Die Uhr tickt: weniger als 3 Monate bis zum Cybersicherheitsgesetz
Die Cyberbeveiligingswet — die niederländische Umsetzung der europäischen NIS2-Richtlinie — tritt voraussichtlich am 1. Juli 2026 in Kraft. Die Zweite Kammer behandelt den Gesetzentwurf im Frühjahr 2026 und die Regierung hält am Zeitrahmen Q2 2026 fest.
Für Tausende niederländische Organisationen bedeutet dies, dass die Zeit zum Handeln wirklich knapp wird. Die meisten Unternehmen benötigen vier bis sechs Monate, um ihre Cybersicherheit auf das erforderliche Niveau zu bringen. Wer jetzt noch nicht begonnen hat, riskiert ernsthaft, nicht rechtzeitig compliant zu sein.
In diesem Artikel fassen wir alles zusammen: Fällt Ihre Organisation unter das Gesetz, was sind die Pflichten, und was müssen Sie diesen Monat noch angehen?
Fällt Ihre Organisation unter das Cybersicherheitsgesetz?
Das Gesetz unterscheidet zwischen zwei Kategorien von Organisationen, jeweils mit eigenem Aufsichtsregime:
Wesentliche Einrichtungen (proaktive Aufsicht)
Organisationen von großer gesellschaftlicher Bedeutung in Sektoren wie:
Wesentliche Einrichtungen unterliegen proaktiver Aufsicht: Regulierungsbehörden prüfen aktiv, ob Sie die Pflichten erfüllen.
Wichtige Einrichtungen (reaktive Aufsicht)
Organisationen in Sektoren wie:
Wichtige Einrichtungen unterliegen reaktiver Aufsicht: Kontrollen erfolgen hauptsächlich nach Vorfällen oder bei Hinweisen auf Nichteinhaltung.
Größenkriterien
Sie fallen unter das Gesetz, wenn Ihre Organisation in einem der oben genannten Sektoren tätig ist und diese Kriterien erfüllt:
| Typ | Mitarbeiter | Jahresumsatz | Bilanzsumme |
|---|---|---|---|
| Mittelgroß | 50–250 | €10–50 Millionen | €10–43 Millionen |
| Groß | >250 | >€50 Millionen | >€43 Millionen |
Achtung: Bestimmte Organisationen fallen immer unter das Gesetz, unabhängig von ihrer Größe. Dies gilt für Anbieter öffentlicher elektronischer Kommunikationsnetze, qualifizierte Vertrauensdiensteanbieter und Regierungsorganisationen.
Auch wenn Ihre Organisation nicht direkt unter das Gesetz fällt, können Sie als Zulieferer von Organisationen, die unter das Gesetz fallen, indirekt betroffen sein.
Die vier Säulen des Cybersicherheitsgesetzes
Das Gesetz hat vier Hauptpflichten:
1. Sorgfaltspflicht: die 10 verpflichtenden Maßnahmen
Der Kern des Gesetzes: Ihre Organisation muss angemessene und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen ergreifen. Das Gesetz schreibt zehn konkrete Maßnahmenbereiche vor:
| # | Maßnahme | Was es beinhaltet |
|---|---|---|
| 1 | Risikoanalyse | Schwachstellen und Bedrohungen kartieren, Prioritäten setzen |
| 2 | Zugangsverwaltung und Personal | Kontrollieren, wer Zugang zu welchen Systemen hat, Hardware und Software registrieren |
| 3 | Geschäftskontinuität | Einen BCP erstellen, damit Sie bei Störungen weiter arbeiten können |
| 4 | Incident Response | Einen strukturierten Incident Response Plan für schnelles Handeln bei Vorfällen einrichten |
| 5 | Cyberhygiene | Starke Passwörter, zeitnahe Updates, Sicherheitsbewusstsein bei Mitarbeitern |
| 6 | Netzwerk- und Informationssicherheit | Ihre technische Infrastruktur vor Angriffen schützen |
| 7 | Lieferkettensicherheit | Die Sicherheit Ihrer Lieferanten bewerten und überwachen |
| 8 | Kryptografie und Verschlüsselung | Richtlinien für Verschlüsselung, Schlüsselverwaltung und Zertifikate festlegen |
| 9 | Multi-Faktor-Authentifizierung | Zugang mit MFA und sicheren Authentifizierungsmethoden absichern |
| 10 | Bewertung und Verbesserung | Regelmäßig die Wirksamkeit Ihrer Maßnahmen messen und kontinuierlich verbessern |
Diese zehn Maßnahmen sind nicht optional — sie bilden das gesetzliche Minimum. Ihre Organisation muss nachweisen können, dass sie umgesetzt sind.
2. Meldepflicht: das Drei-Stufen-Protokoll
Bei einem bedeutenden Cybersicherheitsvorfall müssen Sie über das NCSC-Meldeportal melden. Dies erfolgt in drei Schritten:
| Schritt | Frist | Was zu melden ist |
|---|---|---|
| Frühwarnung | Innerhalb von 24 Stunden | Erste Erkennung: Was ist passiert? Wird ein Angriff vermutet? |
| Folgemeldung | Innerhalb von 72 Stunden | Zusätzliche Informationen: Umfang, Auswirkungen, erste Schwerebewertung |
| Abschlussbericht | Innerhalb von 1 Monat | Detaillierte Analyse: Ursache, ergriffene Maßnahmen, gewonnene Erkenntnisse |
Das NCSC-Portal leitet Ihre Meldung automatisch sowohl an das CSIRT als auch an die Aufsichtsbehörde weiter, um doppelte Meldungen zu vermeiden.
3. Registrierungspflicht
Organisationen, die unter das Gesetz fallen, müssen sich beim NCSC registrieren. Sie übermitteln Angaben wie Name, Sektor, Kontaktdaten und IP-Bereiche. Die Registrierung muss vor einem festgelegten Datum nach Inkrafttreten des Gesetzes erfolgen.
4. Vorstandshaftung
Dies ist neu und weitreichend: Vorstandsmitglieder sind persönlich verantwortlich für die Cybersicherheits-Compliance. Konkret bedeutet dies:
Dies ist vergleichbar mit der DSGVO-Verantwortlichkeit, aber nun speziell für Cybersicherheit. Vorstandsmitglieder, die Cybersicherheit einfach delegieren, ohne die Aufsicht zu behalten, sind gefährdet.
Bußgelder: vergleichbar mit der DSGVO
Die Sanktionen sind erheblich und hängen von Ihrer Klassifizierung ab:
| Klassifizierung | Maximales Bußgeld |
|---|---|
| Wesentliche Einrichtungen | Bis zu €10 Millionen oder 2% des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen | Bis zu €7 Millionen oder 1,4% des weltweiten Jahresumsatzes |
Der höhere der beiden Beträge gilt. Für eine Organisation mit €500 Millionen Umsatz kann das Bußgeld bis zu €10 Millionen betragen.
Praktische Checkliste: was Sie jetzt tun müssen
Mit weniger als 3 Monaten bis zum voraussichtlichen Inkrafttreten gibt es keine Zeit zu verlieren. Hier ist Ihr Aktionsplan für die kommenden Wochen:
Woche 1-2: Status bestimmen
Woche 3-4: Gap-Analyse
Woche 5-8: Kernmaßnahmen implementieren
Woche 9-12: Konsolidierung und Registrierung
Die Beziehung zu ISO 27001
Gute Nachrichten, wenn Sie bereits ISO 27001 zertifiziert sind: Es gibt erhebliche Überschneidungen mit dem Cybersicherheitsgesetz. Viele der 10 Sorgfaltspflichtmaßnahmen decken sich mit dem, was Sie bereits in Ihrem ISMS geregelt haben — denken Sie an Risikoanalyse, Zugangsverwaltung, Incident Response, Geschäftskontinuität und Kryptografie.
Aber Achtung: ISO 27001 allein reicht nicht für vollständige Compliance. Das Cybersicherheitsgesetz stellt zusätzliche Anforderungen, insbesondere bei:
Die Integration der NIS2-Anforderungen in Ihr bestehendes ISMS ist der effizienteste Ansatz. So vermeiden Sie doppelte Arbeit und bauen auf dem auf, was bereits vorhanden ist.
Wie uComply beim Cybersicherheitsgesetz hilft
uComply ist darauf ausgelegt, Organisationen beim Aufbau und der Pflege eines Compliance-Management-Systems zu unterstützen — auch für das Cybersicherheitsgesetz.
NIS2/Cbw Content Pack
Das NIS2 Content Pack in uComply enthält:
Multi-Standard-Integration
Bereits ISO 27001 zertifiziert? uComply verknüpft automatisch überlappende Controls. Eine Maßnahme, die Sie für ISO 27001 dokumentieren, zählt sofort auch für das Cybersicherheitsgesetz. Das spart bis zu 40% Implementierungszeit.
Vorstandsberichterstattung
Mit dem Flightdeck Dashboard geben Sie Vorstandsmitgliedern Echtzeit-Einblick in den Compliance-Status — genau das, was sie brauchen, um fundierte Genehmigungen zu erteilen und die Schulungspflicht zu erfüllen.
KI-Unterstützung
Der uComply KI-Berater hilft bei der Interpretation der Sorgfaltspflichtmaßnahmen, dem Erstellen von Richtlinien und der Beantwortung von Fragen zum Cybersicherheitsgesetz — rund um die Uhr verfügbar.
Fazit: Jetzt starten ist die einzige Option
Das Cybersicherheitsgesetz ist keine Zukunftsmusik mehr. Mit dem voraussichtlichen Inkrafttreten am 1. Juli 2026 haben Organisationen weniger als drei Monate, um compliant zu werden. Die Kombination aus Sorgfaltspflicht, Meldepflicht, Registrierungspflicht und persönlicher Vorstandshaftung macht dies zu einem Gesetz, das Sie nicht ignorieren können.
Die Bußgelder sind vergleichbar mit der DSGVO, aber die Auswirkungen der Nichteinhaltung gehen weiter: Cybervorfälle betreffen Ihre Geschäftskontinuität, Reputation und Kundenbeziehungen. In Cybersicherheit zu investieren ist nicht nur eine gesetzliche Pflicht, sondern eine geschäftskritische Notwendigkeit.
Starten Sie heute. Vereinbaren Sie eine Demo und entdecken Sie, wie uComply Ihnen hilft, rechtzeitig das Cybersicherheitsgesetz einzuhalten.
Häufig gestellte Fragen
Wann tritt das Cybersicherheitsgesetz in Kraft?
Das voraussichtliche Inkrafttreten ist der 1. Juli 2026. Der Gesetzentwurf wurde im Juni 2025 beim Parlament eingereicht und wird im Frühjahr 2026 behandelt.
Ist das Cybersicherheitsgesetz dasselbe wie NIS2?
Die Cyberbeveiligingswet ist die niederländische Umsetzung der europäischen NIS2-Richtlinie. Der Kern ist gleich, aber das niederländische Gesetz enthält spezifische Ausgestaltungen für Aufsicht, Meldeverfahren und Vorstandspflichten.
Gilt das Gesetz auch für KMU?
Wenn Ihre Organisation in einem der bezeichneten Sektoren tätig ist und mindestens 50 Mitarbeiter hat oder einen Jahresumsatz über €10 Millionen, fallen Sie wahrscheinlich unter das Gesetz. Nutzen Sie das Selbstbewertungstool auf ncsc.nl, um sicherzugehen.
Was, wenn ich bereits ISO 27001 zertifiziert bin?
ISO 27001 bietet eine starke Grundlage, reicht aber allein nicht für vollständige Compliance. Sie müssen zusätzlich die Meldepflicht, Registrierungspflicht und Vorstandshaftung regeln. uComply hilft bei der Integration beider Standards.
Können Vorstandsmitglieder wirklich persönlich haftbar gemacht werden?
Ja. Das Cybersicherheitsgesetz enthält eine explizite Bestimmung zur Vorstandshaftung. Vorstandsmitglieder müssen Maßnahmen genehmigen, die Umsetzung überwachen und über ausreichende Cybersicherheitskenntnisse verfügen.
