NL transposition

Estado da NIS 2 nos Países Baixos

Os Países Baixos transpõem a Diretiva NIS 2 da UE através da Cyberbeveiligingswet (Cbw). O processo legislativo atrasou-se, pelo que as entidades neerlandesas devem acompanhar já tanto o piso da UE como o texto da Cbw atualmente na Tweede Kamer.

Simon OrzelSimon Orzel·

Visão geral

A base jurídica é a Diretiva NIS 2 da UE (2022/2555). Define o piso das obrigações de cibersegurança em todos os Estados-Membros. Os Países Baixos transpõem esse piso para o direito nacional através da Cyberbeveiligingswet (Cbw), que substitui a antiga Wbni (Wet beveiliging netwerk- en informatiesystemen) que implementou a NIS 1.

O prazo de transposição da UE de 17 de outubro de 2024 foi falhado pelos Países Baixos e pela maioria dos Estados-Membros, incluindo a Alemanha. O projeto de lei neerlandês passou por consulta pública em 2024, foi submetido à Tweede Kamer em 2025 e prevê-se que entre em vigor durante 2026. A Comissão abriu um processo por infração contra os Estados-Membros em atraso.

Assim que a Cbw entrar em vigor, as obrigações aplicam-se sem período de transição, à semelhança do que a Alemanha fez com o BSIG. Dois pontos de ancoragem práticos valem hoje: a própria diretiva da UE e o projeto neerlandês publicado. Use ambos ao definir o âmbito do trabalho.

Âncora jurídica
Empilham-se três camadas: a diretiva da UE, o regulamento de execução da UE e a transposição neerlandesa.

Diretiva da UE

Diretiva (UE) 2022/2555 relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança em toda a União (NIS 2).

Define as obrigações de gestão de risco (Art. 21), a notificação de incidentes (Art. 23), a responsabilidade do órgão de gestão (Art. 20) e o registo das entidades (Art. 27). Os Estados-Membros têm de transpor para o direito nacional, mas não podem ficar abaixo do piso.

Regulamento de execução da UE

Regulamento de Execução (UE) 2024/2690 da Comissão, de 17 de outubro de 2024 (CIR).

Especifica em detalhe o aspeto das medidas do Art. 21 para infraestrutura digital, DNS, nuvem, centro de dados, distribuição de conteúdos, prestadores de serviços geridos e mercados em linha. Diretamente aplicável nos Países Baixos sem ato nacional adicional.

Transposição neerlandesa

Cyberbeveiligingswet (Cbw), projeto de lei do governo neerlandês atualmente no parlamento; a antiga Wbni mantém-se em vigor até a Cbw produzir efeitos.

A Cbw atribui os papéis de supervisão e de CSIRT, define as entidades essenciais e importantes para os Países Baixos e acrescenta especificidades nacionais como taxas, procedimentos de designação e transições setoriais. Os artigos citados nesta página referem-se ao projeto de consulta publicado e podem mudar antes da adoção.

Três blocos de construção
Todos os regimes nacionais NIS 2, incluindo o neerlandês, assentam nos mesmos três blocos de construção.
Lei

Cyberbeveiligingswet (Cbw)

Transpõe os Artigos 1.º a 41.º da NIS 2 para o direito neerlandês. Define as entidades essenciais (essentiële) e importantes (belangrijke), estabelece poderes de supervisão, coimas e procedimentos de notificação de incidentes, e integra o CIR da UE por remissão.

Autoridade

RDI, reguladores setoriais, NCSC-NL

A Rijksinspectie Digitale Infrastructuur (RDI) é o supervisor principal de muitos setores, incluindo infraestrutura digital e a maioria dos prestadores de serviços digitais. Os reguladores setoriais mantêm a sua área (por exemplo, o DNB para a banca, a AFM para os mercados financeiros, a ACM para as telecomunicações). O NCSC-NL é o CSIRT nacional.

Prazos

Prazo da UE falhado, registo através do portal neerlandês

O prazo da UE de 17 de outubro de 2024 passou sem transposição neerlandesa. Assim que a Cbw entrar em vigor, as entidades têm de se registar junto da autoridade competente e notificar incidentes significativos em 24 horas (alerta precoce) e 72 horas (notificação completa), em linha com o Art. 23 NIS 2.

Dois princípios operacionais
Duas regras que resolvem quase todas as dúvidas sobre como as obrigações neerlandesas e da UE se articulam.

A lei nacional aplica-se onde opera

Uma entidade que presta serviços nos Países Baixos é supervisionada ao abrigo do direito neerlandês para essas atividades, mesmo que a sua sede esteja noutro local. A regra do estabelecimento principal do Art. 26 NIS 2 decide qual o Estado-Membro que assume a supervisão primária, mas a atividade local continua a desencadear a notificação onde o incidente ocorre.

A diretiva é o piso, nunca o teto

A Cbw não pode ficar abaixo da NIS 2. Pode ser mais rigorosa nas especificidades nacionais (procedimentos de designação, taxas, listas setoriais). Para as medidas de gestão de risco e a notificação de incidentes, o texto da UE e o CIR definem a substância; o ato neerlandês acrescenta o invólucro processual.

Autoridades e instituições
Quem faz o quê ao abrigo da NIS 2 neerlandesa.
NL

Rijksinspectie Digitale Infrastructuur (RDI)

Autoridade competente principal para muitos setores NIS 2 nos Países Baixos, incluindo infraestrutura digital, gestão de serviços de TIC, prestadores digitais e vários outros setores dos Anexos I e II. Sucessora da Agentschap Telecom; está sob o Ministério dos Assuntos Económicos.

NL

NCSC-NL (Nationaal Cyber Security Centrum)

CSIRT nacional sob o Ministério da Justiça e Segurança. Recebe notificações de incidentes ao abrigo do Art. 23, emite avisos setoriais e coordena-se com a ENISA e outros CSIRT nacionais. O governo neerlandês anunciou um serviço nacional de cibersegurança consolidado, mas o NCSC-NL é hoje o CSIRT operacional.

EU

ENISA

Emite orientação ao nível da UE e relatórios técnicos de execução. Não é um regulador das entidades neerlandesas, mas os seus resultados (como a Technical Implementation Guidance e os mapeamentos para a ISO 27001) são a referência prática para evidenciar as medidas do Art. 21.

Armadilhas comuns
Três erros que as entidades neerlandesas e as suas casas-mãe estrangeiras repetem.

  • A NIS 2 neerlandesa espelha o BSIG alemão um para um.

    Ambos transpõem a mesma diretiva, mas os textos diferem. Os Países Baixos mantêm um modelo de regulador setorial mais forte e usam a RDI como supervisor horizontal; a Alemanha canaliza quase tudo através do BSI. Os níveis de sanção, a mecânica de registo e os deveres de formação da gestão estão redigidos de forma diferente. Leia a Cbw nos seus próprios termos, não como uma tradução do BSIG.

  • Ainda não há obrigação de registo neerlandesa, por isso podemos esperar.

    O Art. 27 NIS 2 exige que todos os Estados-Membros mantenham um registo e que as entidades forneçam os seus dados. Os Países Baixos vão operar um canal de registo através das autoridades competentes assim que a Cbw entrar em vigor. A regra de atualização de duas semanas do Art. 27(2) é válida em toda a UE e vincula as entidades neerlandesas no momento em que a lei se aplica.

  • O meu regulador setorial trata de tudo, a RDI não é relevante.

    Os reguladores setoriais conservam a sua área financeira, de telecomunicações ou de saúde. A RDI é o supervisor horizontal de cibersegurança de vários setores e o ponto de contacto para questões de cibersegurança intersetoriais. Para as entidades financeiras abrangidas pelo DORA, o DORA atua como lex specialis em cibersegurança, mas o registo NIS 2 ao abrigo do Art. 27 continua a aplicar-se.

Visão do profissional

A maioria das entidades neerlandesas no âmbito já sabe que vai estar no âmbito. A questão não é se a NIS 2 se aplica, mas como o ato neerlandês as vai encaminhar. Acompanhe duas coisas semanalmente: o estado legislativo da Cbw na Tweede Kamer e qualquer comunicação setorial da RDI que ancore prazos ou âmbito.

Operacionalmente, os quatro deveres constantes valem hoje ao nível da UE: governar a segurança com responsabilidade da gestão (Art. 20), executar medidas de gestão de risco (Art. 21), notificar incidentes significativos no relógio das 24 horas e das 72 horas (Art. 23) e preparar-se para o registo (Art. 27). Nenhum destes quatro exige que o ato neerlandês esteja em vigor para ser útil.

Como a plataforma ajuda

O nosso registo de obrigações está ancorado à diretiva da UE e ao CIR, e depois sobreposto com as transposições nacionais. As entidades neerlandesas podem começar de imediato na camada da diretiva e mudar a sobreposição nacional para a Cbw assim que esta entrar em vigor, sem refazer o trabalho de base.

Os modelos de notificação de incidentes alinham-se com os prazos do Art. 23 (alerta precoce de 24h, notificação completa de 72h). As obrigações dos fornecedores seguem o Art. 21(2)(d) e o §6 do CIR, que se aplicam de forma idêntica em todos os Estados-Membros. A sobreposição neerlandesa trata do encaminhamento para a autoridade, dos requisitos linguísticos e de quaisquer especificidades nacionais que a Cbw acrescente.

Fontes
  • Diretiva (UE) 2022/2555 (NIS 2), EUR-Lex, JO L 333, 27 de dezembro de 2022
  • Regulamento de Execução (UE) 2024/2690 da Comissão, de 17 de outubro de 2024
  • Wetsvoorstel Cyberbeveiligingswet (Cbw), consulta e documentação da Tweede Kamer, internetconsultatie.nl
  • Wbni, Wet beveiliging netwerk- en informatiesystemen (lei atual, transposição da NIS 1)
  • Rijksinspectie Digitale Infrastructuur (RDI), rdi.nl, informação de supervisão NIS 2
  • NCSC-NL, ncsc.nl, notificação de incidentes e orientação CSIRT
  • ENISA, NIS 2 Technical Implementation Guidance (v1.2, 2025)
Faça uma verificação de aplicabilidade neerlandesa
Cinco minutos, setor a setor. Indica se a entidade é essencial ou importante ao abrigo da NIS 2 e quais as obrigações que surgem primeiro.
Verificar aplicabilidade