Die Niederlande gehören zu den ersten EU-Mitgliedstaaten, die die NIS-2-Richtlinie in nationales Recht umgesetzt haben. Das niederländische Umsetzungsgesetz – die Cyberbeveiligingswet (Cbw) – ist seit dem 17. Oktober 2024 in Kraft und verpflichtet alle betroffenen Einrichtungen in den Niederlanden zur Erfüllung der NIS2-Anforderungen. Für deutsche Unternehmen mit niederländischen Tochtergesellschaften – insbesondere im Logistik-Drehkreuz Rotterdam, im Tech-Cluster Amsterdam-Eindhoven und in der kritischen Hafen-Infrastruktur – ist die Kenntnis der niederländischen Umsetzungsbesonderheiten von unmittelbarer praktischer Relevanz. Den übergeordneten europäischen Rechtsrahmen beschreibt der Leitfaden zu den NIS2-Grundlagen.
Die Cyberbeveiligingswet – Umsetzungsstand und Rechtsrahmen
Die Niederlande haben die NIS-2-Richtlinie (EU) 2022/2555 mit der Wet beveiliging netwerk- en informatiesystemen 2, kurz Cyberbeveiligingswet (Cbw), fristgerecht umgesetzt. Das Gesetz trat am 17. Oktober 2024 in Kraft – dem in der Richtlinie vorgesehenen Ablaufdatum für die nationale Umsetzung. Die Niederlande gehören damit – gemeinsam mit wenigen anderen EU-Mitgliedstaaten – zu den Vorreitern bei der Implementierung.
Die Cbw übernimmt die zweistufige Klassifizierung der NIS-2-Richtlinie direkt ins niederländische Recht:
- Essentiële entiteiten (wesentliche Einrichtungen): Einrichtungen aus hochkritischen Sektoren nach Anhang I NIS2 mit mindestens 250 Mitarbeitern oder € 50 Mio. Jahresumsatz und € 43 Mio. Bilanzsumme.
- Belangrijke entiteiten (wichtige Einrichtungen): Einrichtungen aus Anhang-I- und Anhang-II-Sektoren, die die Schwellenwerte für mittlere Unternehmen erfüllen (≥ 50 MA oder ≥ € 10 Mio. Jahresumsatz).
Im Gegensatz zum deutschen NIS2UmsuCG, das das BSIG vollständig neu fasste, hat der niederländische Gesetzgeber die Cbw als eigenständiges Spezialgesetz konzipiert. Die Registrierungspflicht läuft über das nationale Behördenportal; eine Anmeldung beim NCSC-NL (Nationaal Cyber Security Centrum) ist erste Pflicht nach Inkrafttreten der Cbw. Die niederländische Umsetzung setzt auf ein dezentrales Aufsichtsmodell: Anders als in Deutschland, wo das BSI als zentrale Behörde agiert, verteilt die Cbw die Aufsicht auf mehrere Sektorbehörden unter Koordination des NCSC-NL.
Ein wesentlicher Unterschied zum deutschen Recht betrifft die Registrierungsfrist: Während in Deutschland die BSI-Registrierungspflicht nach § 33 BSIG ab dem 6. Januar 2026 lief und bis zum 6. März 2026 erfüllt sein musste, gilt in den Niederlanden eine fortlaufende Registrierungspflicht ab Inkrafttreten der Cbw. Einrichtungen, die zum Zeitpunkt des Inkrafttretens bereits die Schwellenwerte erfüllen, hatten drei Monate Zeit zur Registrierung. Neu gegründete oder größer werdende Einrichtungen müssen sich unverzüglich nach Überschreiten der Schwellenwerte registrieren.
Niederländische Aufsichtsstruktur – RDI, NCSC-NL und Sektorbehörden
Das Charakteristikum der niederländischen NIS2-Umsetzung ist die Multi-Behörden-Aufsicht. Die Cbw benennt je Sektor eine zuständige Aufsichtsbehörde, während das NCSC-NL als nationales Koordinationszentrum und CSIRT (Computer Security Incident Response Team) fungiert. Die folgende Tabelle gibt einen Überblick:
| Sektor (Cbw/NIS2 Anh. I/II) | Zuständige Behörde | Besonderheit |
|---|---|---|
| Digitale Infrastruktur, DNS, TLD, Cloud, RZ | RDI (Rijksinspectie Digitale Infrastructuur) | Prima¨re Sektorbehörde für digitale Dienste; proaktive Kontrolle bei wesentlichen Einrichtungen |
| Telekommunikation / Elektronische Kommunikation | Agentschap Telecom (AT) | Technische Regulierung; Überschneidung mit Telekommunikationsgesetz Tw |
| Energie (Strom, Gas, Fernwärme, Wasserstoff) | ACM (Autoriteit Consument & Markt) | Auch zuständig für Wasserversorgung; koordiniert mit Ökologiebehörde |
| Finanzsektor (Banken, Zahlungsverkehr, Infrastruktur) | DNB (De Nederlandsche Bank) / AFM | DORA-Lex-specialis (Art. 1 Abs. 2 DORA) gilt für IKT-Risikomanagement; NIS2/Cbw-Restbereich |
| Gesundheitswesen | IGJ (Inspectie Gezondheidszorg en Jeugd) | Koordination mit NEN-Normen für Medizintechnik und digitale Gesundheitsdienste |
| Schifffahrt / Hafen-Infrastruktur | Inspectie Leefomgeving en Transport (ILT) + Havenmeester Rotterdam | Rotterdam-Port als größter Hafen Europas; ENISA-Sektorleitlinien anwendbar |
| Nationale Koordination / Überwachung, CSIRT-Funktion | NCSC-NL (Nationaal Cyber Security Centrum) | Einzige Stelle für Vorfallmeldungen; Single Point of Contact für EU-Koordination; unter Min. J&V |
Die Rijksinspectie Digitale Infrastructuur (RDI) ist die für deutsche Technologieunternehmen und Cloud-Dienstleister besonders relevante Behörde: Sie überwacht DNS-Resolver, TLD-Betreiber, IXP-Betreiber, Rechenzentren und verwaltete Dienste (MSP/MSSP). Die RDI kann Vor-Ort-Audits anordnen, Sicherheitsanforderungen konkretisieren und bei Verstößen Bußgelder verhängen. Ihr Vorgehen orientiert sich eng an den ENISA-Leitlinien und den technischen Spezifikationen der Europäischen Kommission. Das NCSC-NL nimmt die Funktion des nationalen CSIRT ein und ist – analog dem BSI in Deutschland – die zentrale Meldestelle für erhebliche Sicherheitsvorfälle. Es koordiniert die Vorfallreaktion zwischen den Sektorbehörden, informiert betroffene Einrichtungen über Cyberbedrohungen und vertritt die Niederlande im Netzwerk der EU-CSIRTs (CSIRTs Network nach Art. 15 NIS2).
Anwendungsbereich und Schwellenwerte im niederländischen Recht
Die Cbw übernimmt die Schwellenwerte der NIS-2-Richtlinie ohne Abweichungen:
- Wesentliche Einrichtungen (essentiële entiteiten): Einrichtungen aus hochkritischen Sektoren (Anhang I NIS2) mit ≥ 250 Mitarbeitern und (> € 50 Mio. Umsatz oder > € 43 Mio. Bilanzsumme). Zusätzlich einige sektorspezifische Einrichtungen unabhängig von Größenkriterien (z. B. qualifizierte Vertrauensdienstleister, TLD-Registries, kritische Infrastrukturbetreiber).
- Wichtige Einrichtungen (belangrijke entiteiten): Mittlere Unternehmen aus Anhang-I- oder Anhang-II-Sektoren mit ≥ 50 Mitarbeitern oder ≥ € 10 Mio. Jahresumsatz. Auch Unternehmen unterhalb dieser Schwelle können per Ministerialverfugung einbezogen werden, wenn sie als kritisch für die nationale Sicherheit gelten.
Für die Schwellenberechnung gilt in den Niederlanden dieselbe Methodologie wie in der EU-Empfehlung 2003/361/EG: Mitarbeiterzahl, Jahresumsatz und Bilanzsumme werden auf Einzelunternehmensebene berechnet, nicht auf Konzernebene – es sei denn, das Unternehmen ist ein verbundenes Unternehmen oder Partnerunternehmen im Sinne der EU-KMU-Definition. Eine Konzernobergesellschaft muss daher prüfen, ob ihre niederländische Tochtergesellschaft für sich betrachtet die Schwellenwerte erfüllt. Einen umfassenden Überblick über Sektorzuordnungen und Schwellenwerte bietet der Leitfaden zum NIS2-Anwendungsbereich.
Sicherheitsanforderungen nach Artikel 21 NIS2 im niederländischen Kontext
Die Cbw setzt die zehn Sicherheitsmaßnahmenkategorien des Artikels 21 NIS2 inhaltlich unverändert um. Niederländische Besonderheiten ergeben sich weniger aus dem materiellen Anforderungsniveau als aus den Konkretisierungsstandards, die die zuständigen Sektorbehörden herausgegeben haben:
| Sicherheitsmaßnahme (Art. 21 Abs. 2 NIS2) | Niederländische Konkretisierung / Besonderheit |
|---|---|
| Risikoanalyse und Sicherheitsrichtlinien (lit. a) | NCSC-NL veröffentlicht regelmäßig Lageberichte („Cybersecuritybeeld Nederland“) als Risikoreferenz; NEN-ISO/IEC 27001 als anerkannter Rahmen |
| Behandlung von Sicherheitsvorfällen (lit. b) | Meldung ausschließlich über das NCSC-NL-Portal; frühzeitige Koordination mit Sektorbehörde empfohlen |
| Lieferkettensicherheit (lit. d) | Besondere Relevanz für den Semiconductor-Sektor (ASML-Zulieferkette) und den Hafen-Logistik-Cluster Rotterdam |
| Kryptografie und Verschlüsselung (lit. g) | NCSC-NL ICT-Beveiligingsrichtlijnen als technische Referenz; Empfehlung niederländischer PKI-Überheid-Zertifikate für Behördenkommunikation |
| Personalsicherheit und Schulungen (lit. h) | Jaarlijkse bewustzijnsvorming (jährliche Awareness-Schulungen) explizit vorgesehen; NCSC-NL stellt kostenlose E-Learning-Module bereit |
Die technische Konkretisierung durch die CIR (EU) 2024/2690 – die Durchführungsverordnung zu Art. 21 NIS2 für wichtige digitale Dienste – gilt in den Niederlanden unmittelbar wie in allen EU-Mitgliedstaaten, ohne nationalen Umsetzungsspielraum. Dies ist für Cloud-Anbieter, MSP, DNS-Betreiber und TLD-Registries relevant, die sowohl der Cbw als auch der CIR unterliegen.
Relevanz für deutsche Unternehmen mit niederländischen Tochtergesellschaften
Deutsche Konzerne mit niederländischen Tochtergesellschaften stehen vor doppelten Compliance-Pflichten: Die Muttergesellschaft unterliegt dem deutschen NIS2UmsuCG (BSIG) mit BSI als zuständiger Behörde; die niederländische Tochtergesellschaft unterliegt gleichzeitig der Cbw mit den jeweils zuständigen niederländischen Sektorbehörden. Die NIS-2-Richtlinie folgt dem Territorialprinzip: Jede rechtlich selbständige Einrichtung muss die NIS2-Anforderungen des Mitgliedstaats erfüllen, in dem sie ihren Sitz hat oder in dem sie ihre Netz- und Informationssysteme betreibt.
Rotterdam-Logistik-Cluster: Der Hafen Rotterdam ist der größte Hafen Europas und ein kritischer Knotenpunkt für den europäischen Handel. Einrichtungen, die im Hafen Rotterdam Schifffahrts-, Hafenbetreiber- oder Logistikdienstleistungen erbringen, fallen als Einrichtungen im Sektor „Schifffahrt“ (Anhang I NIS2) potenziell als wesentliche Einrichtungen unter die Cbw. Der Hafen Rotterdam betreibt überdies ein eigenes Cybersicherheitszentrum (FERM – Framework for Economic Risk Management) in Zusammenarbeit mit dem NCSC-NL. Deutsche Reedereien, Terminals-Betreiber und Logistikdienstleister mit niederländischer Geschäftstätigkeit müssen prüfen, ob ihre NL-Einheit separat von der deutschen Muttergesellschaft bei der ILT und beim NCSC-NL zu registrieren ist.
Semiconductor- und Tech-Cluster Eindhoven/Amsterdam: Die Region Eindhoven ist Sitz von ASML, dem für die globale Halbleiterindustrie systemkritischen Lieferanten von EUV-Lithografieanlagen, sowie zahlreicher ASML-Zulieferer. Deutsche Zulieferbetriebe mit niederländischen Tochterunternehmen sind über die Lieferkettenanforderungen (Art. 21 Abs. 2 lit. d NIS2) in das ASML-Anbieternetzwerk eingebunden. Der Tech-Cluster Amsterdam (Booking.com, Adyen, TomTom, Philips Digital) ist Heimat zahlreicher digitaler Dienste, die als wichtige oder wesentliche Einrichtungen unter die Cbw fallen.
Gruppenweite vs. einheitliche Compliance: NIS2 kennt keine „Konzernausnahme“: Eine Registrierung der deutschen Muttergesellschaft beim BSI entbindet die niederländische Tochtergesellschaft nicht von ihrer eigenen Cbw-Registrierungspflicht. Gruppenweite Sicherheitsrahmenwerke und Richtlinien können und sollten harmonisiert werden; die behördliche Registrierung, die Meldepflichten und die Aufsichtsbeziehungen bleiben jedoch territorial. Konzerne sollten prüfen, ob die NL-Tochtergesellschaft als eigenständige Einrichtung die Schwellenwerte erfüllt, und ggf. eine dedizierte BSI-Ansprechperson analog zum deutschen Recht sowie eine NCSC-NL-Meldekontaktperson benennen. Die Unterschiede zwischen dem deutschen und dem niederländischen Compliance-Rahmen erläutert der Leitfaden zur NIS2-Umsetzung in Deutschland im direkten Vergleich.
Meldepflichten und grenzüberschreitende Koordination
Die Meldepflichten nach Art. 23 NIS2 sind in der Cbw inhaltsgleich umgesetzt: Erhebliche Sicherheitsvorfälle sind innerhalb von 24 Stunden als Frühwarnung und innerhalb von 72 Stunden als Erstmeldung an das NCSC-NL zu melden; ein Abschlussbericht ist spätestens einen Monat nach dem Vorfall zu erstatten.
Für Vorfälle, die gleichzeitig eine niederländische Tochtergesellschaft und die deutsche Muttergesellschaft betreffen (z. B. ein gruppenweiter Ransomware-Angriff), entstehen parallele Meldepflichten:
- Die niederländische Tochtergesellschaft meldet an NCSC-NL (und ggf. an die zuständige Sektorbehörde).
- Die deutsche Muttergesellschaft meldet (soweit selbst betroffen und betroffene Einrichtung im Sinne des BSIG) an das BSI über das MELDP-Portal.
- BSI und NCSC-NL tauschen nach Art. 23 Abs. 6 und Art. 15 NIS2 Informationen über erhebliche Vorfälle im EU-CSIRT-Netzwerk aus.
Konzerne sollten ihren Incident-Response-Plan explizit auf dieses Szenario ausrichten: Wer meldet, an welche Behörde, in welcher Sprache und in welchem Zeitfenster, muss vorab definiert sein. Niederländische Behörden akzeptieren Meldungen auf Niederländisch und Englisch; deutsche Behörden bevorzugen Deutsch. Mehrsprachige Meldeschablonensets reduzieren die Reaktionszeit erheblich.
Compliance-Fahrplan für niederländische NIS2-Tochterunternehmen
Für deutsche Konzerne mit niederländischen Einheiten empfiehlt sich ein fünfstufiger Ansatz:
Schritt 1: Betroffenheitsanalyse und Sektorzuordnung. Prüfen Sie für jede niederländische Einheit separat, ob sie die Schwellenwerte der Cbw erfüllt (Mitarbeiterzahl, Umsatz, Sektor). Identifizieren Sie die zuständige niederländische Sektorbehörde (RDI, AT, ACM, DNB/AFM, IGJ oder ILT). Wichtig: Die Zuordnung kann von der deutschen Einheit abweichen, wenn die NL-Tochter in einem anderen oder zusätzlichen Sektor tätig ist.
Schritt 2: Registrierung beim NCSC-NL und Sektorbehörde. Reichen Sie die Registrierung über das offizielle Meldungsportal des NCSC-NL ein. Melden Sie gleichzeitig bei der zuständigen Sektorbehörde, sofern diese eine separate Registrierung verlangt (insbesondere RDI und AT). Benennen Sie einen NCSC-NL-Ansprechpartner mit 24/7-Erreichbarkeit.
Schritt 3: Gap-Analyse und Sicherheitskonzept. Nehmen Sie die gruppenweite Sicherheitsrichtlinie der deutschen Muttergesellschaft als Ausgangspunkt; prüfen Sie, ob sie die niederländischen Konkretisierungen der Cbw (insbesondere NCSC-NL ICT-Beveiligingsrichtlijnen) vollständig abdeckt. Passen Sie das Sicherheitskonzept an, wo Abweichungen bestehen – insbesondere bei Kryptografiestandards (PKI-Overheid) und Lieferkettenbewertung.
Schritt 4: Meldeprozesse harmonisieren. Definieren Sie konzernweit, wie Sicherheitsvorfälle die parallelen Meldestellen (BSI Deutschland und NCSC-NL) in den gesetzlichen Fristen (24h/72h) erreichen. Erstellen Sie mehrsprachige Meldevorlagen (DE/EN/NL) und üben Sie den Meldeprozess in einer Tabletop-Übung.
Schritt 5: Governance, Schulung und Review. Die Geschäftsführung der niederländischen Tochtergesellschaft trägt nach Art. 20 NIS2 und der Cbw persönliche Verantwortung für die Cybersicherheits-Governance. Schreiben Sie jährliche Cybersicherheitsschulungen für das lokale Management vor. Überprüfen Sie die Cbw-Compliance der NL-Einheit jährlich im Kontext des konzernweiten NIS2-Audits. Nutzen Sie die vom NCSC-NL veröffentlichten Lagageberichte („Cybersecuritybeeld Nederland“) als Risikoreferenz.
Häufig gestellte Fragen
Muss sich eine niederländische Tochtergesellschaft separat registrieren, wenn die deutsche Muttergesellschaft bereits beim BSI angemeldet ist?
Ja. Die NIS-2-Richtlinie und die Cyberbeveiligingswet folgen dem Territorialprinzip: Jede rechtlich selbständige Einrichtung, die in den Niederlanden die Schwellenwerte erfüllt, muss sich beim NCSC-NL (und ggf. der zuständigen Sektorbehörde) separat registrieren. Eine BSI-Registrierung der Muttergesellschaft entbindet die NL-Tochtergesellschaft nicht von dieser Pflicht. Gruppenweite Sicherheitsrahmenwerke können zusammengeführt werden, die behördliche Registrierung bleibt territorial.
Welche Behörde ist für eine deutsche Reederei mit Hafenoperationen in Rotterdam zuständig?
Für die niederländischen Hafenoperationen ist die Inspectie Leefomgeving en Transport (ILT) als Sektorbehörde im Bereich Schifffahrt zuständig; das NCSC-NL ist zentrale Meldestelle für Vorfälle. Die Hafen Rotterdam Authority betreibt zusätzlich das Cybersicherheitsnetzwerk FERM, das den Hafengemeinschaften Lageinformationen und Fachberatung bereitstellt. Die deutsche Muttergesellschaft unterliegt gleichzeitig dem BSIG mit BSI als Aufsichtsbehörde.
Gelten für NL und DE unterschiedliche Bußgeldrahmen bei NIS2-Verstößen?
Der Bußgeldrahmen ist durch die NIS-2-Richtlinie europäisch harmonisiert: Wesentliche Einrichtungen riskieren bis zu € 10 Mio. oder 2 % des weltweiten Jahresumsatzes; wichtige Einrichtungen bis zu € 7 Mio. oder 1,4 %. In den Niederlanden setzt die Cbw diese Obergrenzen direkt um; die konkrete Bußgeldbemessung liegt bei den zuständigen Sektorbehörden und richtet sich nach Schwere, Dauer und Vorsatz des Verstoßes. Die praktische Durchsetzungspraxis kann zwischen BSI und niederländischen Behörden variieren.
Welche Sprache müssen Vorfallmeldungen an das NCSC-NL haben?
Das NCSC-NL akzeptiert Meldungen auf Niederländisch und Englisch. Für internationale Konzerne ist Englisch die praktischere Wahl. Meldungen, die gleichzeitig an BSI (Deutsch) und NCSC-NL (NL/EN) gehen müssen, sollten in mehrsprachigen Vorlagen vorbereitet werden, um die 24-Stunden-Frühwarnfrist nicht durch Übersetzungsarbeit zu gefährden.
Dieser Artikel stellt allgemeine Informationen bereit und stellt keine Rechts- oder Regulierungsberatung dar. Die konkreten Anforderungen können je nach Sektor, Einrichtungsgröße und individuellem Sachverhalt variieren. Für eine auf Ihre Einrichtung zugeschnittene Einschätzung empfehlen wir die Hinzuziehung eines qualifizierten Rechtsanwalts oder NIS2-Compliance-Spezialisten.
Quellen
- Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (NIS-2-Richtlinie) — EUR-Lex, insbesondere Artikel 2, 3, 21, 23 und Anhänge I und II
- Nationaal Cyber Security Centrum (NCSC-NL) — Offizielle Website — nationale CSIRT-Funktion, Lageberichte „Cybersecuritybeeld Nederland“, Meldewege nach Cbw
- Rijksinspectie Digitale Infrastructuur (RDI) — Offizielle Website — Sektorbehörde für digitale Infrastruktur, DNS, Cloud-Dienste und verwaltete Dienste nach Cbw
- NIS-2-Umsetzung in Deutschland — Orientierungshilfen für betroffene Unternehmen — Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) in der Fassung des NIS2UmsuCG — Bundesministerium der Justiz, Gesetze im Internet, insbesondere §§ 28, 30, 32, 33, 38, 65
