte: Konformitätsbewertung, Kontrolle der Lieferkette und die Dokumentationsspur, die einem CCB-Audit standhält. Eine vernünftige Reihenfolge für die nächsten neunzig Tage:

1. Anwendungsbereich erneut bestätigen. Nutzen Sie den NIS2-Anwendungsbereichsprüfer oder beauftragen Sie einen Rechtsbeistand mit einer Überprüfung von Artikel 3 an Ihren Tätigkeiten. Achten Sie darauf, ob das CER-Gesetz vom 19. Dezember 2025 Ihre Benennung verändert hat.
2. Ihre Ansprechpartner identifizieren. Standardmäßig das CCB; die BNB für den Finanzsektor (außer Handelsplätze); BIPT für digitale Infrastruktur und Post/Versand; FANC für die Elemente des Stromtransports von Kernkraftwerken.
3. Bestätigen, dass die Registrierung aktuell ist. Wenn Sie sich 2024 oder 2025 registriert haben, prüfen Sie, ob Kontaktdaten des Unternehmens, IP-Bereiche und sektorale Klassifizierung die Realität noch widerspiegeln, und denken Sie an die Fristen von zwei Wochen (allgemein) und drei Monaten (digital) für die Meldung von Änderungen.
4. Ihre Route zur Konformitätsbewertung planen. Wählen Sie zwischen externer Bewertung (typischerweise gegen CyberFundamentals auf dem geeigneten Niveau) und CCB-Inspektion. Der Mechanismus der widerlegbaren Vermutung in Artikel 42 macht den Rahmen-Weg für die meisten wesentlichen Einrichtungen zur dominierenden Wahl.
5. Den Vorstand erneut informieren. Die persönliche Haftung nach Artikel 31 ist das wichtigste Gespräch, das auf Ebene des Leitungsorgans zu führen ist. Erneuern Sie die Genehmigung der Maßnahmen, dokumentieren Sie die durchgeführten Schulungen und erfassen Sie Protokolle. Artikel 61 dehnt die Verantwortung auf gesetzliche Vertreter und Personen mit Kontrollbefugnissen aus: benennen Sie sie.
6. Das Vorfallsregime straffen. Bilden Sie Ihren Erkennungs-, Klassifizierungs- und Meldefluss auf die Uhren von 24 Stunden, 72 Stunden und einem Monat nach Artikel 35 ab. Hinterlegen Sie Ihre Kontaktdaten vorab beim CCB. Validieren Sie, dass Ihr Runbook die 24-Stunden-Variante für Vertrauensdiensteanbieter berücksichtigt, falls relevant.
7. Die Lücken bei Artikel 30 schließen, einschließlich der elften. Führen Sie eine Kontrollabbildung gegen die elf Kategorien durch. Der belgische Zusatz (koordinierte Offenlegung von Schwachstellen) ist derjenige, den die meisten Teams vergessen: schreiben Sie die Richtlinie, veröffentlichen Sie den Kontaktpunkt und verknüpfen Sie sie mit dem Haftungsausschluss in Artikel 23.

Für ein längeres Handbuch durchquert der NIS2-Compliance-Leitfaden jede Pflicht der Reihe nach. Für einen Vergleich, wie ein Nachbarrechtsraum dieselbe Richtlinie umgesetzt hat, ist unser Begleitartikel zu NIS2 in Luxemburg eine nützliche Lektüre: derselbe EU-Text, zwei deutlich unterschiedliche nationale Designs.

Quellen und Referenzen

Primärquellen:

• Belgien, Gesetz vom 26. April 2024 zur Festlegung eines Rahmens für die Cybersicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit, Belgisches Staatsblatt (Moniteur belge / Belgisch Staatsblad) vom 17. Mai 2024 (S. 63179, NUMAC 2024202344). ELI: https://www.ejustice.just.fgov.be/eli/loi/2024/04/26/2024202344/justel.
• Belgien, Gesetz vom 19. Dezember 2025 über die Resilienz kritischer Einrichtungen, Belgisches Staatsblatt vom 19. Januar 2026 (zur Änderung des NIS2-Gesetzes, zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Ausdehnung CSIRT-bezogener Bestimmungen über einen neuen Artikel 75).
• Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie). Referenzseite: digital-strategy.ec.europa.eu/de/policies/nis2-directive. Konsolidierter Text auf EUR-Lex: eur-lex.europa.eu/eli/dir/2022/2555/oj.
• Verordnung (EU) 2022/2554 (DORA), sowie der entsprechende sektorale Ausschluss nach Artikel 6 §3 des NIS2-Gesetzes.
• Empfehlung 2003/361/EG der Kommission zur Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen.

Belgische Stellen:

• Zentrum für Cybersicherheit Belgien (CCB, Centre pour la Cybersécurité Belgique), nationale zuständige Behörde, zentrale Anlaufstelle und nationales CSIRT: ccb.belgium.be.
• Nationales Krisenzentrum (NCCN, Centre national de crise), Co-Lead für die Steuerung von Cyberkrisen.
• Belgische Nationalbank (BNB, Banque Nationale de Belgique), sektorale Behörde für den Finanzsektor.
• Behörde für Finanzdienste und Märkte (FSMA, Autorité des services et marchés financiers), kooperierende Behörde für Handelsplatzbetreiber.
• Belgisches Institut für Postdienste und Telekommunikation (BIPT/IBPT, Institut belge des services postaux et des télécommunications), sektorale Behörde für digitale Infrastruktur sowie Post/Versand.
• Föderalagentur für Nuklearkontrolle (FANC, Agence fédérale de Contrôle nucléaire), sektorale Behörde für die Elemente des Stromtransports von Kernkraftwerken.
• Datenschutzbehörde (APD/GBA, Autorité de protection des données), Gegenstelle für die DSGVO-Zusammenarbeit und die vorgelagerte Kontrolle der CSIRT-Anfragen nach Metadaten.

Für eine begleitende Analyse, wie ein anderer EU-Mitgliedstaat dieselbe Richtlinie umgesetzt hat, lesen Sie NIS2 in Luxemburg: Wie das Gesetz vom 5. Mai 2026 die EU-Richtlinie umsetzt.

Dieser Artikel spiegelt das Gesetz wider, wie es am 2. Juni 2026 in Kraft ist, einschließlich der durch das CER-Gesetz vom 19. Dezember 2025 vorgenommenen Änderungen. Das CCB veröffentlicht weiterhin Durchführungsleitlinien und CyberFundamentals-Aktualisierungen; konsultieren Sie die Seite des CCB für die aktuellsten offiziellen Leitlinien, bevor Sie operative Entscheidungen abschließen.