Statut NIS 2 aux Pays-Bas
Les Pays-Bas transposent la directive NIS 2 de l'UE par la Cyberbeveiligingswet (Cbw). Le processus législatif a pris du retard ; les entités néerlandaises devraient donc suivre dès maintenant à la fois le socle de l'UE et le texte de la Cbw actuellement devant la Tweede Kamer.
Vue d'ensemble
Le fondement juridique est la directive NIS 2 de l'UE (2022/2555). Elle fixe le socle des obligations de cybersécurité dans chaque État membre. Les Pays-Bas inscrivent ce socle en droit national par la Cyberbeveiligingswet (Cbw), qui remplace l'ancienne Wbni (Wet beveiliging netwerk- en informatiesystemen) ayant mis en œuvre NIS 1.
Le délai de transposition de l'UE du 17 octobre 2024 a été manqué par les Pays-Bas et par la plupart des États membres, dont l'Allemagne. Le projet de loi néerlandais a fait l'objet d'une consultation publique en 2024, a été soumis à la Tweede Kamer en 2025 et devrait entrer en vigueur courant 2026. La Commission a ouvert une procédure d'infraction contre les États membres en retard.
Une fois la Cbw entrée en vigueur, les obligations s'appliquent sans période transitoire, à l'image de la manière dont l'Allemagne a traité le BSIG. Deux ancrages pratiques tiennent aujourd'hui : la directive de l'UE elle-même, et le projet néerlandais publié. Utilisez les deux pour cadrer le travail.
Directive de l'UE
Directive (UE) 2022/2555 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union (NIS 2).
Fixe les obligations de gestion des risques (Art. 21), la notification des incidents (Art. 23), la responsabilité de l'organe de direction (Art. 20) et l'enregistrement des entités (Art. 27). Les États membres doivent transposer en droit national mais ne peuvent pas descendre sous le socle.
Règlement d'exécution de l'UE
Règlement d'exécution (UE) 2024/2690 de la Commission du 17 octobre 2024 (CIR).
Précise en détail à quoi ressemblent les mesures de l'Art. 21 pour l'infrastructure numérique, le DNS, le cloud, les centres de données, la diffusion de contenu, les prestataires de services managés et les places de marché en ligne. Directement applicable aux Pays-Bas sans acte national supplémentaire.
Transposition néerlandaise
Cyberbeveiligingswet (Cbw), projet de loi du gouvernement néerlandais actuellement devant le parlement ; l'ancienne Wbni reste en vigueur jusqu'à l'entrée en application de la Cbw.
La Cbw attribue les rôles de surveillance et de CSIRT, définit les entités essentielles et importantes pour les Pays-Bas, et ajoute des spécificités nationales telles que les redevances, les procédures de désignation et les passations sectorielles. Les articles cités sur cette page renvoient au projet de consultation publié et peuvent changer avant adoption.
Cyberbeveiligingswet (Cbw)
Transpose les articles 1 à 41 de NIS 2 en droit néerlandais. Définit les entités essentielles (essentiële) et importantes (belangrijke), fixe les pouvoirs de surveillance, les amendes et les procédures de notification des incidents, et intègre le CIR de l'UE par renvoi.
RDI, régulateurs sectoriels, NCSC-NL
La Rijksinspectie Digitale Infrastructuur (RDI) est l'autorité de surveillance principale pour de nombreux secteurs, dont l'infrastructure numérique et la plupart des fournisseurs de services numériques. Les régulateurs sectoriels conservent leur domaine (par exemple la DNB pour la banque, l'AFM pour les marchés financiers, l'ACM pour les télécommunications). Le NCSC-NL est le CSIRT national.
Délai de l'UE manqué, enregistrement via le portail néerlandais
Le délai de l'UE du 17 octobre 2024 est passé sans transposition néerlandaise. Une fois la Cbw entrée en vigueur, les entités doivent s'enregistrer auprès de l'autorité compétente et notifier les incidents importants dans les 24 heures (alerte précoce) et 72 heures (notification complète), conformément à l'Art. 23 NIS 2.
Le droit national s'applique là où vous opérez
Une entité fournissant des services aux Pays-Bas est soumise au droit néerlandais pour ces activités, même si son siège se trouve ailleurs. La règle de l'établissement principal de l'Art. 26 NIS 2 détermine quel État membre exerce la surveillance principale, mais l'activité locale déclenche tout de même la notification là où l'incident survient.
La directive est le socle, jamais le plafond
La Cbw ne peut pas descendre sous NIS 2. Elle peut être plus stricte sur les spécificités nationales (procédures de désignation, redevances, listes sectorielles). Pour les mesures de gestion des risques et la notification des incidents, le texte de l'UE et le CIR fixent le fond ; la loi néerlandaise ajoute l'habillage procédural.
Rijksinspectie Digitale Infrastructuur (RDI)
Autorité compétente principale pour de nombreux secteurs NIS 2 aux Pays-Bas, dont l'infrastructure numérique, la gestion des services TIC, les fournisseurs numériques et plusieurs autres secteurs des Annexes I et II. Successeur de l'Agentschap Telecom ; relève du ministère des Affaires économiques.
NCSC-NL (Nationaal Cyber Security Centrum)
CSIRT national relevant du ministère de la Justice et de la Sécurité. Reçoit les notifications d'incidents au titre de l'Art. 23, diffuse des avis sectoriels et coordonne avec l'ENISA et les autres CSIRT nationaux. Le gouvernement néerlandais a annoncé un service national de cybersécurité consolidé, mais le NCSC-NL est aujourd'hui le CSIRT opérationnel.
ENISA
Publie des orientations et des rapports techniques de mise en œuvre au niveau de l'UE. N'est pas un régulateur des entités néerlandaises, mais ses productions (comme la Technical Implementation Guidance et les correspondances avec ISO 27001) constituent la référence pratique pour étayer les mesures de l'Art. 21.
Le NIS 2 néerlandais reflète le BSIG allemand à l'identique.
Les deux transposent la même directive, mais les textes diffèrent. Les Pays-Bas conservent un modèle de régulateur sectoriel plus marqué et utilisent la RDI comme surveillant horizontal ; l'Allemagne canalise presque tout par le BSI. Les niveaux de sanction, les modalités d'enregistrement et les obligations de formation de la direction sont rédigés différemment. Lisez la Cbw pour ce qu'elle est, et non comme une traduction du BSIG.
Il n'existe pas encore d'obligation d'enregistrement néerlandaise, nous pouvons donc attendre.
L'Art. 27 NIS 2 impose à chaque État membre de tenir un registre et aux entités de fournir leurs données. Les Pays-Bas mettront en place un canal d'enregistrement via les autorités compétentes une fois la Cbw entrée en vigueur. La règle de mise à jour sous deux semaines de l'Art. 27(2) s'applique dans toute l'UE et lie les entités néerlandaises dès l'application de la loi.
Mon régulateur sectoriel gère tout, la RDI n'est pas pertinente.
Les régulateurs sectoriels conservent leur domaine de surveillance financier, télécom ou de santé. La RDI est le surveillant horizontal de cybersécurité pour plusieurs secteurs et le point de contact pour les questions de cybersécurité transsectorielles. Pour les entités financières couvertes par DORA, DORA agit comme lex specialis en matière de cybersécurité, mais l'enregistrement NIS 2 au titre de l'Art. 27 s'applique toujours.
La plupart des entités néerlandaises dans le périmètre savent déjà qu'elles le seront. La question n'est pas de savoir si NIS 2 s'impose, mais comment la loi néerlandaise les orientera. Suivez deux choses chaque semaine : l'état législatif de la Cbw devant la Tweede Kamer, et toute communication sectorielle de la RDI qui ancre un calendrier ou un cadrage.
Sur le plan opérationnel, les quatre devoirs constants tiennent aujourd'hui au niveau de l'UE : gouverner la sécurité avec une responsabilité de la direction (Art. 20), exécuter des mesures de gestion des risques (Art. 21), notifier les incidents importants dans le délai de 24 heures et de 72 heures (Art. 23), et se préparer à l'enregistrement (Art. 27). Aucun de ces quatre devoirs n'exige que la loi néerlandaise soit en vigueur pour être utile.
Notre registre d'obligations est ancré à la directive de l'UE et au CIR, puis enrichi des transpositions nationales. Les entités néerlandaises peuvent démarrer immédiatement sur la couche directive et basculer la surcouche nationale vers la Cbw une fois celle-ci entrée en vigueur, sans refaire le travail sous-jacent.
Les modèles de notification d'incident s'alignent sur le calendrier de l'Art. 23 (alerte précoce sous 24 h, notification complète sous 72 h). Les obligations fournisseurs suivent l'Art. 21(2)(d) et le §6 du CIR, qui s'appliquent à l'identique dans tous les États membres. La surcouche néerlandaise gère l'orientation vers l'autorité, les exigences linguistiques et toute spécificité nationale que la Cbw ajoute.
- Directive (UE) 2022/2555 (NIS 2) — EUR-Lex, JO L 333, 27 décembre 2022
- Règlement d'exécution (UE) 2024/2690 de la Commission du 17 octobre 2024
- Wetsvoorstel Cyberbeveiligingswet (Cbw), consultation et documentation de la Tweede Kamer, internetconsultatie.nl
- Wbni — Wet beveiliging netwerk- en informatiesystemen (loi en vigueur, transposition de NIS 1)
- Rijksinspectie Digitale Infrastructuur (RDI), rdi.nl, informations de surveillance NIS 2
- NCSC-NL, ncsc.nl, notification d'incidents et orientations CSIRT
- ENISA, NIS 2 Technical Implementation Guidance (v1.2, 2025)