NIS2: Sind Sie im Anwendungsbereich?
Das neue belgische Cybersicherheitsgesetz ist in Kraft getreten.
Anforderungen an die Meldung von Vorfällen: Was? An wen? Wann?
Diese Seite bietet einen praktischen, prägnanten Leitfaden zur Cybersicherheit in der EU und zu sektorspezifischen digitalen Rechtsvorschriften sowie zu den Anforderungen für die Meldung von Vorfällen in Belgien. Die folgenden Links bieten einen Überblick über die relevanten Melde- und Informationskanäle pro Rechtsrahmen.
Diese Informationen dienen lediglich als allgemeine Orientierungshilfe und stellen keine Rechtsberatung dar. Den Nutzern wird dringend empfohlen, die geltenden Rechtstexte sowie alle relevanten Durchführungs- oder sektorspezifischen Rechtsvorschriften selbst zu konsultieren. Bei Unsicherheiten hinsichtlich der Auslegung oder Anwendung gesetzlicher Verpflichtungen sollten sich Organisationen von einem qualifizierten Rechts- oder Regulierungsexperten beraten lassen. Beachten Sie, dass ein einzelner Vorfall gleichzeitig Melde- und Berichtspflichten nach mehreren Rechtsrahmen auslösen kann (z. B. Cybersicherheit, Datenschutz, sektorale oder kritische Infrastrukturvorschriften). Es liegt in der Verantwortung der Organisation, alle potenziell anwendbaren Gesetze zu prüfen und deren Einhaltung sicherzustellen.
Wenn ein Vorfall auftritt: Verwenden Sie diese Tabelle, um schnell zu erkennen, wo Sie ihn melden müssen.
Rechtsakt | Wer ist betroffen? | Was ist meldepflichtig? | Wo ist zu melden? | Nützliche Links/Anleitungen |
|---|---|---|---|---|
| NIS2 | Wesentliche und wichtige Unternehmen in NIS2-Sektoren – Umfangstest | Cybervorfälle mit erheblichen Auswirkungen auf die Erbringung von Dienstleistungen | (außer Finanzunternehmen → FSMA gemäß DORA) |
|
| DSGVO | Jede Organisation, die personenbezogene Daten verarbeitet | Verletzungen des Schutzes personenbezogener Daten, die ein Risiko für die Rechte und Freiheiten von Personen darstellen | (außer Polizei → COC) | |
| CRA | Hersteller, Importeure, Vertreiber von digitalen Produkten | Schwere Sicherheitsvorfälle und aktiv ausgenutzte Schwachstellen, die Produkte betreffen | TBD (Einheitliche Meldeplattform der ENISA und CCB als nationales CSIRT) |
|
| KI-Gesetz | Anbieter und Betreiber von risikoreichen KI-Systemen | Schwerwiegende Vorfälle mit risikoreichen KI-Systemen | TBD |
|
| CER | Bezeichnete kritische Einrichtungen | Vorfälle (einschließlich Cybervorfälle), die wesentliche Dienste stören | TBD |
|
| DORA | Finanzunternehmen und externe IKT-Anbieter | Bedeutende IKT-bezogene Vorfälle (und schwerwiegende Cyberbedrohungen) | FSMA | |
| eIDAS 2.0 | Vertrauensdienstleister und EUDI-Wallet-Akteure | Sicherheitsverletzungen oder Ausfälle, die Vertrauensdienste beeinträchtigen | TBD | |
| NCCS | Stromversorgungsunternehmen mit hoher/kritischer Auswirkung | Cybervorfälle, die kritische Strominfrastrukturen beeinträchtigen | TBD | |
| MDR/IVDR | Hersteller und Vertreiber von Medizinprodukten | Schwerwiegende Vorfälle mit Auswirkungen auf die Patientensicherheit oder die öffentliche Gesundheit | FAGG | |
| PSR (Vorschlag) | Zahlungsdienstleister | Schwerwiegende Betriebs- oder Sicherheitsvorfälle | TBD (voraussichtlich in Übereinstimmung mit DORA) | |
| EECC | Telekommunikationsbetreiber | Sicherheitsvorfälle, die Netzwerke oder Dienste beeinträchtigen | BIPT |
Von der Frühwarnung bis zum Abschlussbericht: Meldefristen in verschiedenen Rechtsrahmen
Diese Abbildung veranschaulicht die unterschiedlichen Fristen für die Meldung von Vorfällen in der EU-Cybersicherheits- und Digitalgesetzgebung. Je nach geltendem Rechtsrahmen können für Organisationen mehrere Meldefristen gelten, die von Frühwarnungen bis zu Abschlussberichten reichen. Die Übersicht zeigt, wie sich Meldepflichten zeitlich überschneiden und im Umfang unterscheiden können.
