Estado de NIS 2 en los Países Bajos
Los Países Bajos transponen la Directiva NIS 2 de la UE a través de la Cyberbeveiligingswet (Cbw). El proceso legislativo se retrasó, por lo que las entidades neerlandesas deberían seguir tanto el mínimo de la UE como el texto de la Cbw que ahora se tramita en la Tweede Kamer.
Visión general
El fundamento jurídico es la Directiva NIS 2 de la UE (2022/2555). Establece el mínimo de obligaciones de ciberseguridad en cada Estado miembro. Los Países Bajos plasman ese mínimo en derecho nacional a través de la Cyberbeveiligingswet (Cbw), que sustituye a la antigua Wbni (Wet beveiliging netwerk- en informatiesystemen) que implementó NIS 1.
El plazo de transposición de la UE del 17 de octubre de 2024 lo incumplieron los Países Bajos y la mayoría de los Estados miembros, incluida Alemania. El proyecto de ley neerlandés pasó por consulta pública en 2024, se presentó a la Tweede Kamer en 2025 y se espera que entre en vigor durante 2026. La Comisión abrió un procedimiento de infracción contra los Estados miembros que se retrasaron.
Una vez que la Cbw entre en vigor, las obligaciones se aplican sin ventana de transición, igual que Alemania gestionó el BSIG. Hoy se sostienen dos anclajes prácticos: la propia directiva de la UE y el borrador neerlandés publicado. Usa ambos al delimitar el trabajo.
Directiva de la UE
Directiva (UE) 2022/2555 relativa a medidas para un elevado nivel común de ciberseguridad en toda la Unión (NIS 2).
Establece obligaciones de gestión de riesgos (Art. 21), notificación de incidentes (Art. 23), responsabilidad del órgano de dirección (Art. 20) y registro de entidades (Art. 27). Los Estados miembros deben transponerla a su derecho nacional, pero no pueden quedar por debajo del mínimo.
Reglamento de ejecución de la UE
Reglamento de Ejecución (UE) 2024/2690 de la Comisión, de 17 de octubre de 2024 (CIR).
Especifica en detalle cómo son las medidas del Art. 21 para infraestructura digital, DNS, nube, centros de datos, redes de distribución de contenidos, proveedores de servicios gestionados y mercados en línea. Directamente aplicable en los Países Bajos sin acto nacional adicional.
Transposición neerlandesa
Cyberbeveiligingswet (Cbw), proyecto de ley del Gobierno neerlandés actualmente ante el parlamento; la antigua Wbni sigue en vigor hasta que la Cbw surta efecto.
La Cbw asigna las funciones de supervisión y de CSIRT, define las entidades esenciales e importantes para los Países Bajos y añade especificidades nacionales como tasas, procedimientos de designación y traspasos sectoriales. Los artículos citados en esta página se refieren al borrador de consulta publicado y pueden cambiar antes de su adopción.
Cyberbeveiligingswet (Cbw)
Transpone los artículos 1 a 41 de NIS 2 al derecho neerlandés. Define las entidades esenciales (essentiële) e importantes (belangrijke), establece las potestades de supervisión, las multas y los procedimientos de notificación de incidentes, e integra por referencia el CIR de la UE.
RDI, reguladores sectoriales, NCSC-NL
La Rijksinspectie Digitale Infrastructuur (RDI) es el supervisor principal de muchos sectores, incluidos la infraestructura digital y la mayoría de los proveedores de servicios digitales. Los reguladores sectoriales mantienen su ámbito (por ejemplo, el DNB para la banca, la AFM para los mercados financieros, la ACM para las telecomunicaciones). NCSC-NL es el CSIRT nacional.
Plazo de la UE incumplido, registro a través del portal neerlandés
El plazo de la UE del 17 de octubre de 2024 venció sin la transposición neerlandesa. Una vez que la Cbw entre en vigor, las entidades deben registrarse ante la autoridad competente y notificar los incidentes significativos en un plazo de 24 horas (alerta temprana) y 72 horas (notificación completa), en línea con el Art. 23 NIS 2.
El derecho nacional se aplica allí donde operas
Una entidad que presta servicios en los Países Bajos está supervisada por el derecho neerlandés para esas actividades, aunque su sede central esté en otro lugar. La regla del establecimiento principal del Art. 26 NIS 2 decide qué Estado miembro asume la supervisión primaria, pero la actividad local sigue activando la obligación de notificar allí donde se produce el incidente.
La directiva es el suelo, nunca el techo
La Cbw no puede quedar por debajo de NIS 2. Puede ser más estricta en especificidades nacionales (procedimientos de designación, tasas, listas sectoriales). Para las medidas de gestión de riesgos y la notificación de incidentes, el texto de la UE y el CIR fijan la sustancia; el acto neerlandés añade el envoltorio procedimental.
Rijksinspectie Digitale Infrastructuur (RDI)
Autoridad competente principal para muchos sectores de NIS 2 en los Países Bajos, incluidos la infraestructura digital, la gestión de servicios TIC, los proveedores digitales y varios otros sectores de los Anexos I y II. Sucesora de la Agentschap Telecom; depende del Ministerio de Asuntos Económicos.
NCSC-NL (Nationaal Cyber Security Centrum)
CSIRT nacional bajo el Ministerio de Justicia y Seguridad. Recibe las notificaciones de incidentes conforme al Art. 23, emite avisos sectoriales y coordina con ENISA y otros CSIRT nacionales. El Gobierno neerlandés ha anunciado un servicio nacional consolidado de ciberseguridad, pero hoy NCSC-NL es el CSIRT operativo.
ENISA
Emite orientaciones a nivel de la UE e informes técnicos de implementación. No es un regulador de las entidades neerlandesas, pero sus productos (como la Technical Implementation Guidance y las correspondencias con ISO 27001) son la referencia práctica para evidenciar las medidas del Art. 21.
El NIS 2 neerlandés refleja el BSIG alemán uno a uno.
Ambos transponen la misma directiva, pero los textos difieren. Los Países Bajos mantienen un modelo de regulador sectorial más fuerte y usan la RDI como supervisor horizontal; Alemania canaliza casi todo a través del BSI. Los niveles de sanción, la mecánica de registro y los deberes de formación de la dirección están redactados de forma distinta. Lee la Cbw en sus propios términos, no como una traducción del BSIG.
Todavía no hay obligación de registro neerlandesa, así que podemos esperar.
El Art. 27 NIS 2 exige que cada Estado miembro mantenga un registro y que las entidades aporten sus datos. Los Países Bajos pondrán en marcha un canal de registro a través de las autoridades competentes una vez que la Cbw entre en vigor. La regla de actualización en dos semanas del Art. 27(2) es de ámbito europeo y vincula a las entidades neerlandesas en el momento en que la ley se aplique.
Mi regulador sectorial se encarga de todo, la RDI no es relevante.
Los reguladores sectoriales conservan su ámbito de supervisión financiera, de telecomunicaciones o de salud. La RDI es el supervisor horizontal de ciberseguridad para varios sectores y el punto de contacto para cuestiones de ciberseguridad intersectoriales. Para las entidades financieras cubiertas por DORA, DORA actúa como lex specialis en ciberseguridad, pero el registro NIS 2 conforme al Art. 27 sigue aplicándose.
La mayoría de las entidades neerlandesas dentro del ámbito ya saben que lo estarán. La pregunta no es si NIS 2 aterriza, sino cómo las encauzará el acto neerlandés. Sigue dos cosas cada semana: el estado legislativo de la Cbw en la Tweede Kamer y cualquier comunicación sectorial de la RDI que ancle el calendario o el ámbito.
Operativamente, los cuatro deberes constantes ya se sostienen hoy a nivel de la UE: gobernar la seguridad con responsabilidad de la dirección (Art. 20), ejecutar medidas de gestión de riesgos (Art. 21), notificar los incidentes significativos con el reloj de 24 y 72 horas (Art. 23) y prepararse para registrarse (Art. 27). Ninguno de esos cuatro requiere que el acto neerlandés esté en vigor para ser útil.
Nuestro registro de obligaciones está anclado a la directiva de la UE y al CIR, y luego se superpone con las transposiciones nacionales. Las entidades neerlandesas pueden empezar de inmediato en la capa de la directiva y cambiar la superposición nacional a la Cbw una vez que entre en vigor, sin rehacer el trabajo subyacente.
Las plantillas de notificación de incidentes se alinean con los plazos del Art. 23 (alerta temprana de 24 h, notificación completa de 72 h). Las obligaciones de proveedores siguen el Art. 21(2)(d) y el CIR §6, que se aplican de forma idéntica en todos los Estados miembros. La superposición neerlandesa gestiona el encauzamiento ante la autoridad, los requisitos lingüísticos y cualquier especificidad nacional que añada la Cbw.
- Directiva (UE) 2022/2555 (NIS 2) — EUR-Lex, DO L 333, 27 de diciembre de 2022
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión, de 17 de octubre de 2024
- Wetsvoorstel Cyberbeveiligingswet (Cbw), documentación de consulta y de la Tweede Kamer, internetconsultatie.nl
- Wbni — Wet beveiliging netwerk- en informatiesystemen (ley vigente, transposición de NIS 1)
- Rijksinspectie Digitale Infrastructuur (RDI), rdi.nl, información de supervisión de NIS 2
- NCSC-NL, ncsc.nl, notificación de incidentes y orientación del CSIRT
- ENISA, NIS 2 Technical Implementation Guidance (v1.2, 2025)