Zum Hauptinhalt springen
NIS2Certify
Zurück zur Übersicht

Belgien NIS2: Das CyFun-Framework, die Frist vom 18. April und was MSPs jetzt tun müssen

Von NIS2Certify
nis2belgiencyfuncyberfundamentalsccbauditmspcompliancekonformitaetsbewertung

Am 18. April 2026 wurde Belgien der erste EU-Mitgliedstaat, der eine harte NIS2-Konformitätsbewertungsfrist durchsetzte. Wesentliche Einrichtungen, die unter belgischem Recht tätig sind, mussten bis zu diesem Datum einen Konformitätsnachweis beim Centre for Cybersecurity Belgium (CCB) einreichen. Keine Selbsterklärung. Keine Roadmap. Eine tatsächlich durch Dritte verifizierte Bewertung.

Wenn Sie NIS2-Compliance für belgische Kunden verwalten — oder wenn Ihre Kunden Dienste nach Belgien erbringen — verändert dies die Diskussion.

Was die Frist vom 18. April tatsächlich erforderte

Das belgische Gesetz gab wesentlichen Einrichtungen zwei Compliance-Pfade:

CyberFundamentals (CyFun) Pfad: Wesentliche Einrichtungen mussten bis zum 18. April 2026 mindestens eine CyFun Basic oder CyFun Important Verifikationserklärung von einem BELAC-akkreditierten Konformitätsbewertungsorgan (CAB) einholen.

ISO/IEC 27001 Pfad: Organisationen, die bereits nach ISO 27001 zertifiziert sind, konnten ihr Geltungsbereichsdokument, ihre Erklärung zur Anwendbarkeit (SoA) und die Ergebnisse des letzten internen Audits direkt per E-Mail an das CCB bis zur gleichen Frist einreichen.

Keiner der Pfade erlaubt Selbstbescheinigung. Belgien verlangt ausdrücklich eine unabhängige dritte Partei zur Verifizierung der Compliance — ein Modell, das strenger ist als das, was die meisten EU-Mitgliedstaaten bisher implementiert haben.

Die nächste harte Frist ist der 18. April 2027, wenn für alle wesentlichen Einrichtungen eine vollständige CAB-Zertifizierung erforderlich ist. Wichtige Einrichtungen folgen einem separaten, etwas späteren Zeitplan.

CyFun verstehen: Belgiens nationales NIS2-Framework

Das CyberFundamentals-Framework — CyFun — ist der strukturierte Ansatz des CCB für NIS2-Compliance. Es ist kein Ersatz für NIS2; es ist eine Operationalisierung davon für den belgischen Markt.

CyFun ist um 6 Funktionen, 22 Kategorien und 106 Unterkategorien strukturiert. Es mappt direkt auf die Sicherheitsmaßnahmen, die unter NIS2 Artikel 21 erforderlich sind, und deckt Bereiche wie Risikomanagement, Zugriffskontrolle, Incident Response, Geschäftskontinuität und Lieferkettensicherheit ab.

Das Framework hat vier Stufen:

  • CyFun Basic — 34 Kontrollen, der Ausgangspunkt für kleinere Organisationen
  • CyFun Important — der Standard für NIS2 "wichtige Einrichtungen"
  • CyFun Essential — erforderlich für NIS2 "wesentliche Einrichtungen"
  • CyFun Critical — für die höchsten Risikosektoren

Für die meisten MSP-Kunden in Belgien ist CyFun Important oder Essential die relevante Stufe. CyFun Basic ist ein gültiger Zwischenmeilenstein, reicht aber langfristig für die vollständige NIS2-Compliance nicht aus.

Der CAB-Engpass: Ein praktisches Problem für Berater

Ab April 2026 sind nur zwei BELAC-akkreditierte Stellen berechtigt, CyFun-Zertifizierungsaudits in Belgien durchzuführen: Brand Compliance Belgie und What a Work SRL (Trust CHECK).

Zwei Auditoren für die gesamte wesentliche Einrichtungspopulation eines ganzen Landes ist eine ernste Kapazitätsbeschränkung. Dies ist keine theoretische Sorge — Organisationen, die die Auditplanung zu spät angingen, konnten die Frist vom 18. April trotz ihrer eigenen Vorbereitung nicht einhalten.

Für IT-Berater und MSPs schafft dies sowohl ein Problem als auch eine Chance. Das Problem: Ihre Kunden brauchen Audit-Slots, die möglicherweise nicht verfügbar sind, wenn sie sie benötigen. Die Chance: Kunden, die vollständig vorbereitet sind, wenn ein Slot frei wird, durchlaufen das Audit schneller, reduzieren die CAB-Engagement-Zeit und senken ihre Gesamtcompliancekosten.

Kunden auf CyFun-Audits vorzubereiten — Lückenanalyse, dokumentierte Kontrollen, Beweistresore, Richtliniendokumentation — ist ein konkretes MSP-Dienstleistungsangebot. Das CCB-Modell ist, dass MSPs vorbereiten, CABs verifizieren. Diese Arbeitsteilung ist ein Geschäftsmodell.

Was belgisches NIS2 für grenzüberschreitende Lieferanten bedeutet

Das belgische NIS2-Gesetz gilt nicht nur für belgische Unternehmen. Wenn Ihre Organisation IKT-Dienste oder -Produkte an belgische wesentliche oder wichtige Einrichtungen erbringt, sind diese belgischen Kunden jetzt nach Artikel 21 verpflichtet, ihre Lieferkettensicherheit zu verwalten — was bedeutet, dass sie Sie nach Compliance-Nachweisen fragen werden.

Dies spiegelt das Muster wider, das wir in NIS2 Lieferkettensicherheit behandelt haben: Downstream-Kunden werden zu einem Compliance-Zwangsfaktor für ihre Lieferanten, unabhängig davon, wo diese Lieferanten ansässig sind.

Wenn Sie ein in den Niederlanden, Deutschland oder anderswo ansässiger MSP sind, der verwaltete Dienste für belgische Kunden erbringt, erwarten Sie Beschaffungsfragebögen und vertragliche NIS2-Klauseln in Ihrem Posteingang. Das belgische Durchsetzungsmodell macht dies konkret statt theoretisch.

Der Rest der EU schaut zu

Belgiens Ansatz wird von anderen Mitgliedstaaten genau beobachtet. Das CCB-Modell — obligatorische Drittparteiüberprüfung, ein akkreditiertes CAB-Ökosystem, ein gestuftes Framework mit klaren Meilensteinen — ist strukturierter als das, was die meisten EU-Länder aufgebaut haben.

Ab Mai 2026 haben 21 von 27 EU-Mitgliedstaaten NIS2 in nationales Recht umgesetzt. Die Europäische Kommission hat begründete Stellungnahmen an 19 Mitgliedstaaten gesendet und vollständige Umsetzung gefordert. Durchsetzung ist aktiv, nicht ausstehend.

Deutschlands BSI führt einen parallelen Durchsetzungsaufbau unter NIS2UmsuCG durch — das haben wir in NIS2 Durchsetzung Deutschland behandelt. Italiens ACN hat Oktober 2026 als Frist für Mindestsicherheitsanforderungen gesetzt. Frankreichs ANSSI bewegt sich gemäß seinem eigenen Gesetzgebungszeitplan auf Durchsetzung zu.

Das Muster ist klar: 2026 ist das Jahr, in dem NIS2 von der Umsetzung zu aktiver Aufsicht im gesamten Block übergeht. Belgien ist einfach zuerst gegangen.

Was MSPs jetzt sofort tun sollten

Wenn Sie belgische Kunden haben, die wesentliche oder wichtige Einrichtungen sind:

Audieren Sie die Auditsituation. Stellen Sie fest, ob Ihre Kunden ihre CyFun-Konformitätsbewertung geplant oder abgeschlossen haben. Wenn nicht, setzen Sie sie sofort auf eine CAB-Warteliste — die Kapazität ist begrenzt.

Führen Sie eine CyFun-Lückenanalyse durch. Kartieren Sie die aktuellen Sicherheitskontrollen Ihrer Kunden gegen die relevante CyFun-Stufe. Jetzt gefundene Lücken sind behebbar; während eines Audits gefundene Lücken sind teuer.

Bauen Sie den Beweistressor auf. CyFun-Auditoren wollen dokumentierte Kontrollen und Implementierungsnachweise — nicht nur Richtlinien. Richtlinien ohne Nachweise scheitern bei der Verifizierung.

Überprüfen Sie die Lieferkettenexposition. Wenn Ihre Kunden wesentliche Einrichtungen sind, benötigen sie NIS2-konforme Lieferantenverträge nach Artikel 21. Wenn Sie ein Lieferant belgischer wesentlicher Einrichtungen sind, müssen Sie bereit sein, Ihre eigenen Compliance-Nachweise zu erbringen.

Für Kunden, die noch am Startpunkt stehen, ist eine strukturierte NIS2-Lückenanalyse der schnellste Weg, um festzustellen, wo sie tatsächlich stehen. Sie können eine erste Bewertung unter NIS2Certify durchführen, um eine Basislinie zu generieren, bevor Sie das formelle CAB-Audit planen.

Die breitere Lektion aus Belgien

Belgiens NIS2-Implementierung zeigt, wie Durchsetzung tatsächlich aussieht, wenn ein Regulierer ein konkretes operatives Framework aufbaut, anstatt die Interpretaion der Compliance offen zu lassen. Das CyFun-Framework, das CAB-Akkreditierungsmodell und die harte Frist vom 18. April ließen keinen Raum für Mehrdeutigkeit.

Für MSPs und IT-Berater ist das nützlich — auch wenn Ihre Kunden nicht belgisch sind. Es zeigt die Richtung, in die sich die Durchsetzung in der EU bewegt. Regulierer bauen akkreditierte Prüfer-Ökosysteme auf, setzen harte Fristen und entfernen sich von der Selbstbescheinigung.

Organisationen, die dieser Kurve voraus sind — vollständig dokumentiert, lückenanalysiert und auditbereit — werden weniger Zeit und Geld für Compliance aufwenden als diejenigen, die warten, bis eine Frist die Sache erzwingt.

Belgien hat diesen Präzedenzfall bereits geschaffen. Der Rest der EU baut auf dasselbe Modell hin.

    Belgien NIS2: Das CyFun-Framework, die Frist vom 18. April und was MSPs jetzt tun müssen — NIS2Certify