NIS2-Belgien-Compliance-Leitfaden: CCB-Anforderungen und CyberFundamentals-Rahmenwerk für 2026

Vollständiger Leitfaden zur NIS2-Compliance in Belgien. Behandelt das CCB-Durchsetzungsrahmenwerk, das Gesetz vom 26. April 2024, CyberFundamentals (CyFun)-Compliance-Tracks, Einrichtungsklassifizierung, Sektoranforderungen, Sanktionen und die Frist vom 18. April 2026 für wesentliche Einrichtungen.

Vollständiger Leitfaden zur NIS2-Compliance in Belgien. Behandelt das CCB-Durchsetzungsrahmenwerk, das Gesetz vom 26. April 2024, CyberFundamentals (CyFun)-Compliance-Tracks, Einrichtungsklassifizierung, Sektoranforderungen, Sanktionen und die Frist vom 18. April 2026 für wesentliche Einrichtungen.

Belgien machte Geschichte als der erste EU-Mitgliedsstaat, der die NIS2-Richtlinie vollständig in nationales Recht umsetzte — das Gesetz vom 26. April 2024 wurde weit vor der EU-Frist vom 17. Oktober 2024 verabschiedet. Das Centre for Cybersecurity Belgium (CCB — Centre pour la Cybersécurité Belgique) beaufsichtigt nun eines der strukturiertesten NIS2-Compliance-Rahmenwerke in Europa, das auf dem CyberFundamentals (CyFun)-Sicherungsrahmen aufbaut.

Für belgische Organisationen — und die Cyberversicherungs-Fachleute, die sie betreuen — behandelt dieser Leitfaden alles Wichtige: den Rechtsrahmen, die Einrichtungsklassifizierung, die CyFun-Compliance-Tracks, sektorspezifische Pflichten, Sanktionen (einschließlich persönlicher Haftung für Leitungsorgane) und die kritische Frist vom 18. April 2026 für wesentliche Einrichtungen zur Einreichung des Compliance-Nachweises.

Belgiens NIS2-Rechtsrahmen

Das Gesetz vom 26. April 2024

Belgien setzte NIS2 durch das „Wet van 26 april 2024 / Loi du 26 avril 2024” um, das einen Rahmen für die Cybersicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit etabliert. Das Gesetz trat am 18. Oktober 2024 in Kraft und ist somit voll operativ.

Der umsetzende Königliche Erlass (veröffentlicht im Juni 2024) vervollständigte die Umsetzung durch:

  • Benennung des CCB als nationale Cybersicherheitsbehörde und nationale CSIRT
  • Identifizierung von Sektorbehörden, die das CCB bei der Aufsicht unterstützen
  • Festlegung von Konformitätsbewertungsverfahren und Verpflichtung zu regelmäßigen Bewertungen für wesentliche Einrichtungen
  • Anerkennung von CyberFundamentals (CyFun) und ISO/IEC 27001 als Referenzrahmen für den Compliancenachweis

Dieser Zwei-Wege-Ansatz — rechtliche Verpflichtungen mit einem konkreten Sicherungsrahmen zu verknüpfen, anstatt Compliance abstrakt zu lassen — macht Belgiens Modell zu einer der strukturiertesten NIS2-Umsetzungen in der EU.

Wesentliche Unterschiede zu NIS1

AspektNIS1 (Bisher)NIS2 Belgien (Aktuell)
Anwendungsbereich~300 belgische Einrichtungen~4.000+ belgische Einrichtungen (1.500 wesentliche + 2.500 wichtige)
EinrichtungsartenBetreiber wesentlicher Dienste + DSPsWesentliche + wichtige Einrichtungen
Sektoren7 Sektoren18 Sektoren (erheblich erweitert)
Compliance-RahmenAllgemein, prinzipienbasiertCyberFundamentals (CyFun) mit 4 Stufen
Vorfallmeldung72 Stunden24h Frühwarnung + 72h Vorfall + 30 Tage Abschluss
SanktionenBegrenzte VerwaltungsgelderBis zu 10 Mio. Euro oder 2% weltweiter Umsatz + persönliche Haftung

Wer ist erfasst: Einrichtungsklassifizierung

Belgien wendet die NIS2-Schwellenwerte an: Organisationen müssen complying, wenn sie eine oder beide Bedingungen erfüllen:

  • 50+ Vollzeitmitarbeiter
  • Jahresumsatz über 10 Mio. Euro

Wesentliche Einrichtungen (11 Sektoren)

Wesentliche Einrichtungen unterliegen den strengsten Verpflichtungen, einschließlich Ex-ante-Aufsicht (proaktive Inspektion vor Vorfall-Eintritt):

SektorBeispiele
EnergieStrom, Gas, Wasserstoff, Fernwärmebetreiber
VerkehrLuft, Schiene, Wasser, Straßenverkehrsinfrastruktur
BankwesenKreditinstitute, Zahlungssysteme
FinanzinfrastrukturHandelsplätze, zentrale Gegenparteien, zentrale Wertpapierverwahrer
GesundheitKrankenhäuser, Laboratorien, Medizinproduktehersteller
TrinkwasserProduktion und Verteilung
AbwasserSammlung und Behandlung
Digitale InfrastrukturDNS, TLD-Register, Cloud, Rechenzentren, CDNs
ICT-Dienstleistungsmanagement (B2B)Managed Service Provider, Managed Security Provider
Öffentliche VerwaltungFöderale, regionale und lokale Gebietskörperschaften
WeltraumWeltraum-Bodeninfrastrukturbetreiber

Wichtige Einrichtungen (7 Sektoren)

SektorBeispiele
Post- und KurierdiensteNationale Postbetreiber, Paketzustellung
AbfallwirtschaftSammlung, Behandlung, Entsorgung
ChemieProduktion, Vertrieb und Lagerung
LebensmittelProduktion, Verarbeitung, Vertrieb
Verarbeitendes GewerbeKritische Produkte (Sprengstoffe, Pharmazeutika, Medizinprodukte)
Digitale AnbieterOnline-Marktplätze, Suchmaschinen, soziale Netzwerke
ForschungÖffentliche und private Forschungsorganisationen

Das CyberFundamentals (CyFun)-Rahmenwerk

Belgiens CyberFundamentals-Rahmenwerk — allgemein bekannt als CyFun — ist das nationale Cybersicherheits-Sicherungsrahmenwerk, das vom CCB entwickelt wurde. Es basiert auf international anerkannten Standards (NIST CSF, ISO 27001, CIS Controls) und bietet vier progressive Compliance-Stufen:

CyFun-Stufen

StufeMaßnahmenAbdeckungZiel-Einrichtungen
SmallGrundlagenMikroorganisationenUnter-Schwellen-Einrichtungen (freiwillig)
Basic34 MaßnahmenStoppt 82% der von CERT.be dokumentierten AngriffeWesentliche Einrichtungen (Mindestanforderung)
Important99+ MaßnahmenUmfassende SicherheitWichtige Einrichtungen
Essential185+ MaßnahmenVollständige UnternehmenssicherheitWesentliche Einrichtungen (volle Zertifizierung bis April 2027)

Warum CyberFundamentals für die Versicherung wichtig ist

Das CyFun-Rahmenwerk schafft eine objektive, messbare Compliance-Baseline, die Cyberversicherer zur Risikobewertung nutzen können:

  • Organisationen mit CyFun-Basic-Verifizierung weisen grundlegende Sicherheitshygiene nach
  • CyFun-Important- oder Essential-Verifizierung signalisiert ausgereifte Sicherheitspraktiken
  • Fehlende CyFun-Verifizierung deutet auf potenzielles Compliance-Versagen und höheres Risiko hin

Zwei Compliance-Tracks

Belgische Einrichtungen können zwischen zwei Compliance-Wegen wählen:

Track 1: CyberFundamentals (Empfohlen)

  1. Auf dem Safeonweb@Work-Portal registrieren (erfordert KBO/BCE-Nummer)
  2. Gap-Analyse mit der CyFun-Toolbox durchführen
  3. Die erforderlichen Maßnahmen umsetzen (mit 34 Basic-Maßnahmen beginnen)
  4. Eine Verifizierungsbescheinigung von einer akkreditierten Bewertungsstelle einholen
  5. Nachweis über das Safeonweb@Work-Portal einreichen

Am besten für: Die meisten belgischen Organisationen, insbesondere solche ohne bestehende ISO-Zertifizierung.

Track 2: ISO/IEC 27001

  1. Auf dem Safeonweb@Work-Portal registrieren
  2. Einreichen:
    • Zertifizierungsumfang
    • Erklärung zur Anwendbarkeit (SoA)
    • Aktueller interner Audit-Bericht
  3. Frist für volle ISO-27001-Zertifizierung: April 2027

Am besten für: Organisationen mit bestehender ISO-Zertifizierung oder in komplexen multinationalen Umgebungen.

Track 3: Direkte Inspektion (Nicht empfohlen)

Einrichtungen können eine Selbstbewertung mit belegenden Dokumenten einreichen und formell eine Inspektion beantragen. Das CCB warnt ausdrücklich: „Dieser Weg kann direkt zu Aufsichtsmaßnahmen führen.” Dies bedeutet faktisch die Freiwillige Meldung zu einem regulatorischen Audit ohne die Struktur von CyFun oder ISO.

Die Frist vom 18. April 2026: Was wesentliche Einrichtungen tun müssen

Das CCB hat eine förmliche Aufforderung erlassen, die wesentliche Einrichtungen verpflichtet, Compliance-Informationen und belegende Nachweise für die Ex-ante-Aufsicht bis zum 18. April 2026 einzureichen. Dies ist keine prozedurale Formalität — es ist ein regulatorischer Kontrollpunkt mit Durchsetzungsfolgen.

Was wesentliche Einrichtungen einreichen müssen

Über den CyberFundamentals-Track:

  • Mindestens eine Basic- oder Important-Verifizierung erhalten oder aktiv beantragen
  • ODER eine unterzeichnete Vereinbarung mit einer akkreditierten Bewertungsstelle vorlegen

Über den ISO-27001-Track:

  • Zertifizierungsumfang, Erklärung zur Anwendbarkeit und aktuellen internen Audit-Bericht einreichen

Nichteinreichung vollständiger oder rechtzeitiger Informationen kann zu Verwaltungsmaßnahmen, Geldstrafen und weiteren Aufsichtsmaßnahmen führen.

Registrierungspflicht

Alle NIS2-Einrichtungen müssen sich über das Safeonweb@Work-Portal registrieren. Die allgemeine Registrierungsfrist war der 18. März 2025 (bereits abgelaufen). Ende 2025 hatte Belgien etwa 1.500 wesentliche Einrichtungen und 2.500 wichtige Einrichtungen registriert — jedoch hatten schätzungsweise 25% der registrierten Unternehmen noch nicht mit der Umsetzung begonnen.

Vorfallmeldepflichten

Belgische NIS2-Einrichtungen müssen bedeutende Vorfälle innerhalb strenger Fristen dem CCB melden:

MeldungFristInhalt
FrühwarnungInnerhalb von 24 Stunden nach EntdeckungErste Bewertung, wahrscheinliche Auswirkung, Kompromittierungsindikatoren
VorfallbenachrichtigungInnerhalb von 72 StundenAktualisierte Bewertung, Schweregrad, grenzüberschreitende Auswirkung
AbschlussberichtInnerhalb von 30 TagenVollständige Vorfallanalyse, Ursache, Behebungsmaßnahmen

Berichte werden über das Safeonweb@Work-Portal oder direkt an die CSIRT-Funktion des CCB eingereicht. Das CCB koordiniert mit den zuständigen Sektorbehörden und kann EU-weite Alarme über das CSIRT-Netzwerk ausgeben.

Sanktionen und persönliche Haftung

Finanzielle Sanktionen

EinrichtungsartHöchststrafe
Wesentliche EinrichtungenBis zu 10.000.000 Euro oder 2% des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)
Wichtige EinrichtungenBis zu 7.000.000 Euro oder 1,4% des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)

Persönliche Haftung für Leitungsorgane

Belgiens NIS2-Gesetz enthält persönliche Haftungsbestimmungen für C-Level-Führungskräfte und Vorstandsmitglieder:

  • Persönliche Geldstrafen für Führungsversagen im Zusammenhang mit Cybersicherheits-Governance
  • Temporäres Verbot der Bekleidung von Leitungspositionen in ähnlichen Einrichtungen
  • Das CCB kann öffentliche Bekanntgabe von Compliance-Versagen anordnen

Dies ist einer der bedeutendsten Aspekte von Belgiens NIS2-Umsetzung: Leitungsorgane können Cybersicherheitsverantwortung nicht delegieren, ohne persönlich haftbar zu bleiben.

Lieferketten-Auswirkung

Selbst unterhalb der Schwellenwerte liegende Unternehmen (weniger als 50 Mitarbeiter oder 10 Mio. Euro Umsatz) stehen unter Compliance-Druck:

Große NIS2-Einrichtungen sind verpflichtet, Cybersicherheitsrisiken in ihrer Lieferkette zu steuern. In der Praxis bedeutet dies, dass sie ihre Lieferanten, Partner und Dienstleister auffordern werden, Sicherheitscompliance nachzuweisen.

Belgische KMU, die wesentliche oder wichtige Einrichtungen beliefern, erhalten Sicherheitsfragebögen, Audit-Anfragen und vertragliche Cybersicherheitsklauseln — auch wenn sie nicht direkt von NIS2 reguliert werden.

Sektorspezifische Anforderungen

Finanzsektor (FSMA-Aufsicht)

Die Finanzaufsichtsbehörde (FSMA — Autoriteit voor Financiële Diensten en Markten) teilt sich die Aufsichtszuständigkeit mit dem CCB für Finanzinstitute. Belgische Banken und Finanzinfrastrukturbetreiber müssen sowohl NIS2 als auch DORA (Digital Operational Resilience Act) erfüllen, was sich überschneidende, aber ergänzende Anforderungen schafft.

Energiesektor (CREG/ELIA-Koordination)

Energiesektoreinrichtungen in Belgien — einschließlich des Übertragungsnetzbetreibers ELIA und der Verteilungsnetzbetreiber — unterliegen der CCB-Aufsicht in Koordination mit der Kommission für Strom- und Gasregulierung (CREG). Die hohe Verbundenheit des belgischen Energiesektors mit Nachbarländern (Frankreich, Niederlande, Luxemburg, Deutschland) macht die grenzüberschreitende Vorfallmeldung besonders wichtig.

Gesundheitswesen (eHealth-Plattform)

Gesundheitseinrichtungen müssen mit Belgiens eHealth-Plattform und dem Föderalen Öffentlichen Dienst für Gesundheit koordinieren. Angesichts der Sensibilität von Gesundheitsdaten überschneiden sich die NIS2-Verpflichtungen in diesem Sektor erheblich mit DSGVO-Anforderungen.

Digitale Infrastruktur

Belgiens Rolle als Hub für EU-Institutionen (Brüssel als Sitz der Europäischen Kommission, des Rates und des Parlaments) bedeutet, dass Anbieter digitaler Infrastruktur in Belgien erhöhter Kontrolle unterliegen. DNS-Anbieter, Cloud-Dienste und Rechenzentrumsbetreiber, die EU-Institutionen bedienen, stehen unter besonderem Druck, robuste NIS2-Compliance nachzuweisen.

Praktische Compliance-Checkliste für belgische Einrichtungen

  1. Prüfen Sie Ihren Anwendungsbereich — Nutzen Sie den CCB-Bereichsprüfer
  2. Registrieren Sie sich sofort — Über Safeonweb@Work (erfordert KBO/BCE-Nummer)
  3. Wählen Sie Ihren Compliance-Track — CyberFundamentals (empfohlen) oder ISO 27001
  4. Führen Sie eine Gap-Analyse durch — Laden Sie das Tool aus der CyFun-Toolbox herunter
  5. Priorisieren Sie die 34 Basic-Maßnahmen — Zugriffskontrolle, Patch-Management, Backups, Vorfallerkennung
  6. Dokumentieren Sie alles — Schriftliche Richtlinien, Verfahren, formeller Vorfallreaktionsplan
  7. Reichen Sie den Compliance-Nachweis ein — Über das Safeonweb@Work-Portal vor der Frist
  8. Planen Sie laufende Bewertungen — Wesentliche Einrichtungen stehen vor regelmäßigen Inspektionen

Wie Belgien im EU-Vergleich abschneidet

Belgiens NIS2-Umsetzung zeichnet sich durch Tempo und Struktur aus:

Belgien sticht dadurch hervor, dass es als Erstes umgesetzt hat, das CyFun-Compliance-Rahmenwerk zum Start bereit hatte und aktiv die Frist vom 18. April 2026 für den Compliance-Nachweis durchsetzt. Für das vollständige EU-weite Klassifizierungsrahmenwerk siehe unseren NIS2-Wesentliche vs. Wichtige Einrichtungen-Leitfaden.

Cyberversicherung-Auswirkungen für belgische Einrichtungen

NIS2-Compliance in Belgien wirkt sich direkt auf die Verfügbarkeit und Preisgestaltung von Cyberversicherungen aus:

  • CyFun-verifizierte Einrichtungen weisen messbare Sicherheitsreife nach — Versicherer beginnen, CyFun-Stufen als Proxy für Risikoqualität zu erkennen
  • Nicht-compliance-Einrichtungen sehen sich höheren Prämien, Deckungsausschlüssen oder direkten Ablehnungen gegenüber
  • Die Frist vom 18. April 2026 schafft Dringlichkeit — Einrichtungen, die sie verpassen, können sowohl regulatorische Sanktionen ALS AUCH Versicherungskomplikationen erleiden
  • Persönliche Haftungsbestimmungen bedeuten, dass auch die D&O-Versicherung von NIS2-Compliance-Versagen betroffen sein kann

Für Versicherungsfachleute, die belgische Risiken bewerten, siehe unsere NIS2-Underwriting-Fragen für Makler und den Cyber-Versicherungs-Kaufratgeber.

Wichtige Ressourcen für belgische Einrichtungen

Fazit

Belgiens NIS2-Umsetzung gehört zu den fortschrittlichsten in der EU. Das Land war das Erste bei der Umsetzung der Richtlinie, baute ein konkretes Compliance-Rahmenwerk rund um CyberFundamentals auf und setzt aktiv Fristen durch — die Einreichung des Compliance-Nachweises am 18. April 2026 für wesentliche Einrichtungen steht unmittelbar bevor und hat echte Durchsetzungsfolgen.

Für belgische Organisationen ist der Fahrplan klar: Einrichtung klassifizieren, auf Safeonweb@Work registrieren, Compliance-Track wählen (CyFun oder ISO 27001), Gap-Analyse durchführen, erforderliche Maßnahmen umsetzen und den Nachweis vor der Frist einreichen. Die persönliche Haftung der Leitungsorgane bedeutet, dass dies kein IT-Projekt ist — es ist ein Governance-Thema auf Vorstandsebene.

Für ein breiteres NIS2-Compliance-Rahmenwerk, das für alle EU-Mitgliedsstaaten gilt, beginnen Sie mit unserem NIS2-Compliance-Leitfaden und dem IT-Leiter-Aktionsplan. Für Lieferketten-Risikomanagement-Verpflichtungen siehe unseren NIS2-Lieferkettensicherheits-Leitfaden.

Verwandte NIS2-Länderleitfäden:


Resiliently bietet Cyber-Versicherungsintelligenz für EU-Risikofachleute. Erkunden Sie unsere Tools zur Compliance-Kostenbewertung und zum Deckungsvergleich, um fundierte Entscheidungen über Ihre Cybersicherheitsinvestitionen zu treffen.

Michael Guiao Michael Guiao gründete Resiliently AI und schreibt Resiliently. Er hat CISM, CCSP, CISA und DPO-Zertifizierungen — aber sie verfallen lassen, denn im Zeitalter von KI ist Wissen billig. Worauf es ankommt, ist Urteilskraft — und die kommt aus acht Jahren Praxis bei Zurich, Sompo, AXA und PwC.

Get the full picture with premium access

In-depth reports, assessment tools, and weekly risk intelligence for cyber professionals.

Starter

€199 /month

Unlimited scans, submission packets, PDF downloads, NIS2/DORA

View Plans →
Best Value

Professional

€490 /month

Full platform — continuous monitoring, API access, white-label reports

Everything in Starter plus professional tools

Upgrade Now →
30-day money-back
Secure via Stripe
Cancel anytime

Free NIS2 Compliance Checklist

Get the free 15-point PDF checklist + NIS2 compliance tips in your inbox.

No spam. Unsubscribe anytime. Privacy Policy

blog.featured

WordPress Plugin Flaw CVE-2023-4213 Exposes 10K+ Sites to Cyber Claims

Cyber Risk ·

6 min read

WordPress Plugin XSS Vulnerability Exposes Cyber Insurance Portfolios to Persistent Web Risks

Cyber Risk ·

5 min read

WordPress Security Plugin Flaw Exposes Organizations to Cyber Claims

Cyber Risk ·

6 min read

WordPress Plugin Flaw Exposes Cyber Insurance Portfolios to SQL Injection Risks

Cyber Risk ·

6 min read

Premium Report

2026 Cyber Risk Landscape Report

24 pages of threat analysis, claims data, and underwriting implications for European cyber insurance.

View Reports →

Verwandte Artikel

DeepMind Mapped Every Way the Web Can Hijack Your AI Agent — Here Is What Underwriters Need to Ask
AI Agents · · 20 min read

DeepMind Mapped Every Way the Web Can Hijack Your AI Agent — Here Is What Underwriters Need to Ask

Google DeepMind researchers classified six categories of AI agent attacks — from invisible web content that hijacks perception to cascading multi-agent failures. Coverage gaps emerge at every layer. Here is the underwriting playbook.