Belgien gehört zu den ersten EU-Mitgliedstaaten, die die NIS2-Richtlinie fristgerecht und vollständig in nationales Recht umgesetzt haben. Das belgische Cybersicherheitsgesetz vom 26. April 2024 schuf einen verbindlichen Rechtsrahmen für Netz- und Informationssicherheit – Monate bevor zahlreiche andere EU-Länder die Umsetzungsfrist verpassten. Für deutsche Unternehmen mit Tochtergesellschaften, Niederlassungen oder kritischen Lieferanten in Belgien entsteht daraus eine doppelte Compliance-Pflicht: Neben dem deutschen NIS2UmsuCG und der Aufsicht durch das BSI gelten die Anforderungen des belgischen Cybersicherheitsgesetzes, überwacht durch das Centre for Cybersecurity Belgium (CCB). Dieser Leitfaden erklärt, wie Belgien NIS2 umgesetzt hat, welche Rolle das CCB und das CyFun-Framework spielen und was das konkret für deutsch-belgische Unternehmensstrukturen bedeutet. Den europäischen Rahmen beschreibt der Leitfaden zu den NIS2-Grundlagen.
Belgiens frühe NIS2-Umsetzung: Das Cybersicherheitsgesetz 2024
Belgien erlangte innerhalb der EU den Status eines Vorreiters bei der NIS2-Umsetzung: Das belgische Cybersicherheitsgesetz (Wet van 26 april 2024 / Loi du 26 avril 2024) wurde am 26. April 2024 im Belgischen Staatsblad veröffentlicht und trat damit frühzeitig in Kraft – vor dem EU-weiten Transpositionsdatum des 17. Oktober 2024. Während Deutschland den Umsetzungsprozess durch das NIS2UmsuCG parallel abschloss und zahlreiche andere Mitgliedstaaten Vertragsverstoßverfahren der Europäischen Kommission riskierten, hatten belgische Unternehmen bereits Klarheit über ihre gesetzlichen Pflichten.
Das belgische Gesetz setzt sämtliche Kernelemente der NIS-2-Richtlinie (EU) 2022/2555 um und ergänzt diese durch einen nationalen Implementierungsstandard. Im Einzelnen:
- Zweistufiges Einrichtungssystem: wesentliche Einrichtungen (essentiële entiteiten) und wichtige Einrichtungen (belangrijke entiteiten)
- Zehn Sicherheitsmaßnahmenkategorien nach Artikel 21 NIS2, darunter Risikoanalyse, Vorfallmanagement, Business Continuity, Lieferkettensicherheit und Kryptografie
- Dreistufige Meldepflichten: Frühwarnung (24 Stunden), Erstmeldung (72 Stunden), Abschlussbericht (1 Monat)
- Persönliche Haftung der Unternehmensleitung nach Artikel 20 NIS2, einschließlich Schulungspflicht und Billigung der Sicherheitsmaßnahmen durch das Management
- Bußgeldrahmen: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für wesentliche Einrichtungen; bis zu 7 Millionen Euro oder 1,4 Prozent für wichtige Einrichtungen
Ein belgisches Spezifikum ist die konsequente Einbindung des vor NIS2 entwickelten CyFun-Frameworks als verbindlicher Implementierungsstandard. Das Centre for Cybersecurity Belgium stellte dieses praxisorientierte Werkzeug kurz nach Inkrafttreten des Gesetzes bereit, sodass Unternehmen konkrete Umsetzungshilfe erhielten – ein Vorteil, den in Deutschland erst die BSI-Orientierungshilfen und spätere Durchführungsverordnungen (CIR 2024/2690) brachten. Königliche Erlässe (Koninklijke Besluiten / Arrêtés royaux) präzisieren die Sektorzuordnungen und schaffen die Grundlage für die delegierte Regulierung einzelner Branchen.
Das Centre for Cybersecurity Belgium (CCB) – nationale Behörde und Aufsicht
Das Centre for Cybersecurity Belgium (CCB, Centrum voor Cybersecurity België) ist die zentrale staatliche Cybersicherheitsbehörde Belgiens und übernimmt im belgischen NIS2-System eine Doppelrolle: Als nationale Behörde nach Artikel 8 NIS2 und als sektorenübergreifende Aufsichtsbehörde für die meisten NIS2-Sektoren ist das CCB das belgische Äquivalent zum deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI). Gegründet 2015 und seither kontinuierlich ausgebaut, verfügt das CCB über eine solide institutionelle Basis für die Umsetzung der erweiterten NIS2-Mandate.
Zu den Kernaufgaben des CCB gehören:
- Identifikation und Registrierung betroffener wesentlicher und wichtiger Einrichtungen in einem nationalen Register
- Aufsicht und Compliance-Prüfungen – proaktiv für wesentliche Einrichtungen (ex-ante), reaktiv für wichtige Einrichtungen (ex-post)
- Koordination mit sektorspezifischen Behörden, etwa dem Institut Belge des services postaux et des télécommunications (IBPT/BIPT) für Telekommunikation oder der Agence fédérale de Contrôle nucléaire (AFCN) für Kernenergie
- Entwicklung und Pflege des CyFun-Frameworks als verbindliche Implementierungsmethodik für NIS2-betroffene Einrichtungen
- Verhängung von Bußgeldern und aufsichtsrechtlicher Maßnahmen bei Verstößen gegen das Cybersicherheitsgesetz
- Strategische Cybersicherheitspolitik auf nationaler und europäischer Ebene (NIS Cooperation Group, CSIRT-Netzwerk, ENISA)
Belgiens geopolitische Lage – Sitz der EU-Institutionen in Brüssel, NATO-Hauptquartier und wichtiger Finanzplatz – verleiht dem CCB überproportionale Bedeutung im europäischen Cybersicherheitsgefüge. Das CCB ist aktives Mitglied der NIS Cooperation Group und der CSIRTs Network Group auf ENISA-Ebene. Diese institutionelle Einbettung spiegelt sich in der Qualität der CCB-Leitlinien wider: CyFun gilt in EU-Kreisen als Referenzmodell für eine operationale NIS2-Implementierungsmethodik.
Ein struktureller Unterschied zur deutschen Aufsichtsstruktur: In Deutschland ist die Regulierungszuständigkeit zwischen BSI (zentrale Cybersicherheitsbehörde) und sektorspezifischen Regulatoren wie der Bundesnetzagentur (BNetzA) oder der BaFin aufgeteilt. Das CCB agiert als primäre Behörde mit geringerer sektoraler Aufsplitterung, was die Zuständigkeiten für betroffene Unternehmen übersichtlicher gestaltet. Eine Liste der sektorspezifisch betroffenen Einrichtungstypen vermittelt der Leitfaden zum NIS2-Anwendungsbereich.
Das CyFun-Framework – Belgiens Implementierungsstandard für NIS2-Compliance
Das CyFun-Framework (Cybersecurity Framework) wurde vom CCB entwickelt, um belgischen Einrichtungen eine strukturierte, praxistaugliche Methodik zur NIS2-Compliance an die Hand zu geben. CyFun basiert auf dem NIST Cybersecurity Framework (CSF) und übersetzt die abstrakten Anforderungen des Artikel 21 NIS2 in konkrete, prüfbare Kontrollen mit definierten Reifegradkategorien. Gegenüber dem NIST CSF ergänzt CyFun spezifische EU-rechtliche Anforderungen (DSGVO, NIS2) und eine verbindliche Tierzuordnung, die in anderen Mitgliedstaaten erst durch sekundärrechtliche Durchführungsverordnungen entstehen.
CyFun gliedert sich in fünf Funktionsbereiche, die den NIST-CSF-Kernfunktionen entsprechen:
- Identifizieren (Identify): Governance, Risikomanagement, Asset-Inventar, Lieferkettenprozesse und regulatorische Anforderungen
- Schützen (Protect): Zugangskontrolle, Mitarbeiterschulungen, sichere Konfiguration, Datensicherheit und Kryptografie
- Erkennen (Detect): kontinuierliches Monitoring, Anomalieerkennung, Sicherheitsereignis-Protokollierung
- Reagieren (Respond): Incident-Response-Plan, Kommunikation mit Behörden, Eindammung und Analyse
- Wiederherstellen (Recover): Business Continuity, Wiederanlaufplanung und Lessons-Learned-Prozesse
CyFun definiert vier Tierstufen (Reifegradstufen), die je nach Klassifizierung der Einrichtung verbindlich einzuhalten sind:
| Tierstufe | Einrichtungstyp | Anforderungsprofil |
|---|---|---|
| Tier 1 | Kleine wichtige Einrichtungen | Grundlegende Sicherheitskontrollen; Cyberhygiene und Basismaßnahmen |
| Tier 2 | Wichtige Einrichtungen | Systematisches Risikomanagement; dokumentierte, wiederholbare Sicherheitsprozesse |
| Tier 3 | Wesentliche Einrichtungen | Quantitativ gesteuertes Sicherheitsmanagement; kontinuierliche Verbesserung |
| Tier 4 | Große wesentliche Einrichtungen | Optimierend; regelmäßige externe Prüfungen durch akkreditierte Auditoren |
Das CCB stellt ein kostenloses Online-Self-Assessment-Tool bereit, mit dem Einrichtungen ihren CyFun-Reifegrad anhand eines strukturierten Fragebogens bewerten können. Dieses Self-Assessment ist Ausgangspunkt für den Compliance-Nachweis gegenüber dem CCB und muss regelmäßig wiederholt werden. Einrichtungen auf Tier 3 und Tier 4 sind zusätzlich verpflichtet, ihre Sicherheitsmaßnahmen durch akkreditierte externe Prüfer auditieren zu lassen – vergleichbar mit den Prüfanforderungen für besonders wichtige Einrichtungen nach deutschem BSIG.
Für deutsche Konzerne mit belgischen Tochtergesellschaften bedeutet CyFun konkret: Die belgische Einheit muss ihre NIS2-Compliance nicht nur inhaltlich erfüllen, sondern im CyFun-Strukturrahmen dokumentieren. Unternehmen, die bereits ISO 27001 oder BSI IT-Grundschutz implementiert haben, können zahlreiche Kontrollen direkt mappen – eine formale Lückenanalyse (Gap Analysis) und CCB-konforme Dokumentation sind dennoch erforderlich.
Betroffene Einrichtungen und Pflichten im Überblick
Das belgische NIS2-Recht folgt der europäischen Zweistufenstruktur und gilt für Einrichtungen, die in Belgien niedergelassen sind und die Größenschwellenwerte erfüllen: mindestens 50 Mitarbeiter oder ein Jahresumsatz über 10 Millionen Euro. Einrichtungen mit mehr als 250 Mitarbeitern oder über 50 Millionen Euro Jahresumsatz in hochkritischen Sektoren werden in der Regel als wesentliche Einrichtungen eingestuft.
| Merkmal | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Sektorzuordnung | Anhang I NIS2 (Energie, Gesundheit, Finanz, digitale Infrastruktur u. a.) | Anhang II NIS2 (Chemie, Lebensmittel, Fertigung, Post u. a.) |
| Aufsichtsmodus | Proaktiv (ex-ante) durch CCB | Reaktiv (ex-post) durch CCB |
| CyFun-Tierstufe | Tier 3 oder Tier 4 | Tier 2 |
| Bußgeldrahmen | max. 10 Mio. EUR / 2 % Jahresumsatz | max. 7 Mio. EUR / 1,4 % Jahresumsatz |
| Externe Prüfung | Verpflichtend (Tier 3/4) | Auf Anordnung des CCB |
| Registrierungspflicht | Ja (beim CCB) | Ja (beim CCB) |
Die CCB-Registrierung erfolgt über das Online-Portal des CCB und war für die meisten betroffenen Einrichtungen bereits ab Mitte 2024 Pflicht. Nicht registrierte Einrichtungen riskieren unmittelbare Bußgelder, auch wenn noch keine inhaltliche Prüfung stattgefunden hat. Sektorspezifische Besonderheiten – etwa für Betreiber kritischer Infrastruktur im Energie- oder Gesundheitssektor – werden durch Königliche Erlässe präzisiert. Eine Ersteinschätzung, ob eine Einrichtung grundsätzlich in den NIS2-Anwendungsbereich fällt, ermöglicht der Leitfaden zum NIS2-Anwendungsbereich.
Meldepflichten und die Rolle von CERT.be
CERT.be (Computer Emergency Response Team Belgium) ist das operative Cyber-Notfallteam Belgiens und wird unter dem Dach des CCB betrieben. Als nationales CSIRT im Sinne von Artikel 10 NIS2 ist CERT.be rund um die Uhr erreichbar und erste Anlaufstelle für die Meldung erheblicher Sicherheitsvorfälle. Zusätzlich koordiniert CERT.be grenzüberschreitende Vorfälle mit europäischen CSIRT-Partnern über das ENISA-CSIRT-Netzwerk.
Die belgischen Meldepflichten folgen dem dreistufigen europäischen Modell:
- Frühwarnung (24 Stunden): Erstmeldung eines erheblichen Vorfalls an CERT.be; reicht aus, um die Frist zu wahren – vollständige technische Details sind noch nicht erforderlich
- Erstmeldung (72 Stunden): Aktualisierte Meldung mit verfügbaren Informationen zu Angriffsvektor, Schweregrad und Auswirkungen auf betroffene Dienste
- Abschlussbericht (1 Monat): Vollständiger Bericht mit Root-Cause-Analyse, Verlauf des Vorfalls und ergriffenen Gegenmaßnahmen
Ein erheblicher Vorfall liegt im belgischen Recht vor, wenn er die Verfügbarkeit, Integrität oder Vertraulichkeit der betroffenen Netz- und Informationssysteme erheblich beeinträchtigt und spezifische Schwellenwerte überschreitet – etwa die Anzahl betroffener Nutzer, die Dauer des Ausfalls oder wirtschaftliche Folgeschäden. CERT.be bietet darüber hinaus proaktive Dienste: Schwachstellenwarnungen, Threat Intelligence und kostenlose Sicherheitsberatung für registrierte Einrichtungen. Bei grenzüberschreitenden Vorfällen mit Relevanz für Deutschland müssen Unternehmen sowohl CERT.be als auch das BSI informieren.
Was deutsche Unternehmen mit Belgien-Bezug beachten müssen
Für deutsche Unternehmensgruppen mit Präsenz in Belgien ergeben sich aus der belgischen NIS2-Umsetzung konkrete Handlungspflichten, die die deutschen NIS2UmsuCG-Pflichten ergänzen. Belgien hat NIS2 frühzeitig umgesetzt und die Aufsicht durch das CCB bereits aufgenommen – deutsche Muttergesellschaften können also nicht davon ausgehen, dass belgische Tochtergesellschaften noch in einer Umsetzungsphase sind.
Besonders relevant sind folgende Konstellationen:
- Belgische Tochtergesellschaften: Eine in Belgien registrierte Tochtergesellschaft, die die Schwellenwerte erfüllt und einem NIS2-Sektor angehört, muss sich beim CCB registrieren, das CyFun-Framework implementieren und erhebliche Vorfälle an CERT.be melden – unabhängig davon, ob die Muttergesellschaft in Deutschland ihrerseits dem BSI-Regime unterliegt
- Lieferkette: Deutsche Unternehmen, die als kritische Lieferanten für belgische NIS2-Einrichtungen fungieren, können im Rahmen der Lieferkettensicherheitspflichten (Art. 21 Abs. 2 lit. d NIS2) indirekt Anforderungen ausgesetzt sein
- Digitale Dienstleister: DNS-Anbieter, Cloud-Provider oder Managed-Service-Provider mit Sitz in Deutschland, die in Belgien tätig sind und die belgischen Schwellenwerte erfüllen, müssen den belgischen Regulierungsrahmen gesondert prüfen
Im Vergleich zum deutschen System bietet das belgische CyFun-Framework überwiegend Vorteile für die Implementierungsplanung: Die strukturierte Tierstufen-Logik macht den Compliance-Weg transparenter als die abstrakte Formulierung der zehn Maßnahmenkategorien allein. Unternehmen, die in Deutschland bereits mit ISO 27001 oder BSI IT-Grundschutz arbeiten, sollten für ihre belgischen Einheiten ein formales CyFun-Mapping erstellen und die CCB-Registrierung ohne Verzögerung sicherstellen. Einen direkten Vergleich mit der deutschen Umsetzung bietet der Leitfaden zu NIS2 in Deutschland.
Häufig gestellte Fragen
Hat Belgien NIS2 fristgerecht umgesetzt?
Ja. Belgien gehört zu den wenigen EU-Mitgliedstaaten, die NIS2 bereits vor dem Transpositionsdatum (17. Oktober 2024) in nationales Recht übertragen haben. Das Cybersicherheitsgesetz vom 26. April 2024 wurde im Belgischen Staatsblad veröffentlicht und trat unmittelbar in Kraft. Königliche Erlässe konkretisieren die Sektorzuordnungen und schaffen die Grundlage für die Aufsicht durch das CCB.
Was ist das CyFun-Framework und ist es verbindlich?
CyFun (Cybersecurity Framework) ist die vom CCB entwickelte Implementierungsmethodik für belgische NIS2-Compliance. Es basiert auf dem NIST Cybersecurity Framework und definiert vier Tierstufen mit konkreten Kontrollanforderungen. Die Anwendung von CyFun ist für in Belgien niedergelassene NIS2-betroffene Einrichtungen verpflichtend; die Tierstufe richtet sich nach der Einstufung als wesentliche oder wichtige Einrichtung. Bestehende ISO-27001-Zertifizierungen müssen formal auf CyFun gemappt werden – eine automatische Anerkennung existiert nicht.
Was sind die Aufgaben von CCB und CERT.be?
Das CCB ist die nationale Regulierungs- und Aufsichtsbehörde (vergleichbar dem deutschen BSI): Registrierung von Einrichtungen, Compliance-Prüfungen, Bußgeldverfolgung und strategische Cybersicherheitspolitik. CERT.be ist der operative Arm des CCB für technische Incident Response und erste Anlaufstelle für Vorfallmeldungen gemäß den dreistufigen NIS2-Meldepflichten. Beide Institutionen sind beim belgischen föderalen öffentlichen Dienst (SPF Économie / FOD Economie) angesiedelt.
Müssen deutsche Unternehmen mit belgischen Tochtergesellschaften zweifach Compliance betreiben?
Im Grundsatz ja. Eine belgische Tochtergesellschaft, die NIS2-Kriterien erfüllt, unterliegt dem belgischen Cybersicherheitsgesetz und damit der Aufsicht des CCB – unabhängig von den Pflichten der deutschen Muttergesellschaft gegenüber dem BSI. Die materiellen Anforderungen (Sicherheitsmaßnahmen nach Art. 21 NIS2) sind inhaltlich deckungsgleich; der Unterschied liegt in den formalen Compliance-Mechanismen: CCB-Registrierung, CyFun-Dokumentation und Meldung an CERT.be statt BSI. Eine konsequente Konzern-Compliance-Struktur kann erhebliche Synergien heben, sofern sie die belgischen Spezifika – insbesondere das CyFun-Mapping – explizit adressiert.
Quellen
- Belgisches Staatsblad: Wet van 26 april 2024 betreffende de cyberbeveiliging van netwerk- en informatiesystemen, 26. April 2024
- Centre for Cybersecurity Belgium (CCB): CyFun Cybersecurity Framework – Version 2.0, ccb.belgium.be, 2024
- Europäisches Parlament und Rat der EU: Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2), Dezember 2022
- ENISA: NIS2 Transposition Status Report, enisa.europa.eu, 2024
- CERT.be: Incident Reporting Guidelines under the Belgian Cybersecurity Act, cert.be, 2024
Rechtshinweis: Dieser Beitrag dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar. Für verbindliche Aussagen zur NIS2-Compliance empfehlen wir die Konsultation eines qualifizierten Rechtsanwalts oder Datenschutzbeauftragten.
