Stato della NIS 2 nei Paesi Bassi
I Paesi Bassi recepiscono la direttiva UE NIS 2 attraverso la Cyberbeveiligingswet (Cbw). Il processo legislativo ha accumulato ritardo, perciò i soggetti olandesi dovrebbero seguire sia la soglia minima dell'UE sia il testo della Cbw ora all'esame della Tweede Kamer.
Panoramica
Il fondamento giuridico è la direttiva UE NIS 2 (2022/2555). Stabilisce la soglia minima per gli obblighi di cybersicurezza in ogni Stato membro. I Paesi Bassi trasferiscono questa soglia nel diritto nazionale attraverso la Cyberbeveiligingswet (Cbw), che sostituisce la precedente Wbni (Wet beveiliging netwerk- en informatiesystemen) che aveva attuato la NIS 1.
Il termine di recepimento UE del 17 ottobre 2024 è stato mancato dai Paesi Bassi e dalla maggior parte degli Stati membri, Germania compresa. Il disegno di legge olandese ha attraversato la consultazione pubblica nel 2024, è stato presentato alla Tweede Kamer nel 2025 e dovrebbe entrare in vigore nel corso del 2026. La Commissione ha avviato una procedura d'infrazione nei confronti degli Stati membri in ritardo.
Una volta che la Cbw entra in vigore, gli obblighi si applicano senza una finestra di transizione, rispecchiando il modo in cui la Germania ha gestito il BSIG. Oggi reggono due ancoraggi pratici: la direttiva UE stessa e la bozza olandese pubblicata. Usate entrambi nel definire l'ambito del lavoro.
Direttiva UE
Direttiva (UE) 2022/2555 relativa a misure per un livello comune elevato di cybersicurezza nell'Unione (NIS 2).
Stabilisce gli obblighi di gestione del rischio (art. 21), la segnalazione degli incidenti (art. 23), la responsabilità dell'organo di gestione (art. 20) e la registrazione dei soggetti (art. 27). Gli Stati membri devono recepire nel diritto nazionale ma non possono scendere al di sotto della soglia minima.
Regolamento di esecuzione dell'UE
Regolamento di esecuzione (UE) 2024/2690 della Commissione del 17 ottobre 2024 (CIR).
Specifica in dettaglio come si configurano le misure dell'art. 21 per l'infrastruttura digitale, il DNS, il cloud, i data center, la fornitura di contenuti, i managed service provider e i marketplace online. Direttamente applicabile nei Paesi Bassi senza ulteriore atto nazionale.
Recepimento olandese
Cyberbeveiligingswet (Cbw), disegno di legge del governo olandese attualmente all'esame del parlamento; la precedente Wbni resta in vigore fino all'entrata in vigore della Cbw.
La Cbw assegna i ruoli di vigilanza e CSIRT, definisce i soggetti essenziali e importanti per i Paesi Bassi e aggiunge specificità nazionali quali tariffe, procedure di designazione e passaggi di competenza settoriale. Gli articoli citati in questa pagina si riferiscono alla bozza di consultazione pubblicata e possono cambiare prima dell'adozione.
Cyberbeveiligingswet (Cbw)
Recepisce gli articoli da 1 a 41 della NIS 2 nel diritto olandese. Definisce i soggetti essenziali (essentiële) e importanti (belangrijke), stabilisce i poteri di vigilanza, le sanzioni e le procedure di segnalazione degli incidenti, e integra il CIR dell'UE per rinvio.
RDI, regolatori settoriali, NCSC-NL
La Rijksinspectie Digitale Infrastructuur (RDI) è l'autorità di vigilanza principale per molti settori, tra cui l'infrastruttura digitale e la maggior parte dei fornitori di servizi digitali. I regolatori settoriali mantengono il loro ambito (ad esempio DNB per le banche, AFM per i mercati finanziari, ACM per le telecomunicazioni). L'NCSC-NL è il CSIRT nazionale.
Termine UE mancato, registrazione tramite il portale olandese
Il termine UE del 17 ottobre 2024 è trascorso senza il recepimento olandese. Una volta che la Cbw entra in vigore, i soggetti devono registrarsi presso l'autorità competente e segnalare gli incidenti significativi entro 24 ore (preallarme) e 72 ore (notifica completa), in linea con l'art. 23 NIS 2.
Il diritto nazionale si applica dove operate
Un soggetto che fornisce servizi nei Paesi Bassi è soggetto alla vigilanza del diritto olandese per quelle attività, anche se la sua sede principale si trova altrove. La regola dello stabilimento principale dell'art. 26 NIS 2 decide quale Stato membro assume la vigilanza primaria, ma l'attività locale fa comunque scattare l'obbligo di segnalazione dove l'incidente si verifica.
La direttiva è la soglia minima, mai il limite massimo
La Cbw non può scendere al di sotto della NIS 2. Può essere più rigorosa sulle specificità nazionali (procedure di designazione, tariffe, elenchi settoriali). Per le misure di gestione del rischio e la segnalazione degli incidenti, il testo UE e il CIR fissano la sostanza; l'atto olandese aggiunge l'involucro procedurale.
Rijksinspectie Digitale Infrastructuur (RDI)
Autorità competente principale per molti settori NIS 2 nei Paesi Bassi, tra cui infrastruttura digitale, gestione dei servizi ICT, fornitori digitali e diversi altri settori degli Allegati I e II. Succede all'Agentschap Telecom; opera sotto il Ministero degli Affari economici.
NCSC-NL (Nationaal Cyber Security Centrum)
CSIRT nazionale sotto il Ministero della Giustizia e della Sicurezza. Riceve le notifiche di incidente ai sensi dell'art. 23, gestisce le segnalazioni settoriali e si coordina con ENISA e con gli altri CSIRT nazionali. Il governo olandese ha annunciato un servizio nazionale di cybersicurezza consolidato, ma l'NCSC-NL è oggi il CSIRT operativo.
ENISA
Emana orientamenti a livello UE e relazioni tecniche di attuazione. Non è un'autorità di regolamentazione dei soggetti olandesi, ma i suoi prodotti (come la Technical Implementation Guidance e le tabelle di corrispondenza verso la ISO 27001) sono il riferimento pratico per dimostrare le misure dell'art. 21.
La NIS 2 olandese rispecchia il BSIG tedesco punto per punto.
Entrambi recepiscono la stessa direttiva, ma i testi differiscono. I Paesi Bassi mantengono un modello di regolatore settoriale più forte e usano la RDI come vigilante orizzontale; la Germania incanala quasi tutto attraverso il BSI. I livelli sanzionatori, le modalità di registrazione e gli obblighi di formazione della direzione sono scritti in modo diverso. Leggete la Cbw secondo i suoi propri termini, non come una traduzione del BSIG.
Non c'è ancora un obbligo di registrazione olandese, quindi possiamo aspettare.
L'art. 27 NIS 2 impone a ogni Stato membro di tenere un registro e ai soggetti di fornire i propri dati. I Paesi Bassi attiveranno un canale di registrazione tramite le autorità competenti una volta che la Cbw entra in vigore. La regola di aggiornamento entro due settimane dell'art. 27, par. 2, vale in tutta l'UE e vincola i soggetti olandesi dal momento in cui la legge si applica.
Il mio regolatore settoriale gestisce tutto, la RDI non è rilevante.
I regolatori settoriali mantengono il loro ambito di vigilanza finanziaria, sulle telecomunicazioni o sulla sanità. La RDI è il vigilante orizzontale di cybersicurezza per diversi settori e il punto di contatto per le questioni di cybersicurezza intersettoriali. Per i soggetti finanziari coperti dal DORA, il DORA agisce come lex specialis in materia di cybersicurezza, ma la registrazione NIS 2 ai sensi dell'art. 27 si applica comunque.
La maggior parte dei soggetti olandesi nell'ambito di applicazione sa già che vi rientrerà. La domanda non è se la NIS 2 arriva, ma come l'atto olandese li instraderà. Monitorate settimanalmente due cose: lo stato legislativo della Cbw nella Tweede Kamer e qualsiasi comunicazione settoriale della RDI che ancora le tempistiche o l'ambito.
Sul piano operativo, i quattro obblighi costanti reggono già oggi a livello UE: governare la sicurezza con responsabilità della direzione (art. 20), attuare misure di gestione del rischio (art. 21), segnalare gli incidenti significativi secondo l'orologio delle 24 ore e delle 72 ore (art. 23) e prepararsi a registrarsi (art. 27). Nessuno di questi quattro richiede che l'atto olandese sia in vigore per essere utile.
Il nostro registro degli obblighi è ancorato alla direttiva UE e al CIR, poi stratificato con i recepimenti nazionali. I soggetti olandesi possono partire immediatamente dal livello della direttiva e passare la sovrapposizione nazionale alla Cbw una volta che entra in vigore, senza rifare il lavoro sottostante.
I modelli di segnalazione degli incidenti si allineano alle tempistiche dell'art. 23 (preallarme entro 24h, notifica completa entro 72h). Gli obblighi verso i fornitori seguono l'art. 21, par. 2, lett. d), e il §6 del CIR, che si applicano in modo identico in tutti gli Stati membri. La sovrapposizione olandese gestisce l'instradamento verso le autorità, i requisiti linguistici e qualsiasi specificità nazionale aggiunta dalla Cbw.
- Direttiva (UE) 2022/2555 (NIS 2) — EUR-Lex, GU L 333, 27 dicembre 2022
- Regolamento di esecuzione (UE) 2024/2690 della Commissione del 17 ottobre 2024
- Wetsvoorstel Cyberbeveiligingswet (Cbw), documentazione di consultazione e della Tweede Kamer, internetconsultatie.nl
- Wbni — Wet beveiliging netwerk- en informatiesystemen (legge attuale, recepimento della NIS 1)
- Rijksinspectie Digitale Infrastructuur (RDI), rdi.nl, informazioni di vigilanza NIS 2
- NCSC-NL, ncsc.nl, notifica degli incidenti e orientamenti del CSIRT
- ENISA, NIS 2 Technical Implementation Guidance (v1.2, 2025)