2LRN4 security awareness platform
← Zurück zur Wissensdatenbank

Was ist das niederländische Cybersicherheitsgesetz (Cbw)?

Praktische Erklärung zu niederländisches cybersicherheitsgesetz für Organisationen, die sicheres Verhalten strukturell verbessern wollen.

Aktuell

Von der Einsicht zur Umsetzung

Sehen Sie, wie Sie dieses Thema in ein praktisches Awareness-Programm mit Training, Phishing-Simulationen und klarem Management-Reporting übersetzen.

Demo buchen Zur primären Lösungs-Seite
Alain Rees
Gründer & Security-Awareness-Spezialist · 2LRN4

Das niederländische Cybersicherheitsgesetz (Cbw, Cyberbeveiligingswet) ist die niederländische Umsetzung der EU-NIS2-Richtlinie. Es legt Cybersicherheitsanforderungen für wesentliche und wichtige Einrichtungen fest, unter anderem im Gesundheitswesen, Finanzwesen, Energie, Trinkwasser, digitaler Infrastruktur, Verwaltung sowie im gesamten Hochschulsektor. Das Cbw ersetzt das ältere Wbni und legt explizite Verantwortung beim Vorstand.

Warum das Cbw eingeführt wurde

Am 17. Januar 2023 trat die NIS2-Richtlinie (Network and Information Security 2) als Nachfolgerin von NIS1 in Kraft. NIS2 erweiterte den Anwendungsbereich drastisch und führte direkte Vorstands-Haftung für Cybersicherheit ein. Mitgliedstaaten mussten NIS2 bis zum 18. Oktober 2024 in nationales Recht umsetzen.

Die Niederlande haben dies über die Cyberbeveiligingswet (Cbw) getan, mit Durchführungsregeln im Cyberbeveiligingsbesluit (Cbb). Es ersetzt das ältere Wbni und ist 2024-2025 schrittweise in Kraft getreten. Sektorspezifische Aufsichtsbehörden überwachen: IGJ (Gesundheit), DNB (Finanzen), RDI (digitale Infrastruktur) und Ministerien (Verwaltung).

Wichtig: das Cbw gilt unmittelbar für niederländische Organisationen. Bindend ist der niederländische Gesetzestext, nicht die EU-Richtlinie, wobei die Richtlinie als Auslegungshilfe dienen kann, wo das Cbw schweigt.

Wer fällt unter das Cbw?

Das Cbw unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Wesentliche Einrichtungen stehen unter proaktiver Aufsicht (Aufsichtsbehörden können unangekündigt prüfen); wichtige Einrichtungen unter reaktiver Aufsicht (nur bei Signalen oder Vorfällen).

  • Wesentliche Sektoren (Cbw Art. 8): Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstemanagement, Verwaltung, Raumfahrt.
  • Wichtige Sektoren (Cbw Art. 9): Post- und Kurierdienste, Abfallwirtschaft, Chemikalienproduktion/-verteilung, Lebensmittelproduktion/-verarbeitung, Fertigung, digitale Dienstleister, Forschungsorganisationen, Hochschulwesen.
  • Schwellenwerte: typischerweise 50+ Mitarbeiter oder €10 Mio. Jahresumsatz, mit Ausnahmen für bestimmte kritische Einrichtungen.

Die drei Säulen des Cbw

Das Cbw enthält drei Hauptverpflichtungen, die in der Umsetzung typischerweise parallel adressiert werden:

  • Cbw Artikel 21, Sorgfaltspflicht. Risikomanagement, Vorfallbehandlung, Geschäftskontinuität, Supply-Chain-Sicherheit, Asset Management, Kryptographie, Zugangsrichtlinie und Cyberhygiene müssen nachweisbar geregelt sein. Awareness-Training ist hier ausdrücklich Teil davon.
  • Cbw Artikel 24, Governance. Vorstandsmitglieder müssen Cybersicherheitstraining absolvieren und haften persönlich bei schuldhafter Fahrlässigkeit. Der Vorstand muss die Umsetzung aktiv steuern.
  • Cbw Artikel 25, Meldepflicht. Erhebliche Vorfälle müssen in drei Phasen gemeldet werden: Frühwarnung innerhalb von 24 Stunden, Zwischenbericht innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats.

Cbw versus NIS2, warum niederländische Organisationen zuerst das Cbw lesen sollten

NIS2 ist eine EU-Richtlinie, ein Mindestrahmen, der Mitgliedstaaten Spielraum für nationale Umsetzung lässt. Das Cbw ist die niederländische Umsetzung und enthält strengere oder zusätzliche Regeln: z.B. bei der Definition "erheblicher Vorfall", Aufsichtsbefugnissen und Sektorzuweisungen.

Für niederländische Organisationen gilt: das Cbw ist bindend, nicht der Richtlinientext. Eine Cbw-Prüfung testet gegen das Cbw, nicht direkt gegen NIS2. Die Richtlinie kann als Auslegungshilfe dienen, wo das Cbw unklar ist.

Praktischer Hinweis: obwohl viel Marketingmaterial auf "NIS2-Compliance" verweist, wenden Aufsicht und Vollzug stets niederländisches Recht an. Awareness-Training und Compliance-Dokumentation sollten daher primär Cbw-Framing verwenden.

Sanktionen und Bußgelder unter dem Cbw

Das Cbw sieht erhebliche Sanktionen vor. Wesentliche Einrichtungen können Bußgelder bis zu €10 Mio. oder 2% des weltweiten Jahresumsatzes (je nachdem, was höher ist) auferlegt bekommen. Für wichtige Einrichtungen liegt das Maximum bei €7 Mio. oder 1,4%.

Zusätzlich zu Bußgeldern haben Aufsichtsbehörden Befugnisse, Anweisungen zu erlassen, Zertifizierungen zu entziehen und in schweren Fällen Vorstandsmitglieder vorübergehend von ihren Funktionen zu entheben, eine direkte Folge der Vorstandshaftung aus Cbw Artikel 24.

In den ersten 12-18 Monaten nach Inkrafttreten wenden Aufsichtsbehörden typischerweise einen graduellen Ansatz mit Fokus auf "angemessenem Fortschritt" an. Die Cbw Art. 24 Vorstandsschulung wird jedoch ab Tag eins durchgesetzt.

Von der Erklärung zur Lösung

Entdecken Sie, wie 2LRN4 dieses Thema in ein funktionierendes Programm mit Training, Phishing-Simulation und Management-Reporting überführt.

Zur NIS2-Seite

Verwandte Artikel

Quellen

FAQ

Ab wann gilt das Cbw?

Das Cyberbeveiligingswet ist 2024-2025 schrittweise in Kraft getreten, mit den meisten Verpflichtungen vollständig aktiv ab 2025. Sektorspezifische Durchführungsverordnungen können zusätzliche Fristen setzen, siehe Cyberbeveiligingsbesluit (Cbb) für Details.

Fällt meine Organisation unter das Cbw?

Hängt von Sektor und Größe ab. Allgemeine Schwelle: 50+ Mitarbeiter oder €10 Mio. Umsatz, in einem ausgewiesenen Sektor. Das Digital Trust Center (DTC) bietet einen Online-Checker.

Was, wenn NIS2 für mich gilt, aber das Cbw nicht?

In den Niederlanden existiert dieser Unterschied praktisch nicht. Das Cbw ist die niederländische NIS2-Umsetzung; wenn NIS2 gilt und Sie in den Niederlanden ansässig sind, gilt das Cbw. Bei Multinationals bestimmt die Hauptniederlassungsregel aus NIS2 Art. 26 das anwendbare nationale Recht.

Wie verhält sich das zur DSGVO und NEN 7510?

Überschneidend, aber unterschiedlicher Fokus. DSGVO regelt personenbezogene Daten; Cbw regelt allgemeine Cybersicherheit; NEN 7510 spezifisch Informationssicherheit im Gesundheitswesen. Ein gutes Compliance-Programm adressiert alle drei dort, wo anwendbar.

Wie beginne ich mit der Cbw-Umsetzung?

Drei Schritte: (1) Anwendbarkeit prüfen und verantwortliches Vorstandsmitglied benennen; (2) Gap-Analyse zu Cbw Artikel 21, 24 und 25; (3) Umsetzungsplan mit Priorität auf Art. 24 Vorstandsschulung (sofortige Vollstreckung) und Art. 21 organisatorischen Maßnahmen.

Welche Aufsichtsbehörde ist zuständig?

Sektorabhängig: Gesundheit → IGJ, Finanzen → DNB, digitale Infrastruktur → RDI, Verwaltung → BZK oder zuständige Behörde. Das Digital Trust Center (DTC) hilft, die zuständige Aufsichtsbehörde zu identifizieren.

Externe Quelle: European Commission - NIS2 Directive

Weiterlesen
Board-Reporting und Awareness im öffentlichen Sektor → Cbw Artikel 24: die Vorstandstrainingspflicht erklärt →
Nächster Schritt

Nutzen Sie diesen Artikel als Grundlage und sehen Sie anschließend, wie 2LRN4 das Thema praktisch in Zielgruppensegmentierung, Training und Reporting übersetzt.

Demo buchen Leitfaden herunterladen Weitere Artikel