Status NIS 2 w Holandii
Holandia transponuje unijną dyrektywę NIS 2 poprzez Cyberbeveiligingswet (Cbw). Proces legislacyjny przebiegał z opóźnieniem, więc holenderskie podmioty powinny śledzić zarówno unijny próg minimalny, jak i tekst Cbw znajdujący się obecnie w Tweede Kamer.
Przegląd
Podstawą prawną jest unijna dyrektywa NIS 2 (2022/2555). Ustanawia ona próg minimalny dla obowiązków cyberbezpieczeństwa we wszystkich państwach członkowskich. Holandia wpisuje ten próg minimalny do prawa krajowego poprzez Cyberbeveiligingswet (Cbw), która zastępuje starszą Wbni (Wet beveiliging netwerk- en informatiesystemen), wdrażającą NIS 1.
Termin transpozycji unijnej 17 października 2024 r. został przekroczony przez Holandię i przez większość państw członkowskich, w tym Niemcy. Holenderski projekt przeszedł konsultacje publiczne w 2024 r., został złożony do Tweede Kamer w 2025 r. i oczekuje się jego wejścia w życie w 2026 r. Komisja wszczęła postępowanie w sprawie naruszenia wobec spóźnionych państw członkowskich.
Gdy Cbw wejdzie w życie, obowiązki obowiązują bez okresu przejściowego, odzwierciedlając sposób, w jaki Niemcy potraktowały BSIG. Dziś trzymają się dwie praktyczne kotwice: sama dyrektywa unijna oraz opublikowany holenderski projekt. Wykorzystaj obie przy określaniu zakresu prac.
Dyrektywa unijna
Dyrektywa (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na obszarze Unii (NIS 2).
Ustanawia obowiązki w zakresie zarządzania ryzykiem (art. 21), zgłaszania incydentów (art. 23), rozliczalność organu zarządzającego (art. 20) oraz rejestrację podmiotów (art. 27). Państwa członkowskie muszą transponować do prawa krajowego, ale nie mogą zejść poniżej progu minimalnego.
Unijne rozporządzenie wykonawcze
Rozporządzenie wykonawcze Komisji (UE) 2024/2690 z dnia 17 października 2024 r. (CIR).
Szczegółowo określa, jak wyglądają środki z art. 21 dla infrastruktury cyfrowej, DNS, chmury, centrów danych, dostarczania treści, dostawców usług zarządzanych i internetowych platform handlowych. Stosowane bezpośrednio w Holandii bez dalszego aktu krajowego.
Holenderska transpozycja
Cyberbeveiligingswet (Cbw), holenderski projekt rządowy obecnie w parlamencie; starsza Wbni pozostaje w mocy do czasu wejścia w życie Cbw.
Cbw przydziela role nadzoru i CSIRT, definiuje podmioty kluczowe i ważne dla Holandii oraz dodaje krajowe specyfiki, takie jak opłaty, procedury wyznaczania i przekazania sektorowe. Artykuły cytowane na tej stronie odnoszą się do opublikowanego projektu konsultacyjnego i mogą się zmienić przed przyjęciem.
Cyberbeveiligingswet (Cbw)
Transponuje artykuły od 1 do 41 NIS 2 do prawa holenderskiego. Definiuje podmioty kluczowe (essentiële) i ważne (belangrijke), ustanawia uprawnienia nadzorcze, kary i procedury zgłaszania incydentów oraz integruje unijne CIR przez odesłanie.
RDI, regulatorzy sektorowi, NCSC-NL
Rijksinspectie Digitale Infrastructuur (RDI) jest wiodącym organem nadzorczym dla wielu sektorów, w tym infrastruktury cyfrowej i większości dostawców usług cyfrowych. Regulatorzy sektorowi zachowują swój obszar (na przykład DNB dla bankowości, AFM dla rynków finansowych, ACM dla telekomunikacji). NCSC-NL jest krajowym CSIRT.
Unijny termin przekroczony, rejestracja przez holenderski portal
Unijny termin 17 października 2024 r. minął bez holenderskiej transpozycji. Gdy Cbw wejdzie w życie, podmioty muszą zarejestrować się we właściwym organie i zgłaszać poważne incydenty w ciągu 24 godzin (wczesne ostrzeżenie) oraz 72 godzin (pełne powiadomienie), zgodnie z art. 23 NIS 2.
Prawo krajowe stosuje się tam, gdzie działasz
Podmiot świadczący usługi w Holandii jest nadzorowany na mocy prawa holenderskiego w odniesieniu do tych działań, nawet jeśli jego siedziba główna znajduje się gdzie indziej. Reguła głównej jednostki organizacyjnej z art. 26 NIS 2 decyduje, które państwo członkowskie sprawuje główny nadzór, ale lokalna działalność i tak uruchamia obowiązek zgłaszania tam, gdzie incydent ma miejsce.
Dyrektywa jest progiem minimalnym, nigdy pułapem
Cbw nie może zejść poniżej NIS 2. Może być surowsza w zakresie krajowych specyfik (procedury wyznaczania, opłaty, listy sektorowe). W przypadku środków zarządzania ryzykiem i zgłaszania incydentów tekst unijny i CIR ustalają treść; holenderska ustawa dodaje proceduralną oprawę.
Rijksinspectie Digitale Infrastructuur (RDI)
Wiodący właściwy organ dla wielu sektorów NIS 2 w Holandii, w tym infrastruktury cyfrowej, zarządzania usługami ICT, dostawców cyfrowych i kilku innych sektorów z Załączników I i II. Następca Agentschap Telecom; podlega Ministerstwu Spraw Gospodarczych.
NCSC-NL (Nationaal Cyber Security Centrum)
Krajowy CSIRT podlegający Ministerstwu Sprawiedliwości i Bezpieczeństwa. Przyjmuje powiadomienia o incydentach na mocy art. 23, prowadzi doradztwo sektorowe i koordynuje z ENISA oraz innymi krajowymi CSIRT. Rząd holenderski ogłosił skonsolidowaną krajową służbę cyberbezpieczeństwa, ale dziś operacyjnym CSIRT jest NCSC-NL.
ENISA
Wydaje wytyczne na poziomie unijnym oraz raporty z technicznego wdrożenia. Nie jest regulatorem holenderskich podmiotów, ale jej materiały (takie jak Technical Implementation Guidance i mapowania do ISO 27001) są praktycznym punktem odniesienia dla wykazywania środków z art. 21.
Holenderski NIS 2 odzwierciedla niemiecki BSIG jeden do jednego.
Oba transponują tę samą dyrektywę, ale teksty się różnią. Holandia utrzymuje silniejszy model regulatora sektorowego i wykorzystuje RDI jako nadzorcę horyzontalnego; Niemcy kierują niemal wszystko przez BSI. Poziomy kar, mechanika rejestracji i obowiązki szkoleniowe kierownictwa są zapisane inaczej. Czytaj Cbw według jej własnych zasad, a nie jako tłumaczenie BSIG.
Nie ma jeszcze holenderskiego obowiązku rejestracji, więc możemy poczekać.
Art. 27 NIS 2 wymaga, by każde państwo członkowskie prowadziło rejestr, a podmioty dostarczały swoje dane. Holandia uruchomi kanał rejestracji za pośrednictwem właściwych organów, gdy Cbw wejdzie w życie. Reguła aktualizacji w ciągu dwóch tygodni z art. 27 ust. 2 obowiązuje w całej UE i wiąże holenderskie podmioty z chwilą, gdy prawo zacznie obowiązywać.
Mój regulator sektorowy zajmuje się wszystkim, RDI nie jest istotny.
Regulatorzy sektorowi zachowują swój obszar nadzoru finansowego, telekomunikacyjnego lub zdrowotnego. RDI jest horyzontalnym nadzorcą cyberbezpieczeństwa dla kilku sektorów i punktem kontaktowym dla międzysektorowych pytań o cyberbezpieczeństwo. Dla podmiotów finansowych objętych DORA, DORA działa jako lex specialis w zakresie cyberbezpieczeństwa, ale rejestracja w NIS 2 na mocy art. 27 nadal obowiązuje.
Większość holenderskich podmiotów w zakresie już wie, że będzie w zakresie. Pytaniem nie jest, czy NIS 2 zadziała, lecz jak holenderska ustawa je pokieruje. Śledź dwie rzeczy co tydzień: status legislacyjny Cbw w Tweede Kamer oraz każdą komunikację sektorową RDI, która zakotwicza terminy lub zakres.
Operacyjnie cztery stałe obowiązki obowiązują dziś na poziomie unijnym: zarządzaj bezpieczeństwem z rozliczalnością kierownictwa (art. 20), prowadź środki zarządzania ryzykiem (art. 21), zgłaszaj poważne incydenty w rytmie 24 i 72 godzin (art. 23) oraz przygotuj się do rejestracji (art. 27). Żaden z tych czterech nie wymaga, by holenderska ustawa była w mocy, aby był użyteczny.
Nasz rejestr obowiązków jest zakotwiczony w dyrektywie unijnej i CIR, a następnie nawarstwiony krajowymi transpozycjami. Holenderskie podmioty mogą natychmiast zacząć na warstwie dyrektywy i przełączyć nakładkę krajową na Cbw, gdy wejdzie ona w życie, bez ponownego wykonywania pracy bazowej.
Szablony zgłaszania incydentów są zgodne z rytmem art. 23 (wczesne ostrzeżenie 24 h, pełne powiadomienie 72 h). Obowiązki wobec dostawców wynikają z art. 21 ust. 2 lit. d) i §6 CIR, które obowiązują identycznie we wszystkich państwach członkowskich. Holenderska nakładka obsługuje kierowanie do organów, wymogi językowe i wszelkie krajowe specyfiki, które dodaje Cbw.
- Dyrektywa (UE) 2022/2555 (NIS 2) — EUR-Lex, Dz.U. L 333, 27 grudnia 2022 r.
- Rozporządzenie wykonawcze Komisji (UE) 2024/2690 z dnia 17 października 2024 r.
- Wetsvoorstel Cyberbeveiligingswet (Cbw), dokumentacja konsultacji i Tweede Kamer, internetconsultatie.nl
- Wbni — Wet beveiliging netwerk- en informatiesystemen (obecne prawo, transpozycja NIS 1)
- Rijksinspectie Digitale Infrastructuur (RDI), rdi.nl, informacje nadzorcze NIS 2
- NCSC-NL, ncsc.nl, powiadamianie o incydentach i wytyczne CSIRT
- ENISA, NIS 2 Technical Implementation Guidance (v1.2, 2025)