Am 18. April 2026 lief in Belgien die Frist ab, bis zu der wesentliche NIS2-Einrichtungen ihre Cybersicherheitsmaßnahmen nach Art. 21 NIS2 vollständig umgesetzt haben mussten. Das belgische Zentrum für Cybersicherheit (CCB) ist seitdem in den aktiven Durchsetzungsmodus übergegangen – mit einer wichtigen Besonderheit: Jeder gemeldete Cybervorfall ist gleichzeitig ein potenzieller Compliance-Prüfanlass.
Vorfallsmeldungen als Durchsetzungshebel
Das CCB hat angekündigt, dass vorfallsbasierte Untersuchungen der primäre Durchsetzungsvektor sind. Der Ablauf ist dreistufig:
- Einrichtung meldet einen Vorfall beim CCB (NIS2-Pflicht innerhalb 24h/72h).
- CCB analysiert den Vorfall und prüft gleichzeitig, ob grundlegende Sicherheitsmaßnahmen vorhanden waren.
- Fehlen diese Maßnahmen, werden formale Anordnungen und Bußgeldverfahren eingeleitet.
Das macht NIS2-Incident-Reporting und Compliance nicht mehr trennbar: Eine Einrichtung, die eine Datenschutzverletzung korrekt meldet, legt damit automatisch offen, ob ihre Schutzmaßnahmen den Anforderungen entsprochen haben.
Alarmierende Zahlen: 70 % mehr Vorfälle
Das CCB berichtete, dass die Zahl der Vorfallsmeldungen in Belgien 2025 um 70 Prozent gegenüber 2024 gestiegen ist. Dieser Anstieg ist zu einem erheblichen Teil auf die strengeren NIS2-Meldepflichten zurückzuführen: Vorfälle, die früher intern gehandhabt wurden, müssen nun gemeldet werden. Die Kehrseite: Jede dieser Meldungen ist nun auch eine Einladung zur Compliance-Überprüfung.
Was registrierte belgische Einrichtungen jetzt tun müssen
Einrichtungen, die sich beim CCB registriert haben, aber noch keine vollständigen Sicherheitsmaßnahmen implementiert haben, befinden sich in einer kritischen Phase:
- Gap-Analyse sofort durchführen: Welche der 10 Mindestanforderungen aus Art. 21 NIS2 fehlen noch?
- Risikoregister aktualisieren: Muss aktuell und dokumentiert vorliegen.
- Meldeprozesse testen: Wer meldet einen Vorfall? In welchem Zeitfenster? An welche Stelle?
- Auf CCB-Anschreiben vorbereitet sein: Das CCB kann Informationsanfragen auch an Einrichtungen senden, die noch keine Vorfälle gemeldet haben.
Das CCB hat signalisiert, dass es in dieser frühen Phase kooperativ vorgeht – Einrichtungen, die aktiv an ihrer Compliance arbeiten, werden weniger hart sanktioniert als solche, die gar keine Maßnahmen ergriffen haben.