Stav NIS 2 v Nizozemsku
Nizozemsko transponuje směrnici EU NIS 2 prostřednictvím Cyberbeveiligingswet (Cbw). Legislativní proces nabral zpoždění, takže nizozemské subjekty by měly nyní sledovat jak minimální úroveň EU, tak text Cbw projednávaný v Tweede Kamer.
Přehled
Právním základem je směrnice EU NIS 2 (2022/2555). Stanoví minimální úroveň povinností v oblasti kybernetické bezpečnosti pro každý členský stát. Nizozemsko tuto úroveň zapisuje do národního práva prostřednictvím Cyberbeveiligingswet (Cbw), který nahrazuje starší Wbni (Wet beveiliging netwerk- en informatiesystemen) zavádějící NIS 1.
Lhůtu pro transpozici EU dne 17. října 2024 Nizozemsko i většina členských států, včetně Německa, zmeškaly. Nizozemský návrh prošel v roce 2024 veřejnou konzultací, v roce 2025 byl předložen Tweede Kamer a očekává se, že nabude účinnosti během roku 2026. Komise zahájila řízení o porušení povinnosti proti opožděným členským státům.
Jakmile Cbw nabude účinnosti, povinnosti platí bez přechodného okna, podobně jako to řešilo Německo u BSIG. Dnes drží dvě praktické kotvy: samotná směrnice EU a zveřejněný nizozemský návrh. Při vymezování práce použijte obě.
Směrnice EU
Směrnice (EU) 2022/2555 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v celé Unii (NIS 2).
Stanoví povinnosti řízení rizik (čl. 21), hlášení incidentů (čl. 23), odpovědnost řídicího orgánu (čl. 20) a registraci subjektů (čl. 27). Členské státy musí transponovat do národního práva, ale nesmí jít pod minimální úroveň.
Prováděcí nařízení EU
Prováděcí nařízení Komise (EU) 2024/2690 ze dne 17. října 2024 (CIR).
Podrobně určuje, jak vypadají opatření podle čl. 21 pro digitální infrastrukturu, DNS, cloud, datová centra, doručování obsahu, poskytovatele řízených služeb a online tržiště. Přímo použitelné v Nizozemsku bez dalšího národního aktu.
Nizozemská transpozice
Cyberbeveiligingswet (Cbw), vládní návrh aktuálně projednávaný v parlamentu; starší Wbni zůstává v platnosti, dokud Cbw nenabude účinnosti.
Cbw přiděluje role dozoru a CSIRT, definuje klíčové a důležité subjekty pro Nizozemsko a doplňuje národní specifika jako poplatky, postupy určení a předání mezi odvětvími. Články citované na této stránce odkazují na zveřejněný konzultační návrh a mohou se před přijetím změnit.
Cyberbeveiligingswet (Cbw)
Transponuje články 1 až 41 NIS 2 do nizozemského práva. Definuje klíčové (essentiële) a důležité (belangrijke) subjekty, stanoví dozorové pravomoci, pokuty a postupy hlášení incidentů a začleňuje CIR EU odkazem.
RDI, odvětvové regulátory, NCSC-NL
Rijksinspectie Digitale Infrastructuur (RDI) je hlavním dozorovým orgánem pro mnoho odvětví, včetně digitální infrastruktury a většiny poskytovatelů digitálních služeb. Odvětvové regulátory si drží svou působnost (například DNB pro bankovnictví, AFM pro finanční trhy, ACM pro telekomunikace). NCSC-NL je národní CSIRT.
Lhůta EU zmeškána, registrace přes nizozemský portál
Lhůta EU dne 17. října 2024 uplynula bez nizozemské transpozice. Jakmile Cbw nabude účinnosti, subjekty se musí zaregistrovat u příslušného orgánu a hlásit významné incidenty do 24 hodin (včasné varování) a 72 hodin (úplné oznámení), v souladu s čl. 23 NIS 2.
Národní právo platí tam, kde působíte
Subjekt poskytující služby v Nizozemsku podléhá pro tyto činnosti nizozemskému právu, i když jeho ústředí sídlí jinde. Pravidlo hlavní provozovny podle čl. 26 NIS 2 rozhoduje, který členský stát přebírá primární dozor, ale místní činnost stejně spouští hlášení tam, kde incident dopadne.
Směrnice je minimální úroveň, nikdy ne strop
Cbw nemůže jít pod NIS 2. Může být přísnější v národních specifikách (postupy určení, poplatky, odvětvové seznamy). U opatření pro řízení rizik a hlášení incidentů určují podstatu text EU a CIR; nizozemský zákon doplňuje procesní obal.
Rijksinspectie Digitale Infrastructuur (RDI)
Hlavní příslušný orgán pro mnoho odvětví NIS 2 v Nizozemsku, včetně digitální infrastruktury, správy služeb ICT, digitálních poskytovatelů a několika dalších odvětví z přílohy I a II. Nástupce Agentschap Telecom; spadá pod Ministerstvo hospodářství.
NCSC-NL (Nationaal Cyber Security Centrum)
Národní CSIRT pod Ministerstvem spravedlnosti a bezpečnosti. Přijímá oznámení o incidentech podle čl. 23, provozuje odvětvová doporučení a koordinuje se s ENISA a dalšími národními CSIRT. Nizozemská vláda oznámila konsolidovanou národní službu kybernetické bezpečnosti, ale operativním CSIRT je dnes NCSC-NL.
ENISA
Vydává metodiku na úrovni EU a technické zprávy o implementaci. Není regulátorem nizozemských subjektů, ale její výstupy (jako Technical Implementation Guidance a křížové mapování na ISO 27001) jsou praktickou referencí pro doložení opatření podle čl. 21.
Nizozemský NIS 2 zrcadlí německý BSIG jedna ku jedné.
Oba transponují tutéž směrnici, ale texty se liší. Nizozemsko si drží silnější model odvětvového regulátora a RDI používá jako horizontální dozor; Německo kanalizuje téměř vše přes BSI. Výše sankcí, mechanika registrace a povinnosti školení vedení jsou napsány odlišně. Čtěte Cbw na jeho vlastních podmínkách, ne jako překlad BSIG.
Nizozemská registrační povinnost zatím neexistuje, takže můžeme počkat.
Čl. 27 NIS 2 vyžaduje, aby každý členský stát vedl registr a aby subjekty poskytly své údaje. Nizozemsko spustí registrační kanál prostřednictvím příslušných orgánů, jakmile Cbw nabude účinnosti. Pravidlo aktualizace do dvou týdnů podle čl. 27 odst. 2 platí celounijně a zavazuje nizozemské subjekty v okamžiku, kdy se zákon začne uplatňovat.
Můj odvětvový regulátor řeší vše, RDI není relevantní.
Odvětvové regulátory si drží svou finanční, telekomunikační nebo zdravotnickou dozorovou působnost. RDI je horizontální dozor kybernetické bezpečnosti pro několik odvětví a kontaktní místo pro mezioborové otázky kybernetické bezpečnosti. U finančních subjektů spadajících pod DORA působí DORA jako lex specialis v oblasti kybernetické bezpečnosti, ale registrace podle čl. 27 NIS 2 stále platí.
Většina nizozemských subjektů v působnosti už ví, že do působnosti spadne. Otázkou není, zda NIS 2 dopadne, ale jak je nizozemský zákon nasměruje. Sledujte týdně dvě věci: legislativní stav Cbw v Tweede Kamer a jakoukoli odvětvovou komunikaci RDI, která ukotvuje načasování nebo vymezení.
Provozně drží na úrovni EU dnes čtyři stálé povinnosti: řídit bezpečnost s odpovědností vedení (čl. 20), provozovat opatření pro řízení rizik (čl. 21), hlásit významné incidenty v rytmu 24 hodin a 72 hodin (čl. 23) a připravit se na registraci (čl. 27). Žádná z těchto čtyř nevyžaduje, aby byl nizozemský zákon účinný, aby byla užitečná.
Náš registr povinností je ukotven ve směrnici EU a CIR a poté navrstven národními transpozicemi. Nizozemské subjekty mohou ihned začít na vrstvě směrnice a přepnout národní překryv na Cbw, jakmile nabude účinnosti, bez nutnosti dělat základní práci znovu.
Šablony hlášení incidentů odpovídají načasování podle čl. 23 (včasné varování do 24 h, úplné oznámení do 72 h). Povinnosti vůči dodavatelům vycházejí z čl. 21 odst. 2 písm. d) a §6 CIR, které platí ve všech členských státech shodně. Nizozemský překryv řeší nasměrování na orgány, jazykové požadavky a jakákoli národní specifika, která Cbw přidá.
- Směrnice (EU) 2022/2555 (NIS 2), EUR-Lex, Úř. věst. L 333, 27. prosince 2022
- Prováděcí nařízení Komise (EU) 2024/2690 ze dne 17. října 2024
- Wetsvoorstel Cyberbeveiligingswet (Cbw), konzultace a dokumentace Tweede Kamer, internetconsultatie.nl
- Wbni, Wet beveiliging netwerk- en informatiesystemen (současný zákon, transpozice NIS 1)
- Rijksinspectie Digitale Infrastructuur (RDI), rdi.nl, dozorové informace k NIS 2
- NCSC-NL, ncsc.nl, oznamování incidentů a metodika CSIRT
- ENISA, NIS 2 Technical Implementation Guidance (v1.2, 2025)