NIS2 is now Dutch law: what changes on August 15th, and what to do about it

Genehmigt am 7. Juli, in Kraft ab 15. August, und ohne Übergangsfrist
July 8, 2026
Ivar van Duuren

Am 7. Juli 2026 hat der niederländische Senat (Eerste Kamer) das Cyberbeveiligingswet (Cbw), das Gesetz, das die NIS2 in den Niederlanden in Kraft setzt. Es tritt am 15. August 2026 ohne Übergangsfrist in Kraft. Der Senat verabschiedete das begleitende Wet weerbaarheid kritieke entiteiten (Wwke) am selben Tag, ebenfalls mit Wirkung zum selben Datum.

Ab dem 15. August ist Cybersicherheit eine gesetzliche Verpflichtung für schätzungsweise 8.000 Organisationen direkt, rund 500 weitere unter der Wwke und für Zehntausende von Zulieferern aufgrund von Anforderungen an die Lieferkette.

Das Gesetz legt vier Kernpflichten fest:

Sorgfaltspflicht: angemessene technische und organisatorische Maßnahmen gegen Cyberrisiken, einschließlich Risiken in Ihrer Lieferkette.
Meldepflicht bei Vorfällen: Melden Sie einen schwerwiegenden Vorfall Ihrem CSIRT und der zuständigen Aufsichtsbehörde über das NCSC-Portal, eine Frühwarnung innerhalb von 24 Stunden, eine umfassendere Meldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats.
Registrierung: Registrieren Sie Ihre Organisation beim NCSC, im nationalen Register der Einrichtungen.
Pflicht des Leitungsorgans: das Leitungsorgan muss die Risikomaßnahmen genehmigen, Schulungen absolvieren und kann persönlich haftbar gemacht werden.

Wenn Ihre Organisation betroffen ist, ist die praktische Frist jetzt, nicht der 15. August. Das Datum ist die Schlagzeile. Der Geltungsbereich und die Rechenschaftspflicht sind die eigentliche Geschichte.

Die Niederlande waren einer der letzten EU-Mitgliedstaaten, die NIS2 umgesetzt haben. Unter dem alten Wbni fielen etwa 1.000 Organisationen in den Geltungsbereich. Unter dem Cbw steigt diese Zahl auf etwa 8.000, und viele von ihnen entdecken ihren Status als betroffene Organisation zum ersten Mal.

Zwei Details, die die allgemeine Berichterstattung oft übergeht:

Es gibt keine Übergangsfrist. Die Rechtsgrundlage und das Mandat der Aufsichtsbehörde bestehen vom ersten Tag an. Niemand erwartet am 15. August einen Inspektor vor der Tür, aber „wir fangen nach dem Sommer an“ ist keine sichere Position mehr.

Die Kette zieht Sie mit hinein. Sie müssen keine namentlich genannte wesentliche oder wichtige Einrichtung sein, um dies zu spüren. Wenn Sie eine solche beliefern, erreicht Sie die Sorgfaltspflicht über deren Lieferkettenverpflichtungen. Viele Organisationen, die davon ausgehen, dass NIS2 nicht ihr Problem ist, werden von einem Kunden aufgefordert werden, das Gegenteil zu beweisen.

Und der Teil, der die Diskussion verändert: die Pflicht des Leitungsorgans. Das Leitungsorgan muss die Risikomaßnahmen genehmigen, die Schulungen absolvieren und trägt die persönliche Haftung, wenn etwas schiefgeht. NIS2 ist nicht länger etwas, das das IT-Team stillschweigend verantwortet. Es ist eine Verantwortung auf Leitungsebene, die mit einem Namen verbunden ist.

Im Kern stellt das Cbw drei Fragen, die Sie nun offiziell beantworten müssen: Sind Ihre Sicherheitsmaßnahmen angemessen und dokumentiert? Können Sie den ersten Bericht über einen schwerwiegenden Vorfall innerhalb von 24 Stunden vorlegen? Und können Sie einer Aufsichtsbehörde die Beweise vorlegen, wenn sie danach fragt?

Die Organisationen, die vom 15. August am wenigsten beunruhigt sind, sind diejenigen, die bereits ein strukturiertes Informationssicherheits-Managementsystem betreiben. Die NIS2-Sorgfaltspflicht deckt sich weitgehend mit ISO 27001: Risikomanagement, Incident Response, Zugriffskontrolle, Lieferantenmanagement, Business Continuity. Es ist weitgehend dieselbe Arbeit, nur für eine andere Aufsichtsbehörde formuliert. Eine Organisation, die bereits nach ISO 27001 zertifiziert ist, fügt NIS2 typischerweise eher als Abgleichübung denn als Neuaufbau hinzu, da die Kontrollen und Nachweise bereits existieren und nur auf die neue Verpflichtung ausgerichtet werden müssen.

Das ist der Unterschied zwischen Hektik und einer Planungsentscheidung. Als die Gemeinde Waterland sich vornahm, den BIO-Standard vor der staatlichen Frist 2024 zu erfüllen, waren das Schwierige nicht die Anforderungen, sondern eine Struktur zu haben, auf die man sich stützen konnte. Mit einem System, das klare Verantwortlichkeiten, organisierte Aufgaben und prüfbereite Nachweise umfasste, ging es bei der Einhaltung der Frist darum, den Prozess zu durchlaufen, nicht ihn zu erfinden.

Genau in diese Lage versetzt NIS2 nun Tausende niederländische Organisationen.

Wenn der 15. August für Sie gilt, vier Schritte diesen Monat:

1. Geltungsbereich bestätigen. Entscheiden Sie, ob Sie eine wesentliche oder wichtige Einrichtung sind oder ein Lieferant einer solchen. Wenn Sie ein Lieferant sind, kommt die Frage von einem Kunden – beantworten Sie sie, bevor sie gestellt wird.
2. Gleichen Sie ab, was Sie bereits haben, mit der Sorgfaltspflicht. Wenn Sie ISO 27001 zertifiziert sind, ist der Großteil der Arbeit erledigt und muss abgeglichen, nicht neu aufgebaut werden.
3. Die wirklich neuen Verpflichtungen etablieren: gestufte Vorfallmeldung (Frühwarnung innerhalb von 24 Stunden, Folgebericht innerhalb von 72 Stunden), Registrierung beim NCSC und Nachweise, die Sie auf Anfrage vorlegen können.
4. Beziehen Sie den Vorstand mit ein. Die Verantwortung der Geschäftsleitung und die persönliche Haftung bedeuten, dass hierfür ein namentlich benannter Verantwortlicher erforderlich ist, und keine informelle Zusage.

ISOPlanner™ bietet Ihnen genau dafür eine Struktur: NIS2 und ISO 27001 sind aufeinander abgestimmt, Verantwortlichkeiten sind transparent und Nachweise sind verfügbar, bevor sie angefordert werden – alles innerhalb der Microsoft 365-Umgebung, in der Ihr Team bereits arbeitet.

Ohne Übergangsfrist ist das der Unterschied zwischen Hektik und einer planvollen Entscheidung. Oder, wie es ein ISOPlanner™-Partner formuliert: „Compliance sollte kein jährlicher Sprint sein, sondern ein logischer Bestandteil der täglichen Praxis.“ Genau diese Position ist ab dem 15. August erstrebenswert.
Wir zeigen Ihnen, wie ISOPlanner™ NIS2 unterstützt

Related Posts