Das Cybersicherheitsgesetz der Niederlande steht kurz vor der Verabschiedung — Was Sie jetzt wissen müssen

Das niederländische Parlament hat die Cyberbeveiligingswet (Cbw) am 15. April 2026 verabschiedet. Nachdem die Niederlande die ursprüngliche EU-Umsetzungsfrist um 18 Monate verpasst hatten, liegt nun das nationale NIS2-Umsetzungsgesetz vor — und die Durchsetzung folgt innerhalb von Wochen nach Inkrafttreten.

Wenn Ihre Organisation in den Niederlanden tätig ist oder niederländische Organisationen in regulierten Sektoren beliefert, sind hier die wichtigsten Informationen.

Warum die Niederlande zu spät waren

Die EU verlangte von allen Mitgliedstaaten, NIS2 bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Die Niederlande verpassten diese Frist. Der Entwurf der Cyberbeveiligingswet wurde dem Parlament am 2. Juli 2024 vorgelegt, doch Gesetzgebungsverfahren verzögerten den Prozess.

Das Repräsentantenhaus verabschiedete das Gesetz am 15. April 2026. Die Zustimmung des Senats und die Veröffentlichung im Staatscourant sind die letzten Schritte vor dem Inkrafttreten — erwartet in Q2 2026.

Während der Verzögerung konnten sich Organisationen seit dem 17. Oktober 2024 freiwillig beim NCSC registrieren. Die meisten taten es nicht.

NIS2 Umsetzungsstatus nach Land (2025–2026)
✅
Vollständig in Kraft
🇧🇪Belgien
🇭🇷Kroatien
🇭🇺Ungarn
🇱🇹Litauen
🇱🇻Lettland
🇮🇹Italien
6 Länder
📋
Verabschiedet — Ende 2025
🇩🇪Deutschland
🇨🇿Tschechien
🇫🇮Finnland
3 Länder
⏳
In Bearbeitung — erwartet 2026
🇳🇱Niederlande
🇫🇷Frankreich
🇪🇸Spanien
🇵🇱Polen
🇦🇹Österreich
🇸🇪Schweden
🇮🇪Irland
7 Länder

Was die Cyberbeveiligingswet verlangt

Die Cbw ist eine direkte Umsetzung der NIS2-Richtlinie. Sie fügt keine wesentlichen niederländischen Sondermaßnahmen hinzu — sie implementiert den EU-Rahmen wie vorgegeben.

Das bedeutet, dass dieselben Pflichten, die in Deutschland, Belgien und Portugal gelten, nun auch in den Niederlanden gelten:

Anwendungsbereich. Organisationen mit mehr als 50 Mitarbeitern oder mehr als 10 Millionen Euro Jahresumsatz, die in einem der 18 NIS2-Sektoren tätig sind, fallen in den Anwendungsbereich. Dazu gehören Energie, Transport, Gesundheitswesen, Trinkwasser, digitale Infrastruktur, IKT-Dienstverwaltung, öffentliche Verwaltung und mehr.

Registrierung. Betroffene Organisationen müssen sich bei ihrer zuständigen nationalen Behörde registrieren. In den Niederlanden ist das die RDI (Rijksinspectie Digitale Infrastructuur) für die meisten Sektoren, wobei das NCSC eine koordinierende Rolle übernimmt. Registrierungsfristen werden festgelegt, sobald das Gesetz in Kraft tritt.

Sicherheitsmaßnahmen nach Article 21. Jede betroffene Organisation muss die zehn Cybersicherheits-Risikomanagementmaßnahmen implementieren: Risikoanalyse, Incident-Handling, Geschäftskontinuität, Lieferkettensicherheit, Netzwerksicherheit, Schwachstellenmanagement, Kryptografierichtlinien, Zugangskontrolle, MFA und Cybersicherheitsschulungen.

Meldung von Sicherheitsvorfällen. Erhebliche Vorfälle müssen dem NCSC innerhalb von 24 Stunden (Frühwarnung), 72 Stunden (vollständige Meldung) und einem Monat (Abschlussbericht) gemeldet werden.

Verantwortung der Geschäftsführung. Leitungsorgane sind persönlich dafür verantwortlich, Cybersicherheitsmaßnahmen zu genehmigen und zu überwachen. Article 20 von NIS2 — und das niederländische Äquivalent — macht dies nicht delegierbar.

Wer wen beaufsichtigt

Die Niederlande haben ein Mehrbehörden-Aufsichtsmodell gewählt. Die RDI ist die primäre nationale zuständige Behörde, aber sektorspezifische Regulierungsbehörden spielen ebenfalls eine Rolle:

• DNB (De Nederlandsche Bank) für Banken und Finanzmarktinfrastruktur
• ACM (Autoriteit Consument & Markt) für digitale Infrastruktur und IKT-Dienstleister
• RDI für die meisten anderen Sektoren

Das ist in der Praxis relevant: Ihre Aufsichtsbehörde bestimmt, wie die Registrierung aussieht, wie Prüfungen ablaufen und wer Anordnungen oder Bußgelder verhängt.

Wie Bußgelder aussehen

Die Cbw folgt dem NIS2-Sanktionsrahmen:

• Wesentliche Einrichtungen: bis zu 10 Millionen Euro oder 2 % des globalen Jahresumsatzes, je nachdem, welcher Betrag höher ist
• Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 % des globalen Jahresumsatzes

Neben finanziellen Sanktionen können Aufsichtsbehörden verbindliche Abhilfeanordnungen erlassen, vorübergehende Betriebsbeschränkungen verhängen und — in schwerwiegenden Fällen — vorübergehende Verbote von Leitungsfunktionen beantragen. Das sind keine hypothetischen Sanktionen. Das BSI und Belgiens CCB haben ihre entsprechenden Befugnisse bereits eingesetzt.

Was niederländische Organisationen jetzt tun sollten

Das Gesetz ist verabschiedet. Das Inkrafttreten ist Wochen entfernt. Das ist jetzt wichtig.

NIS2-Sanktionseskalation — Jenseits der Geldbuße
!
Auslöser
Non-Compliance erkannt oder Vorfall tritt ein
Eine Aufsichtsbehörde identifiziert eine Compliance-Lücke oder eine Organisation erfüllt die NIS2-Anforderungen nicht
Behörden können verhängen
▼
Nicht-finanzielle Sanktionen
1
Anordnungen mit bindenden Fristen
2
Verpflichtende Sicherheitsaudits auf eigene Kosten
3
Öffentliche Bekanntmachung von Verstößen
4
Bindende Anweisungen zu spezifischen Sicherheitsmaßnahmen
Eskaliert zu
▼
Betriebliche und persönliche Konsequenzen
1
Aussetzung von Zertifizierungen oder Betriebsgenehmigungen
2
Vorübergehendes Verbot von Leitungsfunktionen für Personen
3
Öffentliche Benennung verantwortlicher natürlicher Personen
Auslöser
Nicht-finanziell
Betrieblich / persönlich

1. Stellen Sie fest, ob Sie betroffen sind. Prüfen Sie Ihre Mitarbeiterzahl, Ihren Jahresumsatz und Ihre Sektoreinstufung. Wenn Sie mehr als 50 Mitarbeiter oder 10 Millionen Euro Umsatz haben und in einem erfassten Sektor tätig sind, fallen Sie mit hoher Wahrscheinlichkeit in den Anwendungsbereich.

2. Bereiten Sie sich auf die Registrierung vor. Die RDI wird ihr Registrierungsportal öffnen, sobald die Cbw in Kraft tritt. Wenn Sie Ihre Organisationsdetails, Sektoreinstufung und wichtige Kontakte bereit haben, beschleunigt das den Prozess.

3. Starten Sie Ihre Article 21-Bewertung. Die Registrierung ist der administrative Einstiegspunkt. Die eigentliche Arbeit ist die Umsetzung der zehn Sicherheitsmaßnahmen. Eine strukturierte Lückenanalyse zeigt Ihnen genau, wo Sie stehen.

4. Setzen Sie es auf die Vorstandsagenda. NIS2 ist kein IT-Projekt. Die Cbw macht Leitungsorgane direkt verantwortlich. Wenn Ihr Vorstand NIS2-Compliance noch nicht besprochen hat, kann dieses Gespräch nicht warten.

5. Überprüfen Sie Ihre Lieferkettenpflichten. Wenn Sie eine NIS2-Einrichtung sind, müssen Sie Cybersicherheitsrisiken in Ihrer Lieferkette bewerten und managen.

Der Vorteil, vor Beginn der Durchsetzung zu handeln

Deutschlands Erfahrung ist lehrreich. Von rund 29.500 betroffenen Organisationen haben etwa 18.000 die BSI-Registrierungsfrist verpasst. Sie haben es jetzt mit einer Behörde zu tun, die befugt ist zu prüfen, Bußgelder zu verhängen und Direktoren persönlich haftbar zu machen — ohne jede Vorbereitung.

Die Niederlande sind noch nicht so weit. Das Inkrafttreten liegt noch Wochen entfernt. Dieser Vorsprung — so klein er auch ist — ist für Organisationen, die ihn nutzen, immer noch ein Vorteil.

Starten Sie den kostenlosen NIS2-Bereitschafts-Scan, bevor die Registrierungsfrist eintrifft.

Die Cbw ist in Kraft — Was kommt als nächstes

Das Parlament hat abgestimmt. Senat und Staatscourant sind an diesem Punkt Formsachen. Die RDI bereitet ihre Aufsichtsinfrastruktur vor. Das NCSC ist bereit, Registrierungen entgegenzunehmen.

Für die überwiegende Mehrheit der niederländischen Organisationen, die noch nicht begonnen haben — die Frage ist nicht mehr, ob NIS2 gilt. Sondern wie weit sie bereits zurückliegen.