Cyberbeveiligingswet endgültig beschlossen: ab 15. August 2026 in Kraft. Das bedeutet es für Ihre Organisation

Nachrichten

Ab dem 15. August 2026 treten das niederländische Cyberbeveiligingswet (Cbw) und das Wet weerbaarheid kritieke entiteiten (Wwke) in Kraft. Damit haben die Niederlande die europäischen NIS2- und CER-Richtlinien in nationales Recht umgesetzt. Für Tausende Organisationen gelten dadurch neue Verpflichtungen. Digitale Resilienz ist damit nicht länger freiwillig: Cybersecurity, Business Continuity, Incident Handling und Lieferantenrisiken müssen nachweislich unter Kontrolle sein, und Aufsichtsbehörden überwachen die Einhaltung.
Was ändert sich?
Das Cyberbeveiligingswet ersetzt das Gesetz zur Sicherheit von Netzwerk- und Informationssystemen (Wbni) und gilt für Organisationen, die wesentliche oder wichtige Dienste in 18 Sektoren erbringen, darunter Energie, Trinkwasser, digitale Infrastruktur, Gesundheitswesen, öffentliche Verwaltung und Verkehr. Fällt Ihre Organisation unter das Gesetz, müssen Sie vier zentrale Verpflichtungen erfüllen:
- Registrierungspflicht: Sie registrieren Ihre Organisation über das National Cyber Security Centrum (NCSC) im Entitätenregister. Nach der Registrierung können Sie die Leistungen des Computer Security Incident Response Team (CSIRT) für Ihren Sektor nutzen. Für die meisten Organisationen ist das das NCSC. Dazu gehören Bedrohungsinformationen und Unterstützung bei Sicherheitsvorfällen.
- Sorgfaltspflicht: Sie ergreifen geeignete Maßnahmen, um die Risiken für Ihre Netzwerk- und Informationssysteme zu beherrschen. Von Risikoanalyse und Zugangsmanagement bis hin zu Backup, Wiederherstellung und Sicherheit Ihrer Lieferkette.
- Meldepflicht: Signifikante Vorfälle melden Sie innerhalb strenger Fristen: eine Frühwarnung innerhalb von 24 Stunden, eine Folgemeldung innerhalb von 72 Stunden und einen Abschlussbericht spätestens einen Monat nach der ersten Meldung.
- Verantwortung der Geschäftsleitung: Die Geschäftsleitung ist letztverantwortlich für das Management von Cyberrisiken. Geschäftsführer und Vorstandsmitglieder müssen Risiken und Maßnahmen beurteilen können und dafür eine passende Schulung absolvieren.
Wichtig: Organisationen sind selbst dafür verantwortlich zu prüfen, ob sie unter das Gesetz fallen. Die offizielle Selbstevaluation der niederländischen Regierung hilft dabei.
Auch wenn Sie selbst nicht direkt unter das Gesetz fallen, bekommen Zehntausende Zulieferer die Anforderungen trotzdem über Lieferantenbewertungen von Cbw-pflichtigen Kunden auf den Tisch. Cybersecurity wird zur Voraussetzung, um Geschäfte zu machen.
Was bedeutet das für Kunden von Worldstream?
Die neue Gesetzgebung verlangt organisationsweite Maßnahmen, von Governance und Schulung bis hin zur Technik. Ein einzelner Dienst oder Lieferant macht Sie nicht automatisch compliant, und jeder, der das verspricht, verdient einen kritischen Blick. Was Sie aber tun können: das technische Fundament Ihrer Resilienz nachweislich in Ordnung bringen.
Fünf Wochen wirken knapp, aber die ersten Schritte sind gut zu überblicken. In Kürze veröffentlichen wir eine praktische Checkliste, mit der Sie Schritt für Schritt auf den 15. August hinarbeiten können.
Weitere Informationen zur Gesetzgebung: https://www.ncsc.nl/nieuws/cbw-en-wwke-vanaf-15-augustus-2026-van-kracht