NIS2 in Niederlande

1. Schnellüberblick zur Anwendbarkeit für KMU in den Niederlanden

Gilt NIS2 für KMU in den Niederlanden?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für Einrichtungen mit Sitz in den Niederlanden und in bestimmten Fällen für ausländische digitale Anbieter, die den niederländischen Markt bedienen.

KMU sollten ihre Einstufung im nationalen Cybersicherheitsrahmen der Niederlande anhand der Sektorzuordnung und gesetzlicher Schwellenwerte prüfen.

2. Überblick über die Umsetzung der NIS2 in den Niederlanden

Die Niederlande setzen NIS2 durch das Cyberbeveiligingswet (Cbw) (Cybersicherheitsgesetz) um, ein neues Gesetz, das das bestehende Wbni (Wet beveiliging netwerk- en informatiesystemen) ersetzt und ablöst. Das Cbw wurde am 4. Juni 2025 in die Tweede Kamer eingebracht und ist mit Stand April 2026 noch nicht in Kraft getreten. Das Inkrafttreten wird derzeit für Q2 2026 erwartet, wobei einzelne Bestimmungen möglicherweise zeitlich gestaffelt werden.

Die Niederlande haben die Umsetzungsfrist vom 17. Oktober 2024 verpasst und im Mai 2025 eine begründete Stellungnahme der EU-Kommission erhalten. Das Cbw führt mehrere strukturell bedeutende Merkmale ein: Sektorspezifische zuständige Behörden werden durch ministerielle Verordnungen benannt, wobei jedes Ministerium für die Sektoren in seinem Politikbereich zuständig ist — wodurch ein Mehrregulierer-Aufsichtsmodell statt eines zentralisierten entsteht; die Vorfallmeldung begründet eine doppelte Verpflichtung sowohl gegenüber dem NCSC (als nationales CSIRT) als auch gegenüber der jeweiligen sektoralen zuständigen Behörde; und Leitungsorgane unterliegen einer verpflichtenden Cybersicherheits-Schulungspflicht.

Die freiwillige Registrierung beim NCSC über mijn.ncsc.nl ist seit dem 17. Oktober 2024 möglich; die verpflichtende Registrierung gilt mit Inkrafttreten des Cbw. Das bestehende Wbni gilt im Übergang weiter.

3. Anwendungsbereich in den Niederlanden

Der Anwendungsbereich der Niederlande spiegelt die Mindestsektorkategorien der Richtlinie wider, ohne bestätigte strukturelle Erweiterung.

4. Größenschwellen und Anwendbarkeit auf KMU in den Niederlanden

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die beide Kriterien innerhalb der erfassten Sektoren erfüllen, fallen automatisch in den Anwendungsbereich.

Kleine und Kleinstunternehmen können benannt werden, wenn sie als kritisch für die nationale Sicherheit, wirtschaftliche Stabilität oder Kontinuität wesentlicher Dienste gelten.

Niederländische Behörden behalten formale Benennungsbefugnisse, wenn systemisches Risiko die Einbeziehung rechtfertigt. Der zuständige Fachminister kann ein kleines oder Kleinstunternehmen benennen, wenn seine Dienste von vitaler Bedeutung für die niederländische Wirtschaft oder Gesellschaft sind; betroffene Einrichtungen werden direkt benachrichtigt.

5. Klassifizierungsrahmen für Einrichtungen in den Niederlanden

Einrichtungen werden wie folgt kategorisiert:

• Wesentliche Einrichtungen — Unterliegen einer proaktiven Aufsicht, einschließlich Inspektionen und strukturierter Compliance-Überwachung.
• Wichtige Einrichtungen — Unterliegen in erster Linie einer reaktiven Aufsicht, die durch schwerwiegende Vorfälle oder Compliance-Bedenken ausgelöst wird.

Die Klassifizierung wird durch Sektor und Größe bestimmt. Behörden können Einrichtungen neu einstufen, wenn betriebliche Auswirkungen oder die Risikobelastung eine verstärkte Aufsicht rechtfertigen.

Die Niederlande folgen der zweistufigen Aufsichtsstruktur der Richtlinie.

6. Anforderungen an das Cybersicherheits-Risikomanagement in den Niederlanden

Das nationale Regelwerk der Niederlande entspricht dem in der Richtlinie festgelegten Basisniveau für das Cybersicherheits-Risikomanagement. Betroffene Einrichtungen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes abdecken:

• Risikoanalyse und Systemschutz
• Vorfallserkennung und -reaktion
• Geschäftskontinuität und Krisenmanagement
• NIS2-Lieferketten-Risikokontrollen in den Niederlanden
• Sichere Beschaffung und Entwicklung von IKT-Systemen
• Zugriffskontrolle und Identitätsmanagement
• Verschlüsselung und kryptografische Schutzmaßnahmen
• Verfahren zum Schwachstellenmanagement
• Mitarbeiterschulungen zur Cybersicherheit

Maßnahmen müssen dem Stand der Technik entsprechen und der organisatorischen Risikolage Rechnung tragen. Eine Ausrichtung an ISO/IEC 27001 und an niederländischen Leitlinien zur Cybersicherheit wird empfohlen.

7. Managementhaftung und Governance in den Niederlanden

Leitungsorgane müssen Maßnahmen des Cybersicherheits-Risikomanagements formell genehmigen und deren Umsetzung überwachen.

Im Rechtsrahmen von Netherlands:

• Leitungsorgane sind für die Compliance-Aufsicht verantwortlich.
• Die oberste Leitung muss eine ausreichende Cybersicherheitskompetenz sicherstellen.
• Verwaltungsrechtliche Sanktionen können Versäumnisse in der Governance ahnden.
• Vorübergehende Suspendierung von Leitungsfunktionen kann im Rahmen richtlinienkonformer Durchsetzungsmechanismen vorgesehen sein.

Die Erwartungen zur NIS2-Managementhaftung in Netherlands heben die Cybersecurity-Governance auf eine Verantwortung auf Führungsebene.

8. Meldepflichten für Vorfälle in Netherlands

9. Aufsichtsbehörden und Durchsetzungsmodell in Netherlands

Es gibt keine einzelne primäre Behörde. Nach dem Cyberbeveiligingswet (Cbw) werden Aufsicht und Durchsetzung von sektorspezifischen zuständigen Behörden wahrgenommen, die durch ministerielle Verordnungen benannt werden — jedes Ministerium ist für die Sektoren in seinem Politikbereich verantwortlich. Beispiele sind die RDI (Rijksinspectie Digitale Infrastructuur) für digitale Infrastruktur und IKT-Dienstmanagement sowie die ILT (Inspektion für Umwelt und Verkehr) für den Verkehrssektor. Das NCSC fungiert als nationales CSIRT und koordiniert die Reaktion auf Vorfälle und den Informationsaustausch, ist aber nicht selbst die primäre Durchsetzungsbehörde.

Die Niederlande betreiben ein Mehrregulierer-Aufsichtsmodell: Sektorspezifische zuständige Behörden — pro Sektor durch ministerielle Verordnung benannt — nehmen Aufsicht und Durchsetzung wahr. Das NCSC koordiniert national als CSIRT und gibt Leitlinien, die Durchsetzungsbefugnisse liegen jedoch bei den Sektorbehörden. Spezialisierte CSIRTs (z. B. Z-CERT für das Gesundheitswesen) können das NCSC in bestimmten Sektoren ergänzen.

Aufsichtsbefugnisse umfassen:

• Anforderungen von Unterlagen und Informationen
• Sicherheitsaudits
• Vor-Ort-Kontrollen
• Verbindliche Anordnungen zur Einhaltung
• Teilnahme an EU-Koordinierungsmechanismen für Cybersicherheit

Die vorgeschlagene Durchsetzungsstruktur entspricht den Anforderungen an die Zusammenarbeit auf Richtlinienebene. Diese Aufsichts- und Durchsetzungsbefugnisse sind bis zur Verabschiedung des Cbw noch nicht rechtlich wirksam; im Übergang gilt das Wbni-Rahmenwerk weiter.

10. NIS2-Geldbußen und Sanktionen in den Niederlanden

Die Niederlande wenden richtlinienkonforme verwaltungsrechtliche Sanktionen an.

Die Durchsetzung von NIS2-Geldbußen in den Niederlanden kann außerdem Folgendes umfassen:

• Verbindliche Abhilfeanordnungen
• Öffentliche Benennung nicht konformer Einrichtungen
• Aussetzung von Genehmigungen oder Zertifizierungen
• Befugnisse zur Suspendierung von Leitungspersonen

Strafrechtliche Haftung gilt nur, wenn sie ausdrücklich im niederländischen Recht vorgesehen ist.

11. NIS2-Lieferketten- und Lieferantensicherheit in den Niederlanden

Einheiten müssen Cyberrisiken durch Dritte mithilfe von:

• Lieferantenrisikobewertungen
• Vertraglichen Flow-down-Bestimmungen zu Sicherheitsanforderungen
• Kontinuierlichem Monitoring von ICT-Lieferanten
• Analyse von Konzentrationsrisiken
• Minderung der Ausbreitung von Sicherheitsvorfällen

Der Ansatz der Niederlande entspricht den grundlegenden Erwartungen der NIS2-Richtlinie in Bezug auf das Lieferantenrisikomanagement.

12. Registrierungs- und Selbstidentifikationspflichten in den Niederlanden

Einheiten im Anwendungsbereich müssen:

• Registrierung bei den zuständigen Behörden — Einrichtungen können sich über das NCSC-Portal mijn.ncsc.nl selbst registrieren; freiwillig seit 17. Oktober 2024 und verpflichtend mit Inkrafttreten des Cbw (erwartet Q2 2026)
• Unternehmensidentifikationsdaten bereitstellen
• Sektor-Klassifizierung offenlegen
• Aktuelle Meldekontakte vorhalten — Änderungen registrierter Angaben müssen innerhalb von zwei Wochen gemeldet werden

In den Niederlanden bestehen derzeit keine verpflichtenden NIS2-Pflichten; das Cbw wurde noch nicht verabschiedet. Eine freiwillige Registrierung beim NCSC über mijn.ncsc.nl wird empfohlen, und die RDI stellt ein NIS2-Selbstbewertungstool zur Verfügung, das Einrichtungen hilft, ihre voraussichtliche Klassifizierung zu ermitteln.

Selbstidentifizierung wird verpflichtend, sobald das Cbw in Kraft tritt. Einrichtungen sollten ihren Anwendungsbereich jetzt mit dem RDI-Selbstbewertungstool prüfen und die Registrierung beim NCSC vorbereiten.

13. Wechselwirkung mit GDPR und anderen Gesetzen in den Niederlanden

Die General Data Protection Regulation gilt weiterhin parallel.

Überschneidungen betreffen unter anderem:

• 72-Stunden-Meldung von Verletzungen des Schutzes personenbezogener Daten
• Koordination der Aufsichtsbehörden
• Parallele Ermittlungen zu Cybersicherheit und Datenschutz
• Sektorspezifische niederländische Cybersicherheitsgesetzgebung

Ein Cybervorfall kann Meldepflichten nach beiden Regelwerken auslösen.

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in den Niederlanden werden für grenzüberschreitende Dienste von niederländischen Behörden beaufsichtigt.

Ausländische digitale Anbieter, die Dienste in den Niederlanden erbringen, können je nach Niederlassungsstruktur nationalen Verpflichtungen unterliegen.

Vertretungsanforderungen folgen den Standards der Richtlinie für Nicht-EU-Anbieter, die den niederländischen Markt bedienen.

15. Zeitplan der Umsetzung in den Niederlanden

• Annahme der Richtlinie: 2022
• Nationale Gesetzesänderungen: Cyberbeveiligingswet (Cbw) am 4. Juni 2025 in die Tweede Kamer eingebracht; Plenardebatte am 23. März 2026; Stand April 2026 noch nicht beschlossen
• Inkrafttreten: Noch nicht in Kraft; Inkrafttreten derzeit für Q2 2026 erwartet; im Übergang gilt das Wbni weiter; einzelne Bestimmungen können gestaffelt werden
• Mitteilung an die Kommission: Die Niederlande haben die Umsetzungsfrist vom 17. Oktober 2024 verpasst; am 7. Mai 2025 begründete Stellungnahme der EU-Kommission; eine EuGH-Verweisung bleibt möglich, wenn die Umsetzung nicht zeitnah abgeschlossen wird
• Compliance-Meilenstein: Derzeit keine verpflichtenden NIS2-Pflichten aktiv; freiwillige Registrierung über mijn.ncsc.nl seit 17. Oktober 2024 verfügbar; verpflichtende Pflichten beginnen mit Inkrafttreten des Cbw

Die Niederlande haben die EU-NIS2-Umsetzungsfrist vom 17. Oktober 2024 verpasst und stehen weiterhin unter EU-Vertragsverletzungsverfahren. Das Cyberbeveiligingswet (Cbw) durchläuft das Parlament und soll voraussichtlich in Q2 2026 in Kraft treten. Einrichtungen sollten sich freiwillig beim NCSC registrieren und Bereitschaftsbewertungen jetzt durchführen, um sich auf die verpflichtenden Pflichten vorzubereiten.

16. Zentrale Erkenntnisse für KMU in den Niederlanden

• Mittelgroße Einrichtungen in erfassten Sektoren fallen automatisch in den Anwendungsbereich, sobald das Cyberbeveiligingswet (Cbw) in Kraft tritt — erwartet Q2 2026. Nutzen Sie das NIS2-Selbstbewertungstool der RDI bereits jetzt zur Bestimmung Ihrer voraussichtlichen Klassifizierung.
• Kleine Einrichtungen können benannt werden, wenn sie für die nationale oder wirtschaftliche Stabilität kritisch sind.
• Governance-Aufsicht auf Vorstandsebene ist verpflichtend. Das Cbw enthält eine verpflichtende Cybersicherheits-Schulungspflicht für Leitungsorgane, und Vorstandsmitglieder können persönlich haftbar für Governance-Versäumnisse gemacht werden.
• Die Meldung von Vorfällen folgt Fristen von 24h / 72h / 1 Monat, mit einer doppelten Meldepflicht sowohl gegenüber dem NCSC (als nationales CSIRT) als auch gegenüber der zuständigen sektoralen Behörde. Einrichtungen müssen zudem betroffene Dienstempfänger benachrichtigen.
• Finanzielle Sanktionen können bis zu €10 Millionen oder 2 % des weltweiten Umsatzes erreichen.
• Lieferantenrisikomanagement ist erforderlich.
• Das Cbw ist noch nicht in Kraft, aber die Pflichten kommen. Registrieren Sie sich jetzt freiwillig beim NCSC unter mijn.ncsc.nl, führen Sie die RDI-Selbstbewertung durch und beginnen Sie mit der Umsetzung NIS2-konformer Maßnahmen. Beachten Sie, dass Aufsicht und Durchsetzung im niederländischen Mehrregulierer-Modell von sektorspezifischen zuständigen Behörden wahrgenommen werden — nicht vom NCSC.

FAQ: NIS2 Niederlande KMU-Leitfaden