Das Gesetz vom 26. April 2024 zur Festlegung eines Rahmens für die Cybersicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit (das "NIS2-Gesetz") setzt die EU-Richtlinie 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (die "NIS2-Richtlinie") in belgisches Recht um und soll am 18. Oktober dieses Jahres in Kraft treten.

Dieses Gesetz enthält insbesondere die Verpflichtung für alle Einrichtungen, die in seinen Anwendungsbereich fallen, das CCB über jeden Sicherheitsvorfall zu informieren, der als "erheblich" betrachtet werden kann. Ein solcher Sicherheitsvorfall wird im Gesetz wie folgt definiert:

„Jeder Vorfall, der erhebliche Auswirkungen auf die Erbringung einer der in den Anhängen I und II des Gesetzes aufgeführten Dienstleistungen hat und der:

1. schwerwiegende Betriebsstörungen eines der in den in Anhang I und II aufgeführten Sektoren oder Teilsektoren erbrachten Dienstes oder einen finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann, oder
2. andere natürliche oder juristische Personen durch erhebliche materielle, persönliche oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.“

Sobald eine NIS2-Einrichtung auf einen solchen Sicherheitsvorfall stößt, muss sie ihn dem CCB melden. Diese Meldung erfolgt in mehreren Schritten (siehe auch die Grafik unten):

1. unverzüglich, in jedem Fall aber innerhalb von 24 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls, übermittelt die Einrichtung eine Frühwarnung;
2. unverzüglich, in jedem Fall aber innerhalb von 72 Stunden (24h für Vertrauensdienstanbieter) nach Kenntnisnahme des erheblichen Sicherheitsvorfalls, übermittelt die Einrichtung eine Meldung über den Sicherheitsvorfall;
3. auf Ersuchen eines CSIRT oder gegebenenfalls der zuständigen Behörde übermittelt die Einrichtung einen Zwischenbericht über relevante Statusaktualisierungen;
4. spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß Punkt 2, übermittelt die Einrichtung einen Abschlussbericht 
5. im Falle eines andauernden Sicherheitsvorfalls zum Zeitpunkt der Vorlage des Abschlussberichts, übermittelt die betroffene Einrichtung einen Fortschrittsbericht und dann, innerhalb eines Monats nach Behandlung des Sicherheitsvorfalls, einen Abschlussbericht.

Je nach Ausmaß des Sicherheitsvorfalls muss die Einrichtung auch die Empfänger ihres Dienstes über das Vorhandensein des Vorfalls sowie über die Maßnahmen und Korrekturen informieren, die die Empfänger ergreifen können, um darauf zu reagieren.

Um zu erfahren was NIS2 ist, ob das Gesetz für Sie relevant ist und welche Verpflichtungen dieser neue Rechtsrahmen mit sich bringt, sollten Sie unsere dementsprechenden Webseite lesen. Um noch ausführlichere Informationen über das Gesetz zu erhalten können Sie einen Blick auf unsere Seite bezüglich NIS2 auf Safeonweb@Work werfen.

Dieser Artikel ist Teil einer Reihe von Artikeln, die über die Umsetzung der NIS2-Richtlinie in Belgien veröffentlicht wurden. Die anderen Artikel können hier abgerufen werden.