Das NIS2-Gesetz

Das Gesetz vom 26. April 2024 zur Festlegung eines Rahmens für die Cybersicherheit von Netzwerken und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit (das "NIS2-Gesetz") setzt die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 (die "NIS2-Richtlinie") in Belgien um. Es wird am 18. Oktober 2024 in Kraft treten.

Das NIS2-Gesetz aktualisiert den belgischen Rechtsrahmen für die Cybersicherheit, indem es das Gesetz vom 7. April 2019 zur Festlegung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit (NIS1-Gesetz) ablöst. Der neue Text wird vom Königlichen Erlass vom 9. Juni 2024 begleitet, der seine Bestimmungen ausführt, zum Beispiel durch die Benennung des Zentrums für Cybersicherheit Belgien (ZCB) als nationale Cybersicherheitsbehörde.

Netzwerke und Informationssysteme sind zu zentralen Elementen unserer Gesellschaft geworden. Allerdings stellen die Anzahl, das Ausmaß, die Raffinesse, die Häufigkeit und die Auswirkungen von Sicherheitsvorfällen, die diese Netzwerke und Informationssysteme betreffen, inzwischen eine erhebliche Bedrohung für die Bevölkerung, Unternehmen und Behörden dar.

Ziel des Gesetzes ist es, die Cybersicherheitsmaßnahmen, das Management von Sicherheitsvorfällen und die Aufsicht über gewisse Einrichtungen zu stärken, die für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten unerlässlich sind. Außerdem soll es die Koordinierung der öffentlichen Politik im Bereich der Cybersicherheit verbessern.

Übersicht

Um unter das belgische NIS2-Gesetz zu fallen, muss eine Organisation im Prinzip:

1. Eine in den Anhängen I und II des NIS2-Gesetzes aufgeführten Dienstleistung in der Europäischen Union erbringen
2. Die in der Empfehlung 2003/361/EG festgelegten Schwellenwerte für die Größe eines mittleren Unternehmens überschreiten, d. h. eine Mitarbeiterzahl von mindestens 50 Vollzeitbeschäftigten oder einen Jahresumsatz bzw. eine Jahresbilanzsumme von mehr als 10 Mio. Euro aufweisen; und
3. In Belgien niedergelassen sein

Diese Kriterien werden in den folgenden Abschnitten erläutert. 

Zusätzlich zu den Erläuterungen auf dieser Seite können Sie auch unseren Geltungsbereichstest durchführen:

0.    Vor der Analyse des NIS2-Gesetzes

Bevor das Gesetz selbst analysiert wird, ist es wichtig, zunächst zwei Eventualitäten zu prüfen, die Auswirkungen darauf haben, wie der Geltungsbereich des NIS2-Gesetzes auf eine Organisation angewendet wird.

Erstens ist es wichtig festzustellen, dass das NIS2-Gesetz automatisch für alle Einrichtungen gilt, die als Betreiber kritischer Infrastrukturen im Sinne des Gesetzes vom 1. Juli 2011 über die Sicherheit und den Schutz kritischer Infrastrukturen identifiziert wurden, unabhängig von deren Größe. Gemäß dem NIS2-Gesetz sind diese Betreiber wesentliche Einrichtungen.

Zweitens fallen Einrichtungen, die gemäß dem NIS1-Gesetz als Betreiber wesentlicher Dienste (BWD) oder Anbieter digitaler Dienste (ADD) identifiziert wurden, im Prinzip auch unter das NIS2-Gesetz, wenn sie die erforderlichen Größenschwellen überschreiten (siehe Abschnitt 1). Der Grund dafür ist simpel: Der Anwendungsbereich der NIS2-Richtlinie ist eine Erweiterung des Anwendungsbereichs der NIS1-Richtlinie.

1.    Die Größe einer Einrichtung ("size-cap")

Um in den Anwendungsbereich des NIS2-Gesetzes zu fallen, muss eine Organisation eine bestimmte Größe haben. Im Prinzip muss eine Organisation mindestens ein mittleres Unternehmen sein, das anhand des Anhangs der Empfehlung 2003/361/EG der Kommission berechnet wird, aber es gibt bestimmte Ausnahmen (mehr dazu unten).

Die Größe einer Organisation wird anhand von zwei Kriterien ermittelt: Mitarbeiterzahl (gemessen in Vollzeitäquivalenten (VZÄ)*) und finanzielle Beträge (Jahresumsatz und/oder Jahresbilanzsumme). Wie genau diese beiden Kriterien ermittelt werden, ist im Anhang der Empfehlung selbst oder im praktischen Benutzerhandbuch der Kommission zur KMU-Definition nachzulesen. 

Um die Größe einer Organisation zu bestimmen, muss man zunächst die Mitarbeiteranzahl betrachten:

• < 50 VZÄ*: Kleinst- oder Kleinunternehmen
• ≥ 50 VZÄ* und < 250 FTE*: mittleres Unternehmen
• > 250 VZÄ*: großes Unternehmen

Anschließend muss die Mitarbeiterzahl mit den finanziellen Beträgen kombiniert werden, um die endgültige Einstufung zu erhalten: Ein Unternehmen kann sich entweder für die Einhaltung der Obergrenze für den Umsatz oder für die Bilanzsumme entscheiden. Es kann eine der finanziellen Obergrenzen überschreiten, ohne dass dies Auswirkungen auf seinen KMU-Status hat. Wir betrachten daher nur den niedrigsten der beiden Beträge.

Die Obergrenzen für den Jahresumsatz sind folgende:

• ≤ 10 Mio. €: Kleinst- oder Kleinunternehmen
• > 10 Mio. € und ≤ 50 Mio. €: mittleres Unternehmen
• > 50 Mio. €: großes Unternehmen

Die Obergrenzen für die jährliche Bilanzsumme sind folgende:

• ≤ 10 Mio. €: Kleinst- oder Kleinunternehmen
• > 10 Mio. € und ≤ 43 Mio. €: mittleres Unternehmen
• > 43 Mio. €: großes Unternehmen

Beispiel 1: Ein Unternehmen mit 35 VZÄ* (klein) hat einen Jahresumsatz von 1.000.000 € (klein) und eine Jahresbilanzsumme von 50.000.000 € (groß). Bei den finanziellen Beträgen wird nur der niedrigste Wert berücksichtigt: der Umsatz. Daher handelt es sich um ein kleines oder ein Kleinstunternehmen.

Beispiel 2: Ein Unternehmen mit 80 VZÄ * (mittel) hat einen Jahresumsatz von 1.000.000 € (klein) und eine Jahresbilanzsumme von 70.000.000 € (groß). Bei den finanziellen Beträgen wird nur der niedrigste Wert berücksichtigt: der Umsatz. Da der Umsatz klein, die Mitarbeiteranzahl jedoch mittel ist, handelt es sich um ein mittleres Unternehmen.

Visuell sieht dies folgendermaßen aus:

Kombiniert man die verschiedenen möglichen Größen mit dem Dienstleistungskriterium, ergibt sich der folgende Anwendungsbereich (mit einigen Ausnahmen – siehe unten):

* Vollzeitäquivalente (VZÄ) (in der Empfehlung als "Jahresarbeitseinheiten (JAE)" bezeichnet) sind die Zahl der Personen, die in dem betroffenen Unternehmen oder auf Rechnung dieses Unternehmens während des gesamten Berichtsjahres einer Vollzeitbeschäftigung nachgegangen sind. Für die Arbeit von Personen, die nicht das ganze Jahr gearbeitet haben oder die im Rahmen einer Teilzeitregelung oder für Saisonarbeit tätig waren, wird der jeweilige Bruchteil an JAE gezählt. In der Empfehlung und dem Leitfaden wird näher ausgeführt, welche Mitarbeiter genau zu zählen sind.

Der Unterschied zwischen wesentlichen und wichtigen Einrichtungen besteht vor allem darin, wie streng sie beaufsichtigt und sanktioniert werden.

Es ist wichtig, darauf hinzuweisen, dass die Empfehlung auch vorsieht, dass die Berechnung der Größe einer Organisation, die Teil einer Gruppe ist (sogenannte "Partnerunternehmen" oder "verbundene Unternehmen"), eine Konsolidierung der Daten der verschiedenen Komponenten dieser Gruppe voraussetzt. Weitere Einzelheiten zu diesem Thema sind in der Empfehlung oder im Leitfaden zu finden.

Es gibt jedoch eine Reihe von Ausnahmen vom Größenkriterium. Bestimmte Arten von Einrichtungen fallen in den Anwendungsbereich des NIS2-Gesetzes, unabhängig von deren Größe:

• Qualifizierte Vertrauensdiensteanbieter (wichtig)
• Nicht qualifizierte Vertrauensdiensteanbieter (wichtig, wenn es sich um ein Kleinst-, kleines oder mittlere Unternehmen handelt, und wesentlich, wenn es sich um ein großes Unternehmen handelt)
• DNS-Dienstanbieter (wesentlich)
• TLD-Namensregistrierung (wesentlich)
• Einrichtungen, die Domänennamenregistrierungsdienste erbringen (nur für die Registrierungspflicht)
• Anbieter öffentlicher elektronischer Kommunikationsnetze (wesentlich)
• Anbieter von öffentlich zugänglichen elektronischen Kommunikationsdiensten (wesentlich)
• Einrichtungen, die als Betreiber kritischer Infrastrukturen gemäß dem Gesetz vom 1 Juli 2011 über die Sicherheit und den Schutz kritischer Infrastrukturen (wesentlich) identifiziert wurden
• Einrichtungen der öffentlichen Verwaltung, die vom Föderalstaat abhängen (wesentlich)

Unabhängig von diesen Vorschriften wird die nationale Cybersicherheitsbehörde (das ZCB) auch in der Lage sein, Einrichtungen ausdrücklich als "wesentlich" oder "wichtig" zu identifizieren, z. B. wenn sie der einzige Anbieter eines Dienstes sind oder wenn die Unterbrechung des bereitgestellten Dienstes erhebliche Auswirkungen auf die öffentliche Sicherheit, die öffentliche Ordnung oder die öffentliche Gesundheit haben könnte.

2.    Die von einer Einrichtung erbrachte Dienstleistung

Neben dem Größenkriterium verlangt die Dienstleistungsbedingung von einer Organisation, dass sie jede einzelne ihrer für Dritte erbrachten Dienstleistungen, unterteilt nach Sektoren und Teilsektoren, vollständig analysiert. Dies ist wichtig, da selbst die kleinste Nebendienstleistung dazu führen kann, dass eine gesamte Organisation in den Anwendungsbereich des NIS2-Gesetzes fällt, es sei denn, in der Definition der betreffenden Dienstleistung ist etwas anderes angegeben.

Alle Dienstleistungen, die unter das NIS2-Gesetz fallen, sind in den Anhängen I und II (oder in den Definitionen) des Gesetzes detailliert aufgeführt. Wenn eine Organisation eine der dort genannten Dienstleistungen erbringt und das entsprechende Größenkriterium erfüllt, dann fällt sie in den Anwendungsbereich des NIS2-Gesetzes, wenn sie mit Belgien in Verbindung gebracht werden kann (siehe Abschnitt 3).

Die verschiedenen Dienstleistungen sind nach Sektoren gruppiert. Hier ist die Liste der verschiedenen Sektoren und Teilsektoren:

Die meisten Dienstleistungen werden unter Bezugnahme auf Definitionen in EU-Rechtsinstrumenten definiert. Es ist sehr wichtig, diese Definitionen zu konsultieren, um zu überprüfen, ob sie mit der tatsächlichen Dienstleistung einer Organisation übereinstimmen.

Eine Organisation, die analysiert, ob sie in den Anwendungsbereich des NIS2-Gesetzes fällt, muss daher eine Verbindung zwischen einer von ihr erbrachten Dienstleistung und einer in den Anhängen des Gesetzes genannten Dienstleistung herstellen. Es ist zu beachten, dass es möglich ist, dass eine Organisation mehrere Dienstleistungen abdeckt und in mehrere Sektoren fällt.

Um einen besseren Überblick über den Geltungsbereich des Gesetzes zu erhalten, empfehlen wir Ihnen unsere visuelle Zusammenfassung des Geltungsbereichs:
 

3. Verbindung mit Belgien

Im Prinzip gilt das belgische NIS2-Gesetz nur für Einrichtungen mit Sitz in Belgien, die ihre Dienstleistungen in der EU erbringen oder dort tätig sind. Zwei Begriffe sind hier wichtig:

1. Der Begriff "Niederlassung" beinhaltet lediglich die tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung, unabhängig von der gewählten Rechtsform, ob es sich dabei um den Sitz, eine einfache Zweigniederlassung oder eine Tochtergesellschaft mit Rechtspersönlichkeit handelt.
2. Der Begriff "Einrichtung" wird in Artikel 8, 37° des NIS2-Gesetzes definiert als eine natürliche Person oder nach dem an ihrem Sitz geltenden nationalen Recht geschaffene und anerkannte juristische Person, die in eigenem Namen Rechte ausüben und Pflichten unterliegen kann.

Es gibt jedoch drei Ausnahmen von der Niederlassungsregel in Belgien:

1. Das belgische NIS2-Gesetz gilt für Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste, die ihre Dienste in Belgien anbieten;
2. Das belgische NIS2-Gesetz gilt für DNS-Dienstanbieter, TLD- Namensregister, Einrichtungen, die Domänennamenregistrierungsdienste erbringen, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter verwalteter Dienste, Anbieter verwalteter Sicherheitsdienste sowie Anbieter von Online-Marktplätzen, von Online-Suchmaschinen oder von Plattformen für Dienste sozialer Netzwerke, wenn sie ihre Hauptniederlassung in Belgien oder ihren gesetzlichen Vertreter für die EU in Belgien* haben;
3. Das belgische NIS2-Gesetz gilt für Einrichtungen der öffentlichen Verwaltung, die von Belgien gegründet wurden.

Der Begriff "Hauptniederlassung" bezieht sich auf die Niederlassung, in der die Entscheidungen im Zusammenhang mit den Maßnahmen zum Cybersicherheitsrisikomanagement vorwiegend getroffen werden. Kann dieser Ort nicht bestimmt werden oder werden solche Entscheidungen nicht in der Union getroffen, so gilt als Hauptniederlassung die Niederlassung, in der die Einrichtung Cybersicherheitsmaßnahmen durchführt. Kann auch dieser Ort nicht bestimmt werden, so gilt als Hauptniederlassung der Ort, an dem die Einrichtung die höchste Beschäftigtenzahl in der Union hat.

* Ist eine Einrichtung im Sinne von Punkt 2) nicht in der EU niedergelassen, erbringt aber dort ihre Dienstleistungen, muss sie einen gesetzlichen Vertreter benennen, der in einem Mitgliedstaat niedergelassen ist, in dem sie ihre Dienstleistungen erbringt. Befindet sich dieser Vertreter in Belgien, wird davon ausgegangen, dass die Einrichtung ihre Hauptniederlassung in Belgien hat.

Wenn eine Einrichtung mehrere Niederlassungen in verschiedenen EU-Mitgliedstaaten hat, unterliegt sie den Umsetzungsgesetzen in jedem betroffenen Mitgliedstaat. Die verschiedenen zuständigen nationalen Behörden werden bei Inspektionen und der Meldung von erheblichen Sicherheitsvorfällen zusammenarbeiten.

Nicht im Geltungsbereich? Vergessen Sie nicht die Identifizierung und die Lieferkette!

Es ist möglich, dass bestimmte Organisationen nach einer umfassenden Analyse des Anwendungsbereichs des NIS2-Gesetzes feststellen, dass sie tatsächlich nicht unter dieses Gesetz fallen. Alle Organisationen, die nicht unter das NIS2-Gesetz fallen, sollten sich darüber im Klaren sein, dass das NIS2-Gesetz sie dennoch auf zwei Arten betreffen kann.

Erstens kann die nationale Cybersicherheitsbehörde (das ZCB) bestimmte Organisationen, unabhängig von deren Größe, unter vier verschiedenen Umständen als wesentliche und wichtige Einrichtungen im Sinne des NIS2-Gesetzes einstufen:

1. die Einrichtung ist in Belgien der einzige Erbringer einer Dienstleistung, die für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten unerlässlich ist;
2. die Störung des von der Einrichtung erbrachten Dienstes könnte wesentliche Auswirkungen auf die öffentliche Sicherheit, die öffentliche Ordnung oder die öffentliche Gesundheit haben;
3. eine Störung des von der Einrichtung erbrachten Dienstes könnte zu einem wesentlichen Systemrisiko führen, insbesondere in Sektoren, in denen eine solche Störung grenzüberschreitende Auswirkungen haben könnte;
4. die Einrichtung ist aufgrund ihrer besonderen Bedeutung auf nationaler oder regionaler Ebene für den jeweiligen Sektor oder die Art der Dienstleistung oder für andere voneinander abhängige Sektoren in Belgien kritisch.

Dieser Prozess erfolgt in Abstimmung mit der betroffenen Einrichtung und anderen Akteuren, wie der sektoralen Behörde (falls vorhanden) und den entsprechenden föderalen Einrichtungen. Weitere Informationen zu diesem Verfahren finden Sie in Artikel 11 des NIS2-Gesetzes< oder in unseren FAQ.

Zweitens kann eine Organisation, die in die Lieferkette einer NIS2-Einrichtung eingebunden ist, aufgrund einer vertraglichen Verpflichtung zur Umsetzung von Maßnahmen zum Management von Cybersicherheitsrisiken veranlasst werden. NIS2-Einrichtungen sind in der Tat verpflichtet, die Sicherheit ihrer Lieferkette zu gewährleisten, einschließlich sicherheitsrelevanter Aspekte in den Beziehungen zwischen jeder Einrichtung und ihren direkten Zulieferern oder Dienstleistern.

In diesem Zusammenhang rät das Zentrum für Cybersicherheit Belgien allen Organisationen, die sich in der Lieferkette einer NIS2-Einrichtung befinden könnten, zumindest die im CyberFundamentals (CyFun®) Framework Level Basic festgelegten Maßnahmen einzuhalten. Eine NIS2-Einrichtung könnte theoretisch die Einhaltung eines bestimmten CyFun®-Levels ihren direkten Zulieferern oder Dienstleistern auferlegen.

Übersicht

Das NIS2-Gesetz sieht eine Reihe von Verpflichtungen für wesentliche und wichtige Einrichtungen vor. Dazu gehören die Registrierung auf Safeonweb@Work, die Umsetzung von Risikomanagementmaßnahmen im Bereich der Cybersicherheit, die Meldung von erheblichen Sicherheitsvorfällen an das nationale CSIRT (das ZCB) sowie Verpflichtungen für die Leitungsorgane und Zusammenarbeit mit den Behörden.

Auf alle diese Verpflichtungen wird in den folgenden Abschnitten näher eingegangen.

Ergänzende Informationen finden Sie in unseren FAQ.

1. Registrierung bei Safeonweb@Work

NIS2-Einrichtungen, die in den Anwendungsbereich des belgischen NIS2-Gesetzes fallen, müssen ihre Organisation beim ZCB registrieren. In der Praxis wird diese Registrierung in Form eines Onlineformulars erfolgen, das auf Safeonweb@Work ausgefüllt werden muss.

Die Frist für die Registrierung hängt von der Art der Einrichtung ab. Grundsätzlich haben wesentliche und wichtige Einrichtungen sowie Anbieter von Domänennamenregistrierungsdiensten fünf Monate Zeit, um sich ab Inkrafttreten des Gesetzes registrieren zu lassen. Da das Inkrafttreten für den 18. Oktober 2024 vorgesehen ist, muss die Registrierung bis spätestens dem 18. März 2025 abgeschlossen sein.

Bei der Registrierung müssen die Unternehmen die folgenden Angaben machen:

• Ihr Name und die Registrierungsnummer der Zentralen Datenbank der Unternehmen (ZDU) oder eine gleichwertige Registrierung in der Europäischen Union;
• Ihre aktuelle Adresse und Kontaktangaben, einschließlich E-Mail-Adresse, IP-Adresse und Telefonnummer;
• Gegebenenfalls der betreffende Sektor und Teilsektor gemäß Anhang I oder II des Gesetzes;
• Gegebenenfalls eine Liste der Mitgliedstaaten, in denen sie Dienstleistungen erbringen, die in den Geltungsbereich des Gesetzes fallen.

Für Einrichtungen, die diese Informationen bereits an eine sektorale NIS2-Behörde übermittelt haben, müssen die Informationen nur bei Bedarf aktualisiert werden. Wenn sich die Angaben ändern, müssen alle Einrichtungen das ZCB unverzüglich informieren.

Für die folgenden Arten von Einrichtungen aus den digitalen Sektoren gibt es eine leicht angepasste Regelung:

• DNS-Dienstanbieter;
• TLD- Namensregister;
• Einrichtungen, die Domänennamen-Registrierungsdienste erbringen;
• Anbieter von Cloud-Computing-Diensten;
• Anbieter von Rechenzentrumsdienstleistungen;
• Anbieter von Inhaltszustellnetzen;
• Anbieter verwalteter Dienste;
• Anbieter verwalteter Sicherheitsdienste;
• Anbieter von Online-Marktplätzen;
• Anbieter von Online-Suchmaschinen; und
• Anbieter von Plattformen für Dienste sozialer Netzwerke.

Sie müssen sich innerhalb von zwei Monaten nach Inkrafttreten des Gesetzes anmelden, d. h. bis spätestens 18^th Dezember 2024, und folgende Angaben machen:

• Ihr Name;
• Ihr Sektor, Teilsektor und die Art der Einrichtung, wie in Anhang I bzw. II aufgeführt;
• Die Anschrift ihres Hauptgeschäftssitzes und ihrer sonstigen Niederlassungen in der Union oder, falls sie nicht in der Union niedergelassen sind, die Anschrift ihres Vertreters;
• Ihre aktuellen Kontaktdaten, einschließlich E-Mail-Adressen und Telefonnummern, sowie ggf. die ihres Vertreters;
• Die Mitgliedstaaten, in denen sie ihre Dienstleistungen erbringen, die in den Geltungsbereich des Gesetzes fallen;
• Ihre IP-Adressbereiche.

Auch hier ist jede Einrichtung verpflichtet, das ZCB unverzüglich über jede Änderung ihrer Angaben zu informieren.

In der Praxis werden einige dieser Informationen direkt von der Zentralen Datenbank der Unternehmen (ZDU) während des Registrierungsprozesses eingeholt.

2. Risikomanagementmaßnahmen im Bereich der Cybersicherheit

Wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten.

Darüber hinaus müssen die durchgeführten Maßnahmen ein Sicherheitsniveau für Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist, wobei der Stand der Technik und gegebenenfalls die geltenden europäischen und internationalen Normen sowie die Kosten der Durchführung zu berücksichtigen sind. Bei der Bewertung der Verhältnismäßigkeit dieser Maßnahmen sollten der Grad der Risikoexposition der Einrichtung, die Größe der betreffenden Einrichtung sowie die Wahrscheinlichkeit des Auftretens von Sicherheitsvorfällen und deren Schwere, einschließlich der gesellschaftlichen und wirtschaftlichen Folgen, angemessen berücksichtigt werden.

Daher sollten die Maßnahmen so gut wie möglich an die konkrete Situation der betreffenden Einrichtung angepasst sein.

Das NIS2-Gesetz besagt auch, dass diese Maßnahmen auf einem gefahrenübergreifenden Ansatz beruhen und darauf abzielen, Netz- und Informationssysteme sowie deren physische Umgebung vor Sicherheitsvorfällen zu schützen. Das Gesetz führt 11 Mindestmaßnahmen auf, die jede NIS2-Einrichtung umsetzen muss:

1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit von Informationssystemen;
2. Bewältigung von Sicherheitsvorfällen
3. Aufrechterhaltung des Betriebs, z. B. Backup-Management, Notfallwiederherstellung und Krisenmanagement;
4. Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte in den Beziehungen zwischen jeder Einrichtung und ihren unmittelbaren Lieferanten oder Dienstleistern;
5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netzwerken und Informationssystemen, einschließlich der Behandlung und Offenlegung von Schwachstellen;
6. Konzepte und Verfahren zur Bewertung der Wirksamkeit Risikomanagementmaßnahmen im Bereich der Cybersicherheit;
7. Grundlegende Praktiken der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;
8. Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
9. Sicherheit des Personals, Konzepte für die Zugangskontrolle und Anlagenverwaltung;
10. Einsatz von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation und gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung;
11. Ein Konzept zur koordinierten Offenlegung von Schwachstellen.

Um die praktische Umsetzung dieser Maßnahmen zu erleichtern, rät das Zentrum für Cybersicherheit Belgien allen NIS2-Einrichtungen, das CyberFundamentals (CyFun®) Framework zu verwenden, das all diese Punkte abdeckt. Eine validierte Umsetzung des CyFun-Frameworks ermöglicht es NIS2-Einrichtungen von einer Konformitätsvermutung zu profitieren. Weitere Informationen finden Sie auf unserer Seite über das CyFun Framework und in unserem Kapitel über die Aufsicht weiter unten.

3. Meldung von erheblichen Sicherheitsvorfällen

Das NIS2-Gesetz sieht vor, dass wesentliche und wichtige Einrichtungen dem nationalen CSIRT (dem ZCB) jeden erheblichen Sicherheitsvorfall melden müssen, der sich auf die Erbringung ihrer Dienste innerhalb der in den Anhängen des Gesetzes aufgeführten (Teil-)Sektoren auswirkt, gegebenenfalls einschließlich Informationen, anhand derer sich feststellen lässt, ob der betreffende Vorfall grenzüberschreitende Auswirkungen hat.

Um dieser Verpflichtung nachkommen zu können, muss man verstehen, was mit "Sicherheitsvorfall" und "erheblich" gemeint ist.

Das NIS2-Gesetz definiert "Sicherheitsvorfall" als ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigt.

Ein "erheblicher" Sicherheitsvorfall ist jeder Vorfall, der erhebliche Auswirkungen auf die Erbringung von Dienstleistungen in den in den Anhängen des NIS2-Gesetzes aufgeführten Sektoren oder Teilsektoren hat und der

• schwerwiegende Betriebsstörungen eines der in den in Anhang I und II aufgeführten Sektoren oder Teilsektoren erbrachten Dienstes oder einen finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann; oder
• andere natürliche oder juristische Personen durch erhebliche materielle, persönliche oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.

Entspricht der betreffende Sicherheitsvorfall dieser Definition, so erfolgt die Meldung an das nationale CSIRT (das ZCB) in mehreren Schritten:

1. unverzüglich, in jedem Fall aber innerhalb von 24 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls, übermittelt die Einrichtung eine Frühwarnung;
2. unverzüglich, in jedem Fall aber innerhalb von 72 Stunden (24h für Vertrauensdienstanbieter) nach Kenntnisnahme des erheblichen Sicherheitsvorfalls, übermittelt die Einrichtung eine Meldung über den Sicherheitsvorfall;
3. auf Ersuchen eines CSIRT oder gegebenenfalls der zuständigen Behörde übermittelt die Einrichtung einen Zwischenbericht über relevante Statusaktualisierungen;
4. spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß Punkt 2, übermittelt die Einrichtung einen Abschlussbericht;
5. im Falle eines andauernden Sicherheitsvorfalls zum Zeitpunkt der Vorlage des Abschlussberichts, übermittelt die betroffene Einrichtung einen Fortschrittsbericht und dann, innerhalb eines Monats nach Behandlung des Sicherheitsvorfalls, einen Abschlussbericht.

In der Praxis erfolgt die Meldung nach dem auf der CCB Website beschriebenen Verfahren.

Meldeplatform demnächst verfügbar

Zusätzlich zur Meldung an das nationale CSIRT unterrichten die betroffenen Einrichtungen gegebenenfalls die Empfänger ihrer Dienste über den erheblichen Sicherheitsvorfall, der die Erbringung des jeweiligen Dienstes beeinträchtigen könnten. Die Einrichtungen unterrichten den potenziell von einer erheblichen Cyberbedrohung betroffenen Empfängern ihrer Dienste ebenfalls alle Maßnahmen oder Abhilfemaßnahmen, sowie Informationen über die erhebliche Cyberbedrohung selbst mit, die diese Empfänger als Reaktion auf diese Bedrohung ergreifen können.

4. Verpflichtungen und Haftung für die Unternehmensleitung

Die Leitungsorgane der NIS2-Einrichtungen müssen Risikomanagementmaßnahmen im Bereich der Cybersicherheit genehmigen und deren Umsetzung überwachen. Verstößt die Einrichtung gegen ihre Verpflichtungen in Bezug auf Risikomanagementmaßnahmen, haftet das Leitungsorgan.

Die Mitglieder der Leitungsorgane sind verpflichtet, Schulungen zu absolvieren, um sicherzustellen, dass ihre Kenntnisse und Fähigkeiten ausreichen, um Risiken zu erkennen und Risikomanagementmaßnahmen im Bereich der Cybersicherheit sowie deren Auswirkungen auf die von der betreffenden Einrichtung erbrachten Dienstleistungen zu bewerten.

In der Begründung des NIS2-Gesetzes wird "Mitglied eines Leitungsorgans" definiert als:

Die verantwortlichen Personen und/oder die gesetzlichen Vertreter einer Einrichtung müssen die Befugnis haben, dafür zu sorgen, dass die Einrichtung die gesetzlichen Vorschriften einhält. Sie haften für ihr Versäumnis, dies zu tun.

Die Haftung der Leitungsorgane, der verantwortlichen Personen und der gesetzlichen Vertreter berührt nicht die für öffentliche Einrichtungen geltenden Haftungsvorschriften sowie die Haftung der Beamten und der gewählten oder ernannten Vertreter.

5. Zusammenarbeit mit den Behörden

Das NIS2-Gesetz verpflichtet Einrichtungen, die in seinen Anwendungsbereich fallen, zur Zusammenarbeit mit den für seine Umsetzung zuständigen nationalen Behörden, insbesondere mit dem ZCB und den sektoralen Behörden.

Diese Zusammenarbeit erfolgt im Allgemeinen in Form eines Informationsaustauschs über die Sicherheit von Netzwerken und Informationssystemen, umfasst aber auch die Zusammenarbeit zwischen der Einrichtung und dem ZCB oder dem sektoralen Inspektionsdienst.

Übersicht

Wenn wir über die Aufsicht nach dem NIS2-Gesetz sprechen, müssen wir zwischen zwei Kategorien von Einrichtungen unterscheiden: wesentliche und wichtige Einrichtungen. Der Hauptunterschied zwischen den beiden besteht in der Aufsicht und den Sanktionen:

• Wesentliche Einrichtungen werden proaktiv ("ex-ante") und reaktiv ("ex-post") beaufsichtigt. Insbesondere unterliegen wesentliche Einrichtungen der Pflicht zu regelmäßigen Konformitätsbewertungen.
• Wichtige Einrichtungen unterliegen grundsätzlich nur einer "ex-post"-Aufsicht, d. h. nach einem Sicherheitsvorfall oder auf der Grundlage von Beweisen, Hinweisen oder Informationen, dass eine wichtige Einrichtung die gesetzlichen Verpflichtungen nicht einhält.

In diesem Abschnitt wird ausführlich erläutert, wie die Aufsicht ablaufen wird, welche Fristen die Einrichtungen einhalten müssen und welche Sanktionen verhängt werden können.

Weitere Informationen über das CyberFundamentals Framework finden Sie auf der entsprechenden Seite.

1. Aufsicht über wesentliche und wichtige Einrichtungen

Wesentliche Einrichtungen müssen sich einer obligatorischen regelmäßigen Konformitätsbewertung unterziehen. Diese Bewertung erfolgt auf der Grundlage einer von der Einrichtung getroffenen Auswahl zwischen drei Optionen:

• Eine CyberFundamentals (CyFun®)-Zertifizierung (Level Essential) oder Verifizierung (Level Important oder Basic) mit dem entsprechenden Anwendungsbereich, ausgestellt von einer durch das ZCB anerkannten Konformitätsbewertungsstelle (CAB) nach Akkreditierung durch BELAC;
• Eine ISO/IEC 27001-Zertifizierung mit dem entsprechenden Anwendungsbereich, ausgestellt von einem CAB, das von einer Akkreditierungsstelle akkreditiert wurde, die das Abkommen über die gegenseitige Anerkennung (MLA) der ISO 27001-Norm im Rahmen der Europäischen Kooperation für Akkreditierung (EA) oder des Internationalen Akkreditierungsforums (IAF) unterzeichnet hat;
• Eine Kontrolle durch den ZCB Inspektionsdienst (oder durch einen sektoralen Inspektionsdienst).

Die Konformitätsbescheinigung, die wesentliche Einrichtungen nach der Konformitätsbewertung des von ihnen gewählten Rahmens erhalten, berechtigt sie zur Konformitätsvermutung. Solange das Gegenteil nicht bewiesen ist, wird davon ausgegangen, dass sie ihre Verpflichtungen erfüllt haben.

Aufgrund der proaktiven und reaktiven Aufsicht über wesentliche Einrichtungen kann der Inspektionsdienst diese auch jederzeit kontrollieren. Bei wichtigen Einrichtungen erfolgt die Aufsicht nur "ex-post" durch den Inspektionsdienst. Sie unterliegen daher im Prinzip keiner regelmäßigen Konformitätsbewertung. Diese Einrichtungen können sich jedoch freiwillig der gleichen Regelung wie die wesentlichen Einrichtungen unterwerfen und erhalten somit ebenfalls eine Konformitätsvermutung.

Während seiner Kontrolle kann der Inspektionsdienst des ZCB (oder ein sektoraler Inspektionsdienst, oder beide gemeinsam) auf Inspektionen vor Ort, Aufsicht von außerhalb des Unternehmens, Ad-hoc-Audits, aber auch auf Sicherheitsprüfungen und allgemeine Informations- und Beweisanfragen zurückgreifen. Alle NIS2-Einrichtungen müssen den Aufforderungen des/der Inspektionsdienstes/Inspektionsdienste jederzeit nachkommen. Andernfalls müssen sie mit Geldbußen rechnen.

Wesentliche und wichtige Einrichtungen haben auch die Möglichkeit, eine CyFun®-Sicherheitsstufe zu verwenden, die niedriger ist als ihre NIS2-Klassifizierung. Eine wesentliche Einrichtung könnte beispielsweise auf der Grundlage einer umfassenden Risikoanalyse die Verwendung des CyFun®-Levels "Important" rechtfertigen. Diese Wahl würde die Einstufung als wesentliche Einrichtung nach dem NIS2-Gesetz nicht berühren. Es sei darauf hingewiesen, dass der Inspektionsdienst eine Einrichtung sanktionieren kann, wenn sie fälschlicherweise eine niedrigere CyFun®-Stufe einhält.

2. Zeitplan für die Aufsicht

Das NIS2-Gesetz und der Königliche Erlass treten am 18. Oktober 2024 in Kraft. Folglich gelten ab diesem Datum alle Verpflichtungen des Gesetzes und des Königlichen Erlasses für wesentliche und wichtige Einrichtungen (Cybersicherheitsmaßnahmen, Meldung von Sicherheitsvorfällen, usw.).

Die Kontrolle der wesentlichen Einrichtungen wird dann schrittweise auf der Grundlage des für die regelmäßige Konformitätsbewertung gewählten Pfades erfolgen. 

Spätestens bis zum 18. April 2026 müssen die wesentlichen Einrichtungen im Rahmen der ersten obligatorischen Konformitätsbewertung mindestens:

1. Entweder eine CyFun®-Prüfung auf Stufe "Important" im Rahmen einer von einer Konformitätsbewertungsstelle (CAB) auf der Grundlage des CyFun®-Rahmens durchgeführten Bewertung erhalten;
2. Oder den Geltungsbereich und die Anwendbarkeitserklärung im Rahmen einer Bewertung durch ein CAB auf der Grundlage der ISO/IEC 27001-Norm vorlegen;
3. Oder dem ZCB eine Selbstbewertung der CyFun®-Stufe Important* (*oder Stufe Basic, je nach Ergebnis der Risikoanalyse) im Rahmen einer vom ZCB-Inspektionsdienst durchgeführten Bewertung vorlegen;
4. oder dem ZCB die Informationssicherheitspolitik, den Geltungsbereich und die Anwendbarkeitserklärung der ISO/IEC 27001-Norm im Rahmen einer vom ZCB-Inspektionsdienst durchgeführten Bewertung vorlegen.

Spätestens bis zum 18^. April 2027 müssen die wesentliche Einrichtungen, die sich für eine CyFun®- oder ISO/IEC 27001-Zertifizierung entscheiden, diese erhalten haben.

Für Einrichtungen, die vom ZCB identifiziert wurden (wie am Ende des obigen Abschnitts über den Anwendungsbereich erläutert), beginnen diese Fristen an dem Tag, an dem die betreffende Einrichtung über die Identifizierung informiert wird.

3. Sanktionen

Die Inspektoren können sich vor Ort begeben, Protokolle anfertigen und Berichte schreiben. Auf der Grundlage dieser Feststellungen kann ein Verfahren eingeleitet werden, um eine Einrichtung anzuweisen, einen Verstoß abzustellen und falls erforderlich geeignete administrative Maßnahmen zu ergreifen, die von Verwarnungen bis zu Bußgeldern reichen.

Mögliche administrative Maßnahmen und Geldbußen sind durch die Richtlinie festgelegt. Wenn eine Maßnahme oder ein Bußgeld für notwendig erachtet wird, werden die Situation und eventuelle wiederholte Verstöße de facto immer berücksichtigt, damit die Maßnahme oder das Bußgeld verhältnismäßig sind.

Folgende Bußgelder können verhängt werden (Verdoppelung bei wiederholtem Verhalten innerhalb von 3 Jahren):

• 500 bis 125.000 € für die Nichteinhaltung der Informationspflichten aus Art. 12 (Identifizierungsverfahren);
• 500 bis 200.000 € für eine Einrichtung, die einen ihrer Mitarbeiter oder Subunternehmer dafür bestraft hat, die Verpflichtungen des Gesetzes in gutem Glauben und im Rahmen ihrer Pflichten erfüllt zu haben;
• 500 bis 200.000 € für die Nichteinhaltung der Aufsichtspflichten;
• 500 bis 7.000.000 € oder 1,4 % des gesamten weltweiten Jahresumsatzes des Unternehmens, zu dem die Einrichtung gehört, im vorausgegangenen Geschäftsjahr, je nachdem, welcher Betrag höher ist [wichtige Einrichtungen];
• 500 bis 10.000.000 € oder 2 % des gesamten weltweiten Jahresumsatzes des Unternehmens, zu dem die Einrichtung gehört, im vorausgegangenen Geschäftsjahr, je nachdem, welcher Betrag höher ist [wesentliche Einrichtungen].

Das CCB kann auch die folgenden administrativen Maßnahmen anordnen:

• Erteilung von Warnungen oder verbindlichen Anweisungen;
• Anordnung, ein Verhalten einzustellen oder Risikomanagementmaßnahmen oder Meldepflichten in Einklang zu bringen;
• Anordnung, die natürliche(n) oder juristische(n) Person(en), für die sie Dienstleistungen erbringen, zu informieren oder Aspekte der Nichteinhaltung zu veröffentlichen;
• Benennung eines Überwachungsbeauftragten [wesentliche Einrichtungen];
• Anordnung, die abgegebenen Empfehlungen umzusetzen;
• Temp. eine Zertifizierung oder Genehmigung für einen Teil oder die Gesamtheit der erbrachten einschlägigen Dienste aussetzen [wesentliche Einrichtungen];
• Temp. die Ausübung von Leitungsfunktionen verbieten [wesentliche Einrichtungen].

Diese Maßnahmen und Geldbußen zielen letztlich darauf ab, das Cybersicherheitsniveau wesentlicher und wichtiger Einrichtungen und damit auch das Cybersicherheitsniveau des gesamten Landes zu erhöhen.