NL transposition

Statutul NIS 2 în Țările de Jos

Țările de Jos transpune Directiva NIS 2 a UE prin Cyberbeveiligingswet (Cbw). Procesul legislativ a întârziat, așa că entitățile olandeze ar trebui să urmărească atât pragul minim al UE, cât și textul Cbw aflat acum în Tweede Kamer.

Simon OrzelSimon Orzel·

Prezentare generală

Temeiul juridic este Directiva NIS 2 a UE (2022/2555). Aceasta stabilește pragul minim pentru obligațiile de securitate cibernetică în fiecare stat membru. Țările de Jos transpune acest prag în legislația națională prin Cyberbeveiligingswet (Cbw), care înlocuiește mai vechea Wbni (Wet beveiliging netwerk- en informatiesystemen) ce implementa NIS 1.

Termenul de transpunere la nivelul UE, 17 octombrie 2024, a fost ratat de Țările de Jos și de majoritatea statelor membre, inclusiv Germania. Proiectul olandez a trecut prin consultare publică în 2024, a fost depus la Tweede Kamer în 2025 și se preconizează că va intra în vigoare în cursul anului 2026. Comisia a deschis o procedură de constatare a neîndeplinirii obligațiilor împotriva statelor membre întârziate.

Odată ce Cbw intră în vigoare, obligațiile se aplică fără o perioadă de tranziție, oglindind modul în care Germania a gestionat BSIG. Astăzi rezistă două repere practice: directiva UE în sine și proiectul olandez publicat. Folosiți-le pe ambele când stabiliți domeniul de aplicare.

Reper juridic
Se suprapun trei straturi: directiva UE, regulamentul de punere în aplicare al UE și transpunerea olandeză.

Directiva UE

Directiva (UE) 2022/2555 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune (NIS 2).

Stabilește obligațiile de management al riscurilor (art. 21), raportarea incidentelor (art. 23), responsabilitatea organului de conducere (art. 20) și înregistrarea entităților (art. 27). Statele membre trebuie să transpună în legislația națională, dar nu pot coborî sub pragul minim.

Regulamentul de punere în aplicare al UE

Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei din 17 octombrie 2024 (CIR).

Detaliază cum arată măsurile prevăzute la art. 21 pentru infrastructura digitală, DNS, cloud, centre de date, livrarea de conținut, furnizorii de servicii gestionate și piețele online. Direct aplicabil în Țările de Jos fără alt act național.

Transpunerea olandeză

Cyberbeveiligingswet (Cbw), proiect de lege al guvernului olandez aflat în prezent în fața parlamentului; mai vechea Wbni rămâne în vigoare până când Cbw produce efecte.

Cbw atribuie rolurile de supraveghere și CSIRT, definește entitățile esențiale și importante pentru Țările de Jos și adaugă elemente specifice naționale, precum taxe, proceduri de desemnare și predări de sector. Articolele citate în această pagină se referă la proiectul de consultare publicat și se pot modifica înainte de adoptare.

Trei blocuri constructive
Orice regim național NIS 2, inclusiv cel olandez, are aceleași trei blocuri constructive.
Lege

Cyberbeveiligingswet (Cbw)

Transpune articolele 1 până la 41 din NIS 2 în legislația olandeză. Definește entitățile esențiale (essentiële) și importante (belangrijke), stabilește competențele de supraveghere, amenzile și procedurile de raportare a incidentelor și integrează CIR al UE prin trimitere.

Autoritate

RDI, reglementatorii sectoriali, NCSC-NL

Rijksinspectie Digitale Infrastructuur (RDI) este supraveghetorul principal pentru multe sectoare, inclusiv infrastructura digitală și majoritatea furnizorilor de servicii digitale. Reglementatorii sectoriali își păstrează domeniul (de exemplu DNB pentru bănci, AFM pentru piețele financiare, ACM pentru telecomunicații). NCSC-NL este CSIRT-ul național.

Termene

Termen UE ratat, înregistrare prin portalul olandez

Termenul UE din 17 octombrie 2024 a trecut fără transpunere olandeză. Odată ce Cbw intră în vigoare, entitățile trebuie să se înregistreze la autoritatea competentă și să raporteze incidentele semnificative în 24 de ore (avertizare timpurie) și 72 de ore (notificare completă), în conformitate cu art. 23 NIS 2.

Două principii de operare
Două reguli care rezolvă aproape orice îndoială cu privire la modul în care interacționează obligațiile olandeze și cele ale UE.

Legislația națională se aplică acolo unde operați

O entitate care furnizează servicii în Țările de Jos este supravegheată în temeiul legislației olandeze pentru acele activități, chiar dacă sediul principal se află în altă parte. Regula sediului principal de la art. 26 NIS 2 decide ce stat membru preia supravegherea primară, dar activitatea locală tot declanșează raportarea acolo unde survine incidentul.

Directiva este pragul minim, niciodată plafonul

Cbw nu poate coborî sub NIS 2. Poate fi mai strictă pe elementele specifice naționale (proceduri de desemnare, taxe, liste de sectoare). Pentru măsurile de management al riscurilor și raportarea incidentelor, textul UE și CIR stabilesc fondul; actul olandez adaugă învelișul procedural.

Autorități și instituții
Cine ce face în temeiul NIS 2 olandez.
NL

Rijksinspectie Digitale Infrastructuur (RDI)

Autoritate competentă principală pentru multe sectoare NIS 2 din Țările de Jos, inclusiv infrastructura digitală, managementul serviciilor TIC, furnizorii digitali și mai multe alte sectoare din Anexa I și II. Succesoare a Agentschap Telecom; se află sub Ministerul Afacerilor Economice.

NL

NCSC-NL (Nationaal Cyber Security Centrum)

CSIRT național sub Ministerul Justiției și Securității. Primește notificările de incidente în temeiul art. 23, emite avertismente sectoriale și coordonează cu ENISA și cu alte CSIRT-uri naționale. Guvernul olandez a anunțat un serviciu național consolidat de securitate cibernetică, dar NCSC-NL este CSIRT-ul operațional astăzi.

EU

ENISA

Emite îndrumări la nivelul UE și rapoarte tehnice de implementare. Nu este un reglementator al entităților olandeze, dar rezultatele sale (precum Ghidul tehnic de implementare și corespondențele cu ISO 27001) reprezintă referința practică pentru a proba măsurile prevăzute la art. 21.

Capcane frecvente
Trei greșeli pe care le repetă entitățile olandeze și societățile-mamă străine ale acestora.

  • NIS 2 olandez oglindește unu la unu BSIG-ul german.

    Ambele transpun aceeași directivă, dar textele diferă. Țările de Jos păstrează un model mai puternic de reglementator sectorial și folosesc RDI ca supraveghetor orizontal; Germania canalizează aproape totul prin BSI. Nivelurile sancțiunilor, mecanica înregistrării și îndatoririle de formare a conducerii sunt redactate diferit. Citiți Cbw după propriii termeni, nu ca o traducere a BSIG.

  • Nu există încă o obligație de înregistrare olandeză, deci putem aștepta.

    Art. 27 NIS 2 cere fiecărui stat membru să mențină un registru, iar entităților să își furnizeze datele. Țările de Jos va opera un canal de înregistrare prin autoritățile competente odată ce Cbw intră în vigoare. Regula de actualizare în două săptămâni de la art. 27 alin. (2) este valabilă în întreaga UE și obligă entitățile olandeze din momentul în care legea se aplică.

  • Reglementatorul meu sectorial se ocupă de tot, RDI nu este relevant.

    Reglementatorii sectoriali își păstrează domeniul de supraveghere financiară, de telecomunicații sau de sănătate. RDI este supraveghetorul orizontal de securitate cibernetică pentru mai multe sectoare și punctul de contact pentru întrebările intersectoriale de securitate cibernetică. Pentru entitățile financiare acoperite de DORA, DORA acționează ca lex specialis în materie de securitate cibernetică, dar înregistrarea NIS 2 în temeiul art. 27 tot se aplică.

Perspectiva practicianului

Majoritatea entităților olandeze din domeniul de aplicare știu deja că vor intra în domeniul de aplicare. Întrebarea nu este dacă NIS 2 ajunge la ele, ci cum le va direcționa actul olandez. Urmăriți două lucruri săptămânal: stadiul legislativ al Cbw în Tweede Kamer și orice comunicare sectorială a RDI care fixează calendarul sau domeniul de aplicare.

Operațional, cele patru îndatoriri constante rezistă astăzi la nivelul UE: guvernarea securității cu responsabilitatea conducerii (art. 20), aplicarea măsurilor de management al riscurilor (art. 21), raportarea incidentelor semnificative pe ceasul de 24 de ore și 72 de ore (art. 23) și pregătirea pentru înregistrare (art. 27). Niciuna dintre aceste patru nu necesită ca actul olandez să fie în vigoare pentru a fi utilă.

Cum ajută platforma

Registrul nostru de obligații este ancorat în directiva UE și CIR, apoi stratificat cu transpunerile naționale. Entitățile olandeze pot începe imediat pe stratul directivei și pot comuta suprastratul național la Cbw odată ce acesta intră în vigoare, fără a reface munca de bază.

Șabloanele de raportare a incidentelor se aliniază la calendarul art. 23 (avertizare timpurie 24h, notificare completă 72h). Obligațiile privind furnizorii urmează art. 21 alin. (2) lit. (d) și §6 din CIR, care se aplică identic în toate statele membre. Suprastratul olandez gestionează direcționarea către autoritate, cerințele de limbă și orice elemente specifice naționale pe care le adaugă Cbw.

Surse
  • Directiva (UE) 2022/2555 (NIS 2), EUR-Lex, JO L 333, 27 decembrie 2022
  • Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei din 17 octombrie 2024
  • Wetsvoorstel Cyberbeveiligingswet (Cbw), documentație de consultare și Tweede Kamer, internetconsultatie.nl
  • Wbni, Wet beveiliging netwerk- en informatiesystemen (legea actuală, transpunerea NIS 1)
  • Rijksinspectie Digitale Infrastructuur (RDI), rdi.nl, informații de supraveghere NIS 2
  • NCSC-NL, ncsc.nl, notificarea incidentelor și îndrumări CSIRT
  • ENISA, Ghidul tehnic de implementare NIS 2 (v1.2, 2025)
Rulați o verificare de aplicabilitate olandeză
Cinci minute, sector cu sector. Returnează dacă entitatea este esențială sau importantă în temeiul NIS 2 și ce obligații survin mai întâi.
Verificați aplicabilitatea