CVD Portal
← Zurück zum BlogRead in English →
CRA-Konformität

Die Uhr läuft: Was niederländische Führungskräfte vor Inkrafttreten der Cyberbeveiligingswet wissen müssen

Von Das CVD-Portal-Team
9 Min. Lesezeit

Die Europäische Union setzte eine klare Frist. Die Mitgliedstaaten hatten bis zum 17. Oktober 2024 Zeit, die NIS2-Richtlinie in nationales Recht umzusetzen. Die Niederlande verpassten sie. Fast zwei Jahre lang existierten die betroffenen niederländischen Organisationen in einer regulatorischen Grauzone, im Bewusstsein, dass neue Cybersicherheitspflichten kommen würden, aber unfähig, genau festzulegen, wann. Diese Phase der Unsicherheit endet. Die Cyberbeveiligingswet, das niederländische Cybersicherheitsgesetz, hat das Abgeordnetenhaus passiert und liegt nun beim Senat. Stimmt der Senat zu, strebt die Regierung das Inkrafttreten zum 1. Juli 2026 an. Für niederländische Vorstandsetagen ist das Warten fast vorbei.

Was ist NIS2, und warum ist es wichtiger als sein Vorgänger?

NIS2 (EU-Richtlinie 2022/2555) ist der Nachfolger der NIS-Richtlinie (Network and Information Security) von 2016. Die ursprüngliche Richtlinie führte grundlegende Cybersicherheitspflichten für eine Handvoll kritischer Sektoren ein, aber ihr Geltungsbereich war eng, ihre Durchsetzung in den Mitgliedstaaten uneinheitlich, und sie ließ Vorstandsetagen weitgehend unberührt. NIS2 korrigiert alle drei dieser Mängel, bewusst und nachdrücklich.

Die neue Richtlinie erweitert den Geltungsbereich auf rund 18 Sektoren. Organisationen, die zuvor nie der Cybersicherheitsregulierung unterlagen, tun dies nun. Das Sanktionsregime wurde dramatisch verschärft. Bußgelder für wesentliche Einrichtungen können 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes erreichen, je nachdem, was höher ist. Und zum ersten Mal reicht die Pflicht bis zu den Personen, die die Organisation führen, und macht Geschäftsführer persönlich verantwortlich.

Die verspätete Umsetzung der Niederlande hat niederländische Organisationen nicht vor dem Druck zur Einhaltung geschützt. Wenn überhaupt, hat sie das Vorbereitungsfenster verkürzt. Während Nachbarländer Monate zur Anpassung hatten, bleiben betroffenen niederländischen Organisationen womöglich nur Wochen zwischen der Veröffentlichung des Gesetzes und dem Datum seines Inkrafttretens.

Wie der Stand ist: Der Gesetzgebungszeitplan

Die Cyberbeveiligingswet, die niederländische nationale Umsetzung von NIS2, wurde von der Tweede Kamer (Abgeordnetenhaus) am 15. April 2026 angenommen. Der Gesetzentwurf liegt nun bei der Eerste Kamer (Senat). Stand Mitte Juni 2026 haben die Senatsausschüsse ihren Bericht vorgelegt, und die Kammer wartet auf die Antwort der Regierung, wobei eine Plenardebatte erwartet, aber noch nicht angesetzt ist.

Bei einer positiven Abstimmung im Senat strebt die Regierung das Inkrafttreten zum 1. Juli 2026 an. Das genaue Datum wird durch königlichen Erlass festgelegt und nach Veröffentlichung im Staatsblad (dem niederländischen Amtsblatt) bestätigt, aber das Ziel ist klar.

Was diesen Moment strukturell bedeutsam macht, ist, dass die Cyberbeveiligingswet nicht allein steht. Die niederländische Umsetzung umfasst drei Gesetzgebungsebenen, die gleichzeitig in Kraft treten sollen.

  1. Die Cyberbeveiligingswet, das primäre Gesetz, das den Rahmen, die Pflichten und das Durchsetzungsregime festlegt.
  2. Das Cybersicherheitsdekret (Cyberbeveiligingsbesluit), eine allgemeine Verwaltungsverordnung (AMvB), die die detaillierten technischen und organisatorischen Anforderungen je Kategorie von Einrichtung festlegt.
  3. Sektorspezifische ministerielle Verordnungen, eingebettet unter das Dekret und auf die Besonderheiten jedes Sektors zugeschnitten.

Das gleichzeitige Inkrafttreten aller drei Ebenen ist wichtig. Es wird keine stufenweise Umsetzung geben, keine Übergangsfrist zwischen der Verabschiedung des Gesetzes und dem Eintreffen des Dekrets. Wenn das Gesetz in Kraft tritt, tritt es vollständig in Kraft. Organisationen, die auf den endgültigen Text gewartet haben, um mit der Vorbereitung zu beginnen, gehen ein erhebliches Risiko ein.

Die vier Pflichten, die die Arbeit der Vorstände verändern werden

Der NIS2-Rahmen legt eine breite Palette technischer und organisatorischer Maßnahmen fest, darunter Risikomanagement-Richtlinien, Geschäftskontinuitätsplanung, Lieferkettensicherheit, Zugriffskontrollen, Verschlüsselung und Multi-Faktor-Authentifizierung. Diese sind in der Richtlinie selbst bereits gut dokumentiert (Artikel 21). Neuer und für Führungskräfte unmittelbar folgenreicher sind die vier durchsetzungsrelevanten Pflichten, die in dem Moment aktiv werden, in dem das Gesetz in Kraft tritt.

1. Vorfallmeldung an das NCSC

Betroffene Organisationen müssen erhebliche Vorfälle direkt an das nationale Cybersicherheitszentrum (NCSC) melden. Der Zeitplan ist eng. Organisationen müssen innerhalb von 24 Stunden nach Kenntniserlangung des Vorfalls eine erste Meldung, innerhalb von 72 Stunden einen detaillierteren Bericht und innerhalb eines Monats einen umfassenden Abschlussbericht einreichen. Das ist eine gesetzliche Pflicht mit Folgen bei Nichteinhaltung, keine freiwillige Offenlegung und keine Best-Practice-Empfehlung.

Die praktische Folge für Vorstände ist unmittelbar. Ihre Organisation muss vor Inkrafttreten des Gesetzes über eine funktionierende Fähigkeit zur Erkennung und Reaktion auf Vorfälle verfügen. Wenn Sie einen erheblichen Vorfall nicht erkennen können, können Sie ihn nicht innerhalb von 24 Stunden melden. Diese Fähigkeit aufzubauen, nachdem ein Vorfall eingetreten ist, ist keine tragfähige Compliance-Strategie.

2. Verpflichtende Registrierung

Organisationen, die in den Geltungsbereich der Cyberbeveiligingswet fallen, müssen sich bei ihrer benannten zuständigen Behörde registrieren. Die Registrierung begründet eine formale Durchsetzungsbeziehung. Einmal registriert, ist Ihre Organisation für den Regulierer sichtbar. Sich nicht zu registrieren, macht eine betroffene Organisation nicht für den Regulierer unsichtbar. Es macht sie nicht konform.

Für Organisationen, die historisch ohne sektorspezifische Cybersicherheitsaufsicht agiert haben, ist das ein struktureller Wandel. Die Frage, ob Ihre Organisation in den Geltungsbereich fällt, muss jetzt beantwortet werden, nicht nachdem das Gesetz in Kraft ist.

3. Schulung der Geschäftsleitung und persönliche Haftung

Das ist die Bestimmung, die das dringlichste Vorstandsgespräch auslösen sollte. Die Cyberbeveiligingswet verlangt, dass Vorstandsmitglieder und Geschäftsführer eine verpflichtende Cybersicherheitsschulung durchlaufen. Die Einzelheiten, einschließlich Häufigkeit, Inhalt und Akkreditierung, werden im Dekret festgelegt.

Das bedeutsamere Element ist die Haftung. Geschäftsführer können für Versäumnisse bei der Einhaltung der gesetzlichen Anforderungen persönlich haftbar gemacht werden. Das ist eine bewusste politische Entscheidung. NIS2 wurde gestaltet, um sicherzustellen, dass Cybersicherheit nicht als delegierte IT-Funktion behandelt wird. Der europäische Gesetzgeber kam zu dem Schluss, dass der einzige Weg, um zu garantieren, dass Vorstände Cybersicherheit ernst nehmen, darin besteht, die Folgen persönlich zu machen.

Für jeden Geschäftsführer, der historisch Cybersicherheit mit der Frage „kümmert sich das IT-Team darum?“ abgesegnet hat, verändert die Cyberbeveiligingswet das Risikokalkül grundlegend. Delegation ohne Aufsicht ist nun eine Haftungsquelle statt einer Verteidigung.

4. Aktive regulatorische Prüfung

Vielleicht der operativ disruptivste Wandel ist die Einführung der aktiven Compliance-Prüfung durch Sektorregulierer. Das ist im niederländischen Recht wirklich neu. Bisher war die Cybersicherheits-Compliance weitgehend selbstzertifiziert. Unter der Cyberbeveiligingswet werden Regulierer die Einhaltung aktiv überprüfen.

Das Aufsichtsmodell folgt dem NIS2-Rahmen. Wesentliche Einrichtungen unterliegen einer proaktiven (ex ante) Aufsicht, das heißt, Regulierer können jederzeit prüfen. Wichtige Einrichtungen unterliegen einer reaktiven (ex post) Aufsicht, bei der Prüfungen typischerweise durch Vorfälle oder Beschwerden ausgelöst werden. So oder so ist die Ära der ungeprüften Selbstbewertung vorbei.

Wer fällt in den Geltungsbereich?

Die Cyberbeveiligingswet erfasst zwei Kategorien von Einrichtungen und spiegelt die Struktur der NIS2-Richtlinie wider.

Wesentliche Einrichtungen sind in Sektoren tätig wie Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, verwaltete IKT-Dienste, öffentliche Verwaltung und Raumfahrt.

Wichtige Einrichtungen umfassen Post- und Kurierdienste, Abfallwirtschaft, Chemikalien, Lebensmittelproduktion und -vertrieb sowie die Herstellung von Medizinprodukten, Arzneimitteln und Elektronik, dazu digitale Anbieter wie Online-Marktplätze, Suchmaschinen und Plattformen für soziale Netzwerke.

In der Regel gelten Größenschwellen. Mittlere Unternehmen (50 oder mehr Beschäftigte oder ein Jahresumsatz über 10 Millionen Euro) und größere Organisationen sind die primären Adressaten. Bestimmte wesentliche Sektoren, insbesondere in der digitalen Infrastruktur und der öffentlichen Verwaltung, können jedoch unabhängig von der Größe Pflichten unterliegen.

Wenn Sie unsicher sind, ob Ihre Organisation in den Geltungsbereich fällt, hat die niederländische Regierung unter regelhulpenvoorbedrijven.nl ein Selbstbewertungsinstrument bereitgestellt. Nutzen Sie es. Die Folgen, fälschlich zu schließen, Sie seien außerhalb des Geltungsbereichs, sind erheblich schlimmer als der Aufwand, früher als erwartet herauszufinden, dass Sie darin liegen.

Was Vorstände vor dem 1. Juli tun sollten

Das Fenster zwischen jetzt und dem 1. Juli ist kurz, aber es ist nicht leer. Organisationen, die in den kommenden Wochen handeln, werden sich in einer wesentlich besseren Position befinden als jene, die auf die Staatsblad-Veröffentlichung warten.

Bestätigen Sie Ihren Geltungsbereich. Stellen Sie eindeutig fest, ob Ihre Organisation eine wesentliche oder wichtige Einrichtung unter der Cyberbeveiligingswet ist. Das ist die Voraussetzung für alles Weitere.

Führen Sie eine Lückenbewertung durch. Gleichen Sie Ihre aktuelle Sicherheitslage mit den Maßnahmen aus Artikel 21 ab, einschließlich Risikoanalyse, Verfahren zur Vorfallbehandlung, Geschäftskontinuität und Krisenmanagement, Lieferkettensicherheit, Zugriffskontrollrichtlinien, Verschlüsselung und Multi-Faktor-Authentifizierung. Identifizieren Sie, wo Sie zu kurz kommen.

Bauen Sie Ihre Pipeline zur Vorfallmeldung auf. Etablieren Sie den internen Prozess, der es Ihrer Organisation erlaubt, einen erheblichen Vorfall zu erkennen und das NCSC innerhalb von 24 Stunden zu benachrichtigen. Das erfordert sowohl technische Fähigkeit als auch klare interne Eskalationsverfahren.

Bereiten Sie die Registrierung vor. Verstehen Sie, welche zuständige Behörde Ihren Sektor beaufsichtigt und was der Registrierungsprozess erfordert.

Setzen Sie Cybersicherheit als Governance-Thema für den gesamten Vorstand auf die Tagesordnung, statt als festen Punkt, über den der IT-Leiter berichtet. Legen Sie einen wiederkehrenden Tagesordnungspunkt fest, weisen Sie die Verantwortung auf Vorstandsebene zu und dokumentieren Sie, dass der Vorstand aktiv eingebunden ist.

Organisieren Sie Schulungen für die Geschäftsleitung. Selbst bevor die verpflichtenden Schulungsanforderungen im Dekret formal festgelegt sind, signalisiert proaktives Engagement guten Glauben und verringert die persönliche Haftungsexposition.

Das Fazit

Bei der Cyberbeveiligingswet geht es im Kern um Verantwortlichkeit. Das Gesetz, das nur noch Wochen vom Inkrafttreten entfernt ist, macht die Art, wie eine Organisation auf Cyberbedrohungen reagiert, zu einer persönlichen Rechtspflicht für jeden Geschäftsführer jeder betroffenen Organisation in den Niederlanden.

Die Organisationen, die diesen Übergang am reibungslosesten meistern, werden jene sein, deren Vorstände früh genug verstanden haben, dass dies kein IT-Thema mehr war, und entsprechend handelten.

Der 1. Juli ist keine ferne Frist. Es ist die nächste Vorstandssitzung nach dieser.

Hinweis: Das genaue Datum des Inkrafttretens wird durch königlichen Erlass (koninklijk besluit) festgelegt und bei Veröffentlichung im Staatsblad bestätigt. Das aktuelle Ziel der Regierung ist der 1. Juli 2026. Stand Juni 2026 hatte die Eerste Kamer ihre Plenardebatte noch nicht angesetzt. Leser sollten den aktuellen Stand des Senatsverfahrens und das endgültige Datum des Inkrafttretens überprüfen, bevor sie aufgrund dieses Artikels handeln. Organisationen, die über ihren Geltungsbereich unter der Cyberbeveiligingswet unsicher sind, sollten rechtlichen Rat einholen.

Mehr aus dem Blog
CRA-Konformität

Die überlappenden Meldeuhren: CRA, NIS2 und DSGVO in einem Bild

8 Min. LesezeitCRA-Konformität

Wann die Meldung von Schwachstellen und Vorfällen unter dem CRA verpflichtend wird

9 Min. LesezeitCRA-Konformität

Welche Schwachstellen und Vorfälle gemeldet werden müssen und welche nicht

10 Min. Lesezeit

Bleiben Sie konform mit dem Cyber Resilience Act

Prüfen Sie Ihre Bereitschaft mit der CRA-Bereitschafts-Checkliste oder vergleichen Sie die Tarife auf der Preisseite.

Kostenlos starten