NIS2 in Belgien

Leitfaden zur NIS2-Umsetzung und -Compliance in Belgien.

Dieses Dokument enthält Informationen mit Stand Februar 2026. Obwohl alle zumutbaren Schritte unternommen wurden, um die Richtigkeit der Inhalte zu überprüfen, werden die Informationen ohne Gewähr für Vollständigkeit oder Richtigkeit bereitgestellt und können Änderungen unterliegen. Obgleich wir beabsichtigen, diese Inhalte regelmäßig zu aktualisieren, wird empfohlen, kritische Informationen eigenständig zu verifizieren.

Belgien hat die NIS2-Richtlinie durch aktualisierte nationale Cybersicherheitsgesetzgebung umgesetzt und die Pflichten für Einrichtungen in kritischen und wichtigen Sektoren verstärkt. Dieser Leitfaden bietet einen strukturierten Überblick über Anwendungsbereich, Governance, Meldungen, Durchsetzung und Compliance-Erwartungen im Rahmen des nationalen belgischen Systems, zugeschnitten auf Entscheidungsträger in KMU, die NIS2-Compliance-Anforderungen in Belgien umsetzen.

1. Schnellüberblick zur KMU-Anwendbarkeit in Belgien

Gilt NIS2 für KMU in Belgien?

Ja — abhängig von Sektor und Größe.

Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
Gilt für in Belgien ansässige Einrichtungen und unter bestimmten Umständen für ausländische digitale Anbieter, die in Belgien Dienste anbieten.

KMU sollten ihre Einstufung frühzeitig im Rahmen des belgischen NIS2-Systems prüfen, um das Compliance-Risiko zu bestimmen.

2. Überblick über die NIS2-Umsetzung in Belgien

Belgien hat die Richtlinie durch das Law of 26 April 2024 umgesetzt, das einen Rahmen für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit schafft und das frühere Cybersicherheitsregime ersetzt und erweitert.

Das Gesetz wurde 2024 verabschiedet und harmonisiert das nationale Cybersicherheitsregime Belgiens mit der Richtlinie (EU) 2022/2555. Es stärkt Governance-Pflichten, erweitert den Sektorumfang und führt aktualisierte Aufsichtsmechanismen ein.

Die NIS2-Umsetzung Belgiens folgt der Basisstruktur der Richtlinie für Einstufung, Risikomanagement und Sanktionen. Bestimmte Verfahrensaspekte spiegeln die etablierte belgische Regulierungsarchitektur wider.

Nach aktuellem Stand der Umsetzung folgt Belgien dem NIS2-Richtlinien-Basisrahmen. Nationale Durchführungsdetails können spezifische Pflichten präzisieren.

3. Anwendungsbereich in Belgien

Wesentliche Einrichtungen

Einrichtungen, die in hochkritischen Sektoren tätig sind:

Wichtige Einrichtungen

Einrichtungen, die in anderen aufgeführten Sektoren tätig sind:

Belgien erweitert den sektoralen Umfang derzeit nicht materiell über die Mindestkategorien der Richtlinie hinaus.

4. Größenkriterien und KMU-Anwendbarkeit in Belgien

Die Basisschwellen gelten:

≥50 Beschäftigte und
≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die in erfassten Sektoren beide Kriterien erfüllen, sind automatisch im Anwendungsbereich.

Kleine und Kleinstunternehmen können einbezogen werden, wenn sie von den zuständigen Behörden aufgrund kritischer Bedeutung, öffentlicher Sicherheitsüberlegungen oder systemischer Relevanz benannt werden.

Belgische Behörden behalten Benennungsbefugnisse, sofern dies durch Risiko oder nationales Interesse gerechtfertigt ist.

5. Einstufungsrahmen für Einrichtungen in Belgien

Einrichtungen werden eingestuft als:

Wesentliche Einrichtungen — Unterliegen proaktiver Aufsicht, einschließlich Inspektionen und Compliance-Audits.
Wichtige Einrichtungen — Unterliegen primär reaktiver Aufsicht, ausgelöst durch Vorfälle oder Hinweise auf Nichteinhaltung.

Die Einstufung erfolgt automatisch nach Sektor und Größe. Behörden können Einrichtungen neu einstufen, wenn operative Auswirkungen oder Risikolage eine intensivere Aufsicht rechtfertigen.

Das belgische Einstufungsmodell spiegelt die Struktur der Richtlinie ohne strukturelle Abweichungen wider.

6. Anforderungen an das Management von Cybersicherheitsrisiken in Belgien

Das belgische Regime orientiert sich an der Richtlinien-Basis für Cybersicherheitspflichten. Erfasste Einrichtungen müssen angemessene und verhältnismäßige Maßnahmen umsetzen, die Folgendes adressieren:

Risikobeurteilung und Sicherheit von Informationssystemen
Erkennung und Behandlung von Vorfällen
Geschäftskontinuität und Krisenmanagement
NIS2-Lieferketten-Risikokontrollen in Belgien
Sichere Beschaffung und Entwicklung von IKT-Systemen
Zugriffs- und Authentifizierungsrichtlinien
Verschlüsselungs- und Kryptographie-Strategien
Umgang mit Schwachstellen und Offenlegung
Sensibilisierung und Schulung der Beschäftigten zur Cybersicherheit

Sicherheitsmaßnahmen müssen dem Stand der Technik und der organisatorischen Risikolage entsprechen. Eine Ausrichtung an ISO/IEC 27001 und anerkannter belgischer Cybersicherheitsleitlinien wird empfohlen.

Lieferketten-Risikomanagement umfasst vertragliche Schutzmaßnahmen und die Überwachung von IKT-Drittanbietern.

7. Managementhaftung und Governance in Belgien

Leitungsorgane müssen Maßnahmen zum Management von Cybersicherheitsrisiken formell genehmigen und deren Umsetzung überwachen.

Nach dem belgischen Rahmen:

Gremien tragen die Verantwortung für die Compliance.
Das obere Management muss angemessene Cybersicherheitskompetenz sicherstellen.
Behörden können bei Governance-Versäumnissen Verwaltungsmittel anwenden.
Die vorübergehende Suspendierung von Leitungsfunktionen kann unter richtlinienkonformen Durchsetzungsinstrumenten möglich sein.

Die NIS2-Standards zur Managementhaftung in Belgien heben Cybersicherheit zu einer Compliance-Verantwortung auf Vorstandsebene an.

8. Meldepflichten für Vorfälle in Belgien

Definition eines erheblichen Sicherheitsvorfalls

Ein Vorfall gilt als bedeutend, wenn er zu Folgendem führt:

Schwere Betriebsstörung
Erheblicher finanzieller Verlust
Erhebliche gesellschaftliche Auswirkungen
Grenzüberschreitende Auswirkungen

Meldezeitplan

Meldestufe	Frist	Behörde
Frühwarnung	24 Stunden	Centre for Cybersecurity Belgium (CCB)
Vorfallsmeldung	72 Stunden	Centre for Cybersecurity Belgium (CCB)
Abschlussbericht	1 Monat	Centre for Cybersecurity Belgium (CCB)

Belgien folgt der Richtlinienstruktur für NIS2-Meldefristen. Sektorspezifische Regulierer können, wo relevant, mit dem CCB koordinieren.

9. Aufsichtsbehörden und Durchsetzungsmodell in Belgien

Zuständige Hauptbehörde: Centre for Cybersecurity Belgium (CCB).

Belgien betreibt ein zentrales Koordinationsmodell, in dem sektorspezifische Regulierer, wo anwendbar, Aufsichtsfunktionen beitragen.

Supervisory powers include:

Auskunftsverlangen
Sicherheitsaudits
Vor-Ort-Inspektionen
Verbindliche Compliance-Anordnungen
Teilnahme an EU-Kooperationsmechanismen

Das belgische Durchsetzungsmodell ist in EU-weite Koordinierungsgremien der Cybersicherheit integriert.

10. NIS2-Bußgelder und Sanktionen in Belgien

Belgien wendet richtlinienkonforme Verwaltungssanktionen an.

Wesentliche Einrichtungen

Bis zu €10 Millionen oder 2% des weltweiten jährlichen Gesamtumsatzes (je nachdem, welcher Betrag höher ist)

Wichtige Einrichtungen

Bis zu €7 Millionen oder 1.4% des weltweiten jährlichen Gesamtumsatzes (je nachdem, welcher Betrag höher ist)

Die Durchsetzung von NIS2-Bußgeldern in Belgien kann zudem Folgendes umfassen:

Verbindliche Abhilfemaßnahmen
Öffentliche Benennung nichtkonformer Einrichtungen
Aussetzung von Zertifizierungen oder Genehmigungen
Befugnisse zur Suspendierung von Leitungsfunktionen

11. NIS2-Lieferkette und Lieferantensicherheit in Belgien

Einrichtungen müssen Drittparteien-Cyberrisiken steuern durch:

Lieferanten-Due-Diligence-Prozesse
Vertragliche Sicherheitsklauseln
Kontinuierliche Überwachung von IKT-Lieferanten
Analyse von Klumpenrisiken
Kontrollen zur Begrenzung der Vorfallausbreitung

Der Ansatz Belgiens entspricht der Richtlinien-Basis und betont eine verhältnismäßige Aufsicht über externe Dienstleister.

12. Registrierungs- und Selbstidentifikationspflichten in Belgien

Entities within scope must:

Registrierung bei den zuständigen Behörden
Angabe unternehmensbezogener Identifikationsdaten
Angabe der Sektorzuordnung
Aktuelle Kontaktdaten pflegen

Fristen und Verfahrensmechanismen sind im belgischen Umsetzungsrahmen definiert. Nach aktuellem Stand der Umsetzung folgt Belgien dem NIS2-Richtlinien-Basisrahmen. Nationale Durchführungsdetails können spezifische Pflichten präzisieren.

Selbstidentifizierung ist obligatorisch, wenn Einrichtungen gesetzliche Schwellenwerte erfüllen.

13. Zusammenspiel mit GDPR und anderen Gesetzen in Belgien

Die Datenschutz-Grundverordnung gilt weiterhin neben NIS2.

Überschneidungen umfassen:

Doppelte Meldepflichten für Vorfälle
Koordination der Aufsichtsbehörden
72-Stunden-Meldungen bei Verletzungen personenbezogener Daten
Sektorspezifische belgische Cybersicherheitsvorschriften

Vorfälle, die sowohl Systemresilienz als auch personenbezogene Daten betreffen, können parallele Compliance-Pflichten auslösen.

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Belgien unterliegen für grenzüberschreitende Dienste der belgischen Aufsicht.

Ausländische digitale Anbieter, die Leistungen nach Belgien erbringen, können je nach Niederlassung und Servicemodell nationalen Pflichten unterliegen.

Vertretungspflichten folgen den Richtlinienstandards für Nicht-EU-Anbieter, die belgische Märkte bedienen.

15. Umsetzungszeitplan in Belgien

Annahme der Richtlinie: 2022
Verabschiedung des nationalen Gesetzes: 2024
Inkrafttreten: Nach nationaler Veröffentlichung
Notifizierung an die Kommission: Im Einklang mit EU-Verfahren
Compliance-Meilenstein: Richtlinienkonforme Fristen

Der belgische Gesetzgebungszeitplan hält den EU-Umsetzungsfahrplan ohne öffentlich bekannt gemachte verlängerte Übergangszeiträume ein.

16. Zentrale Erkenntnisse für KMU in Belgien

Mittelgroße Einrichtungen in erfassten Sektoren sind automatisch im Anwendungsbereich.
Kleine Einrichtungen können je nach Risiko oder Kritikalität benannt werden.
Aufsicht auf Vorstandsebene ist verpflichtend.
Vorfalldokumentation folgt der Struktur 24h / 72h / 1 Monat.
Finanzielle Sanktionen können bis zu €10 million oder 2% des globalen Umsatzes erreichen.
Risikomanagement für Lieferanten ist eine Kernpflicht.
Frühe Compliance-Planung verringert das Durchsetzungsrisiko.

FAQ: NIS2 Belgien KMU-Leitfaden

Gilt NIS2 für kleine Unternehmen in Belgien?

Kleine Unternehmen sind grundsätzlich ausgenommen, es sei denn, sie werden benannt oder sind in hochkritischen Sektoren tätig. Mittelgroße Einrichtungen, die die Größenkriterien erfüllen, sind automatisch einbezogen.

Wie hoch sind die NIS2-Bußgelder in Belgien?

Wesentliche Einrichtungen können mit Geldbußen bis zu €10 million oder 2% des globalen Jahresumsatzes belegt werden. Wichtige Einrichtungen unterliegen Geldbußen bis zu €7 million oder 1.4% des globalen Jahresumsatzes.

Wann tritt NIS2 in Belgien in Kraft?

Belgien hat 2024 Umsetzungsrechtsvorschriften verabschiedet. Das Inkrafttreten erfolgt nach nationaler Veröffentlichung und EU-Notifizierungsverfahren.

Wer setzt NIS2 in Belgien durch?

Das Centre for Cybersecurity Belgium (CCB) dient als primäre koordinierende Aufsichtsbehörde und wird, wo anwendbar, von Sektorregulierern unterstützt.

Können Geschäftsleiter nach NIS2 in Belgien persönlich haftbar sein?

Leitungsorgane müssen Cybersicherheitsmaßnahmen genehmigen und überwachen. Administrative Durchsetzungsinstrumente können in schweren Fällen Suspendierungsbefugnisse umfassen.

Worin unterscheidet sich NIS2 von GDPR in Belgien?

NIS2 regelt Cybersicherheitsrisikomanagement und operative Resilienz. GDPR fokussiert auf den Schutz personenbezogener Daten. Beide können nach einem Cybervorfall gleichzeitig gelten.

Was gilt als bedeutender Vorfall nach NIS2 in Belgien?

Ein Vorfall, der schwere Störungen, erhebliche finanzielle Verluste, gesellschaftliche Auswirkungen oder grenzüberschreitende Folgen verursacht, erfüllt typischerweise die Meldeschwelle.