Verordnung

Das Gesetz vom 26. April 2024 zur Festlegung eines Rahmens für die Cybersicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit ("NIS2-Gesetz") setzt in Belgien die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 ("NIS2-Richtlinie") um.

Ziel des NIS2-Gesetzes ist es, die Cybersicherheit, das Management von Sicherheitsvorfällen und die Überwachungsmaßnahmen für Einrichtungen zu verstärken, die für die Aufrechterhaltung kritischer sozialer oder wirtschaftlicher Aktivitäten unerlässlich sind. Außerdem soll es die Koordinierung der öffentlichen Politik im Bereich der Cybersicherheit verbessern.

Der EU Cyber Solidarity Act wurde am 15. Januar 2025 offiziell veröffentlicht und trat am 4. Februar 2025 in Kraft. Er ist ein neuer wichtiger Schritt zur Stärkung der Cybersicherheit in Europa. Diese Gesetzgebunghat zum Ziel, den EU-Ländern, einschließlich Belgien, zu helfen, schwerwiegende Cybersicherheitsvorfälle, die sowohl Unternehmen als auch Bürger betreffen können, besser zu erkennen, sich vorzubereiten und darauf zu reagieren, und die Solidarität zwischen den Mitgliedstaaten in Krisenzeiten zu fördern. Es geht darum, Europa in der heutigen digitalen Welt widerstandsfähiger zu machen. Im Gegensatz zur NIS2-Richtlinie oder dem Cyber Resilience Act führt der Cyber Solidarity Act keine Verpflichtungen für Anbieter ein. Es handelt sich um eine rein freiwillige Gesetzgebung, die Werkzeuge und insbesondere Finanzmittel bereitstellt. Die Mitgliedstaaten können diese nutzen, wenn sie dies wünschen, um ihre Fähigkeiten zur Erkennung, zum Informationsaustausch oder zur Krisenbewältigung zu unterstützen, insbesondere für NIS2-Einrichtungen.

Belgien, und insbesondere das Zentrum für Cybersicherheit Belgien, spielten eine entscheidende Rolle bei der Entwicklung und Verabschiedung des Cyber Solidarity Act während seiner Präsidentschaft im Rat der EU in der ersten Hälfte des Jahres 2024. Das Zentrum für Cybersicherheit Belgien wird auch weiterhin eine zentrale Rolle bei der Umsetzung der Bestimmungen des Gesetzes spielen. Lesen Sie mehr über den belgischen Ratsvorsitz in diesem umfassenden Artikel.

Der Cyber Resilience Act (CRA) wurde am 20. November 2024 veröffentlicht. Diese neue Verordnung der EU enthält „horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen“. Anders ausgedrückt legt er Mindestanforderungen für die Cybersicherheit aller vernetzten Produkte fest, die auf dem EU-Markt angeboten werden, und macht das Internet der Dinge (IoT) sicherer. 

Die neuen Regeln gelten in allen EU-Ländern und werden schrittweise umgesetzt. Es wird letztlich erwartet, dass der CRA dazu beiträgt, die Vision des ZCB zu verwirklichen, Belgien sicherer im Bereich Cybersicherheit zu machen, indem er dafür sorgt, dass sowohl Bürger als auch öffentliche und private Organisationen weniger anfällig für Cyberangriffe sind.

Im Rahmen des gesetzlichen Verfahrens zur Meldung von Schwachstellen kann das ZCB Meldungen über potenzielle Schwachstellen in IKT-Produkten oder -Diensten erhalten, die dem belgischen Gesetz unterliegen (auch wenn die Organisation keine CVD-Politik oder Bug-Bounty-Programm hat).

Dieses gesetzliche Verfahren kann auch im Rahmen einer bestehenden CVD-Politik oder eines Belohnungsprogramms angewendet werden. Wenn der Forscher jedoch von dem Rechtsschutz profitieren möchte, muss er bestimmte Bedingungen einhalten, darunter die strikte Beschränkung auf notwendige und verhältnismäßige Maßnahmen, das Fehlen betrügerischer oder böswilliger Absicht sowie die Benachrichtigung und Meldung an die zuständige Organisation und an das ZCB.

Im Rahmen des NIS2-Gesetzes ist das Zentrum für Cybersicherheit Belgien zuständig um Standards, Richtlinien und Normen für die Cybersicherheit der verschiedenen Arten von Informationssystemen zu erarbeiten, zu verbreiten und deren Umsetzung zu überwachen.