Cybersicherheitsgesetz 2026: Was jedes KMU jetzt wissen muss

Das niederländische Parlament hat am 23. März das Cybersicherheitsgesetz (Cyberbeveiligingswet) beraten. Die Abstimmung wird in den kommenden Wochen erwartet. Wenn sie positiv ausfällt — und davon gehen alle aus — tritt das Gesetz im zweiten Quartal 2026 in Kraft. Das ist in wenigen Monaten.

Das Cybersicherheitsgesetz ist die niederländische Umsetzung der europäischen NIS2-Richtlinie. Das Ziel: die digitale Widerstandsfähigkeit von Organisationen stärken. Klingt abstrakt? Ist es nicht. Dieses Gesetz betrifft direkt rund 10.000 Organisationen in den Niederlanden. Und über die Lieferkettenverantwortung ein Vielfaches davon. Die Chance ist groß, dass auch Ihr Unternehmen dazugehört.

Drei Pflichten, die Sie kennen müssen

Das Cybersicherheitsgesetz basiert auf drei Säulen. Jede Organisation, die darunter fällt, muss alle drei erfüllen.

1. Sorgfaltspflicht

Sie müssen geeignete technische, betriebliche und organisatorische Maßnahmen ergreifen, um die Sicherheit Ihrer Netzwerk- und Informationssysteme zu gewährleisten. Das bedeutet: Risikoanalyse durchführen, Sicherheitsrichtlinien erstellen, Vorfallmanagement organisieren und Mitarbeiter schulen. Nicht einmalig, sondern kontinuierlich.

2. Meldepflicht

Bei einem erheblichen Cybervorfall müssen Sie innerhalb von 24 Stunden eine erste Meldung beim CSIRT oder der Aufsichtsbehörde einreichen. Innerhalb von 72 Stunden folgt eine ausführlichere Meldung. Das ist schnell. Wenn Sie jetzt kein Vorfallverfahren haben, sind Sie bereits zu spät, wenn etwas passiert.

3. Registrierungspflicht

Organisationen, die unter das Gesetz fallen, müssen sich bei der niederländischen Aufsichtsbehörde für digitale Infrastruktur (RDI) registrieren. So weiß die Behörde, wer betroffen ist, und kann gezielt durchsetzen.

Wen betrifft es?

Das Gesetz unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Wesentliche Einrichtungen sind in Sektoren wie Energie, Transport, Gesundheitswesen, Trinkwasser und digitale Infrastruktur tätig. Wichtige Einrichtungen sind aktiv in Sektoren wie Post- und Kurierdienste, Abfallwirtschaft, Lebensmittelproduktion, Chemie und digitale Anbieter.

Aber hier wird es für KMU interessant. Das Gesetz gilt grundsätzlich für mittlere und große Organisationen in diesen Sektoren. Kleine Unternehmen mit weniger als 50 Mitarbeitern und weniger als 10 Millionen Euro Umsatz sind in den meisten Fällen ausgenommen.

Trotzdem können Sie sich als kleines Unternehmen nicht zurücklehnen. Und das hat alles mit der Lieferkette zu tun.

Lieferkettenverantwortung: Warum es auch Sie betrifft

Das Cybersicherheitsgesetz verpflichtet Organisationen, die Sicherheit ihrer gesamten Lieferkette zu gewährleisten. Das bedeutet, dass sie Anforderungen an ihre Zulieferer stellen werden. Und wenn Sie an ein Unternehmen liefern, das unter das Gesetz fällt, landen diese Anforderungen auf Ihrem Schreibtisch.

Das passiert bereits. IT-Unternehmen berichten von einem deutlichen Anstieg der Anfragen von Unternehmen, die nicht direkt unter NIS2 fallen, aber an Kunden liefern, die es tun. Die Fragen kommen: „Haben Sie eine Sicherheitsrichtlinie? Wie gehen Sie mit Vorfällen um? Können Sie das nachweisen?"

Als Installateur, der an ein Krankenhaus liefert. Als IT-Dienstleister für ein Transportunternehmen. Als Caterer für ein Energieunternehmen. Als Buchhalter für ein Wasserversorgungsunternehmen. Die Kette ist länger, als Sie denken.

Geschäftsführer persönlich haftbar

Das ist vielleicht der einschneidendste Teil des Gesetzes. Geschäftsführer werden persönlich für Mängel in der Cybersicherheit ihrer Organisation haftbar gemacht. Nicht das Unternehmen. Sie persönlich.

Bei Fahrlässigkeit können Geschäftsführer nicht nur Bußgelder erhalten, sondern auch vorübergehend von ihrer Position entbunden werden. Die Bußgelder können bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.

Der Vorstand muss die Risikoanalyse genehmigen, die Umsetzung der Maßnahmen überwachen und selbst eine Cybersicherheitsschulung absolvieren. „Dafür habe ich meinen IT-Mann" ist keine gültige Ausrede mehr.

Drei Fristen 2026, die Sie sich merken sollten

2026 wird das Jahr der digitalen Compliance. Neben dem Cybersicherheitsgesetz gibt es zwei weitere Fristen, die KMU betreffen:

Q2 2026: Cybersicherheitsgesetz (NIS2). Das Gesetz tritt voraussichtlich nach parlamentarischer Genehmigung in Kraft. Direkte Anwendung für wesentliche und wichtige Einrichtungen. Lieferketteneffekt für Zulieferer.

2. August 2026: EU AI Act Schulungspflicht. Jedes Unternehmen, das KI-Systeme nutzt, muss sicherstellen, dass Mitarbeiter ausreichend KI-kompetent sind. Bußgelder bis zu 35 Millionen Euro.

August 2026: EU AI Act vollständig in Kraft. Die vollständigen Verpflichtungen für Hochrisiko-KI-Systeme werden bindend. Dazu gehört KI in der Personalrekrutierung, Kreditbewertung und im Kundenservice.

Drei Gesetze, eine Botschaft: Digitale Compliance ist nicht mehr optional.

Fünf Schritte zur Vorbereitung

Sie brauchen keine ISO 27001-Zertifizierung, um anzufangen. Aber nichts zu tun ist keine Option mehr. Das können Sie diesen Monat noch angehen:

1. Prüfen Sie, ob Sie betroffen sind

Machen Sie den NIS2-Schnellcheck auf der Website der RDI. Er sagt Ihnen innerhalb weniger Minuten, ob Ihre Organisation direkt unter das Gesetz fällt. Nicht betroffen? Prüfen Sie, ob Sie an Organisationen liefern, die es sind.

2. Führen Sie eine Risikoanalyse durch

Erfassen Sie, welche Systeme Sie nutzen, wo Ihre Daten liegen, wer Zugang hat und was passiert, wenn ein System ausfällt. Beginnen Sie mit den Grundlagen: Welche Systeme sind geschäftskritisch? Was, wenn Ihre E-Mail eine Woche ausfällt? Was, wenn Kundendaten offengelegt werden?

3. Erstellen Sie ein Vorfallverfahren

Wer ruft wen an, wenn etwas schiefgeht? Wer hat die Befugnis, Systeme abzuschalten? Wo sind die Backups? Wenn Sie diese Fragen nicht innerhalb von fünf Minuten beantworten können, haben Sie Arbeit vor sich. Das Gesetz verlangt eine Meldung innerhalb von 24 Stunden — Sie müssen wissen, was zu tun ist.

4. Schulen Sie Ihre Mitarbeiter

Das schwächste Glied in der Cybersicherheit sind fast immer die Menschen. Phishing, schwache Passwörter, ungesicherte Geräte. Eine kurze Schulung macht einen enormen Unterschied. Das schließt auch an die KI-Kompetenzpflicht an, die im August in Kraft tritt.

5. Dokumentieren Sie alles

Ohne Dokumentation können Sie nicht beweisen, dass Sie Maßnahmen ergriffen haben. Halten Sie fest, welche Risiken Sie identifiziert, welche Maßnahmen Sie umgesetzt und wann Sie Mitarbeiter geschult haben. Bei einer Kontrolle oder nach einem Vorfall ist dies Ihr Nachweis.

Was kostet es, nichts zu tun?

Seien wir ehrlich: Die Wahrscheinlichkeit, dass die RDI morgen vor Ihrer Tür steht, ist gering. Aber die Risiken sind realer, als Sie denken.

Ein Kunde, der fragt, ob Sie NIS2-konform sind, und Sie haben keine Antwort. Ein Cybervorfall, bei dem Sie nicht wissen, wen Sie anrufen sollen. Ein Geschäftsführer, der persönlich haftbar gemacht wird, weil es keine Sicherheitsrichtlinie gab. Eine Lieferantenbeziehung, die endet, weil Sie die Lieferkettenanforderungen nicht erfüllen können.

Die Kosten der Vorbereitung sind ein Bruchteil der Kosten eines Vorfalls. Der durchschnittliche Schaden eines Cyberangriffs bei KMU liegt zwischen 50.000 und 250.000 Euro. Eine Risikoanalyse und Sicherheitsrichtlinie ist im Vergleich ein Schnäppchen.

Fangen Sie heute an

Das Cybersicherheitsgesetz ist keine Überraschung. Die EU hat die NIS2-Richtlinie 2022 veröffentlicht. Die Niederlande hatten vier Jahre Zeit, sie in nationales Recht umzusetzen. Die Abstimmungen finden jetzt statt. Die Umsetzung folgt kurz darauf.

Unternehmen, die sich jetzt vorbereiten, haben drei Vorteile. Sie sind konform, wenn das Gesetz in Kraft tritt. Sie können ihren Kunden zeigen, dass sie Cybersicherheit ernst nehmen. Und sie sind widerstandsfähig gegen die Bedrohungen, die es ohnehin gibt — Gesetz hin oder her.

Möchten Sie wissen, wo Ihr Unternehmen steht? Nehmen Sie Kontakt auf für einen kostenlosen AI-Scan. Wir erfassen Ihre digitalen Risiken, prüfen, ob Sie vom Cybersicherheitsgesetz betroffen sind, und identifizieren, welche Schritte Sie zuerst unternehmen sollten. Konkret, praktisch und ohne juristisches Fachchinesisch.