La Ley de Ciberseguridad de los Países Bajos está a punto de entrar en vigor — Lo que necesita saber ahora

El parlamento neerlandés aprobó la Cyberbeveiligingswet (Cbw) el 15 de abril de 2026. Tras incumplir el plazo original de transposición de la UE por 18 meses, los Países Bajos cuentan ahora con su ley de implementación de NIS2 — y la aplicación seguirá semanas después de su entrada en vigor.

Si su organización opera en los Países Bajos, o si abastece a organizaciones neerlandesas en sectores regulados, esto es lo que necesita saber.

Por qué los Países Bajos llegaron tarde

La UE exigió a todos los Estados miembros que transpusieran NIS2 a la legislación nacional antes del 17 de octubre de 2024. Los Países Bajos no cumplieron ese plazo. El borrador de la Cyberbeveiligingswet fue presentado al parlamento el 2 de julio de 2024, pero los procedimientos legislativos retrasaron el proceso.

La Cámara de Representantes aprobó la ley el 15 de abril de 2026. La aprobación del Senado y la publicación en el Staatscourant son los pasos finales antes de la entrada en vigor — prevista para el segundo trimestre de 2026.

Durante el retraso, las organizaciones podían registrarse voluntariamente en el NCSC desde el 17 de octubre de 2024. La mayoría no lo hizo.

Estado de Implementación NIS2 por País (2025–2026)
✅
Plenamente en vigor
🇧🇪Bélgica
🇭🇷Croacia
🇭🇺Hungría
🇱🇹Lituania
🇱🇻Letonia
🇮🇹Italia
6 países
📋
Adoptada — finales 2025
🇩🇪Alemania
🇨🇿República Checa
🇫🇮Finlandia
3 países
⏳
En proceso — previsto 2026
🇳🇱Países Bajos
🇫🇷Francia
🇪🇸España
🇵🇱Polonia
🇦🇹Austria
🇸🇪Suecia
🇮🇪Irlanda
7 países

Qué exige la Cyberbeveiligingswet

La Cbw es una transposición directa de la Directiva NIS2. No añade medidas neerlandesas significativas — implementa el marco europeo tal como está redactado.

Eso significa que las mismas obligaciones que se aplican en Alemania, Bélgica y Portugal ahora se aplican en los Países Bajos:

Ámbito de aplicación. Las organizaciones con más de 50 empleados o más de 10 millones de euros de facturación anual que operen en uno de los 18 sectores NIS2 están dentro del ámbito de aplicación.

Registro. Las organizaciones incluidas deben registrarse ante su autoridad nacional competente designada. En los Países Bajos, esa es la RDI (Rijksinspectie Digitale Infrastructuur) para la mayoría de los sectores.

Medidas de seguridad del Article 21. Cada organización incluida debe implementar las diez medidas de gestión de riesgos de ciberseguridad: análisis de riesgos, gestión de incidentes, continuidad del negocio, seguridad de la cadena de suministro, seguridad de redes, gestión de vulnerabilidades, políticas de criptografía, control de acceso, MFA y formación en ciberseguridad.

Notificación de incidentes. Los incidentes significativos deben notificarse al NCSC en 24 horas (alerta temprana), 72 horas (notificación completa) y un mes (informe final).

Responsabilidad del consejo. Los órganos de dirección son personalmente responsables de aprobar y supervisar las medidas de ciberseguridad. El Article 20 de NIS2 hace que esto no sea delegable.

Quién supervisa a quién

Los Países Bajos han optado por un modelo de supervisión con múltiples autoridades:

• DNB (De Nederlandsche Bank) para banca e infraestructura de mercados financieros
• ACM (Autoriteit Consument & Markt) para infraestructura digital y proveedores de servicios TIC
• RDI para la mayoría de los demás sectores

Cómo son las multas

La Cbw sigue el marco de sanciones de NIS2:

• Entidades esenciales: hasta 10 millones de euros o el 2 % de la facturación anual global
• Entidades importantes: hasta 7 millones de euros o el 1,4 % de la facturación anual global

Estas no son sanciones hipotéticas. El BSI alemán y el CCB belga ya han utilizado sus poderes equivalentes.

Lo que las organizaciones neerlandesas deben hacer ahora

Escalada de sanciones NIS2 — Más allá de la multa
!
Desencadenante
Incumplimiento detectado o incidente ocurrido
Una autoridad supervisora identifica una brecha de cumplimiento o una organización no cumple los requisitos NIS2
Las autoridades pueden imponer
▼
Sanciones no financieras
1
Órdenes de cumplimiento con plazos vinculantes
2
Auditorías de seguridad obligatorias a tu cargo
3
Divulgación pública de infracciones
4
Instrucciones vinculantes sobre medidas de seguridad específicas
Escala hacia
▼
Consecuencias operativas y personales
1
Suspensión de certificaciones o licencias de operación
2
Prohibición temporal de funciones directivas para individuos
3
Identificación pública de personas físicas responsables
Desencadenante
No financiero
Operativo / personal

1. Determine si está incluido. Compruebe su número de empleados, su facturación anual y su clasificación sectorial.

2. Prepárese para el registro. La RDI abrirá su portal de registro una vez que la Cbw entre en vigor.

3. Comience su evaluación del Article 21. Un análisis de brechas le mostrará exactamente dónde se encuentra.

4. Póngalo en la agenda del consejo. NIS2 no es un proyecto de TI. La Cbw hace directamente responsables a los órganos de dirección.

5. Revise sus obligaciones en la cadena de suministro. Evalúe y gestione los riesgos en su cadena de suministro.

La ventaja de actuar antes de que comience la aplicación

De aproximadamente 29.500 organizaciones incluidas en Alemania, alrededor de 18.000 perdieron el plazo de registro del BSI. Ahora se enfrentan a un regulador con autoridad para auditar, multar y responsabilizar personalmente a los directivos.

Los Países Bajos aún no están ahí. Inicie el escaneo gratuito de preparación NIS2 antes de que llegue el plazo de registro.

La Cbw está en vigor — Qué viene después

El parlamento ha votado. El Senado y el Staatscourant son en este punto meras formalidades. La RDI está preparando su infraestructura de supervisión.

Para la gran mayoría de las organizaciones neerlandesas que aún no han comenzado — la pregunta ya no es si NIS2 se aplica. Es cuánto retraso llevan ya.