La loi néerlandaise sur la cybersécurité est presque adoptée — Ce que vous devez savoir maintenant

Le parlement néerlandais a approuvé la Cyberbeveiligingswet (Cbw) le 15 avril 2026. Après avoir manqué l'échéance originale de transposition européenne de 18 mois, les Pays-Bas disposent enfin de leur loi de mise en œuvre de NIS2 — et l'application suivra dans les semaines après son entrée en vigueur.

Si votre organisation opère aux Pays-Bas, ou si vous approvisionnez des organisations néerlandaises dans des secteurs réglementés, voici ce que vous devez savoir.

Pourquoi les Pays-Bas ont pris du retard

L'UE a exigé de tous les États membres qu'ils transposent NIS2 en droit national avant le 17 octobre 2024. Les Pays-Bas ont manqué cette échéance. Le projet de Cyberbeveiligingswet a été soumis au parlement le 2 juillet 2024, mais les procédures législatives ont retardé le processus.

La Chambre des représentants a adopté la loi le 15 avril 2026. L'approbation du Sénat et la publication au Staatscourant sont les dernières étapes avant l'entrée en vigueur — attendue au T2 2026.

Pendant ce délai, les organisations pouvaient s'inscrire volontairement auprès du NCSC depuis le 17 octobre 2024. La plupart ne l'ont pas fait.

Statut de Mise en Œuvre NIS2 par Pays (2025–2026)
✅
Pleinement en vigueur
🇧🇪Belgique
🇭🇷Croatie
🇭🇺Hongrie
🇱🇹Lituanie
🇱🇻Lettonie
🇮🇹Italie
6 pays
📋
Adopté — fin 2025
🇩🇪Allemagne
🇨🇿République tchèque
🇫🇮Finlande
3 pays
⏳
En cours — prévu 2026
🇳🇱Pays-Bas
🇫🇷France
🇪🇸Espagne
🇵🇱Pologne
🇦🇹Autriche
🇸🇪Suède
🇮🇪Irlande
7 pays

Ce que la Cyberbeveiligingswet exige

La Cbw est une transposition directe de la directive NIS2. Elle n'ajoute pas de mesures néerlandaises significatives — elle met en œuvre le cadre européen tel qu'il est rédigé.

Cela signifie que les mêmes obligations qui s'appliquent en Allemagne, en Belgique et au Portugal s'appliquent désormais aux Pays-Bas :

Périmètre. Les organisations de plus de 50 employés ou de plus de 10 millions d'euros de chiffre d'affaires annuel opérant dans l'un des 18 secteurs NIS2 sont concernées. Cela comprend l'énergie, les transports, la santé, l'eau potable, les infrastructures numériques, la gestion des services TIC, l'administration publique, et plus encore.

Enregistrement. Les organisations concernées doivent s'enregistrer auprès de leur autorité nationale compétente désignée. Aux Pays-Bas, il s'agit de la RDI (Rijksinspectie Digitale Infrastructuur) pour la plupart des secteurs, le NCSC jouant un rôle de coordination. Les délais d'enregistrement seront fixés une fois la loi entrée en vigueur.

Mesures de sécurité de l'Article 21. Chaque organisation concernée doit mettre en œuvre les dix mesures de gestion des risques de cybersécurité : analyse des risques, gestion des incidents, continuité des activités, sécurité de la chaîne d'approvisionnement, sécurité des réseaux, gestion des vulnérabilités, politiques de cryptographie, contrôle des accès, MFA et formation à la cybersécurité.

Déclaration d'incidents. Les incidents significatifs doivent être signalés au NCSC dans les 24 heures (alerte précoce), 72 heures (notification complète) et un mois (rapport final).

Responsabilité du conseil d'administration. Les organes de direction sont personnellement responsables de l'approbation et de la supervision des mesures de cybersécurité. L'Article 20 de NIS2 — et son équivalent néerlandais — rend cette responsabilité non délégable.

Qui supervise qui

Les Pays-Bas ont opté pour un modèle de surveillance multi-autorités. La RDI est l'autorité nationale compétente principale, mais les régulateurs sectoriels jouent également un rôle :

• DNB (De Nederlandsche Bank) pour les banques et l'infrastructure des marchés financiers
• ACM (Autoriteit Consument & Markt) pour les infrastructures numériques et les prestataires de services TIC
• RDI pour la plupart des autres secteurs

Cela a des implications pratiques : votre superviseur détermine à quoi ressemble l'enregistrement, à quoi ressemblent les audits, et qui émet des injonctions contraignantes ou des amendes.

À quoi ressemblent les amendes

La Cbw suit le cadre de sanctions NIS2 :

• Entités essentielles : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu
• Entités importantes : jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial

Au-delà des sanctions financières, les superviseurs peuvent émettre des injonctions de remédiation contraignantes, imposer des restrictions opérationnelles temporaires et — dans les cas graves — demander des interdictions temporaires d'exercer des fonctions de direction. Ce ne sont pas des sanctions hypothétiques. Le BSI allemand et le CCB belge ont déjà utilisé leurs pouvoirs équivalents.

Ce que les organisations néerlandaises doivent faire maintenant

La loi est adoptée. L'entrée en vigueur est à quelques semaines. Voici ce qui compte maintenant.

Escalade des sanctions NIS2 — Au-delà de l'amende
!
Déclencheur
Non-conformité détectée ou incident survenu
Une autorité de contrôle identifie une lacune de conformité ou une organisation ne respecte pas les exigences NIS2
Les autorités peuvent imposer
▼
Sanctions non financières
1
Ordres de mise en conformité avec délais contraignants
2
Audits de sécurité obligatoires à vos frais
3
Divulgation publique des violations
4
Instructions contraignantes sur des mesures de sécurité spécifiques
Escalade vers
▼
Conséquences opérationnelles et personnelles
1
Suspension de certifications ou licences d'exploitation
2
Interdiction temporaire de fonctions de direction pour les individus
3
Désignation publique des personnes physiques responsables
Déclencheur
Non financier
Opérationnel / personnel

1. Déterminez si vous êtes concerné. Vérifiez le nombre de vos employés, votre chiffre d'affaires annuel et votre classification sectorielle. Si vous avez plus de 50 employés ou 10 millions d'euros de chiffre d'affaires et opérez dans un secteur couvert, vous êtes presque certainement concerné.

2. Préparez-vous à l'enregistrement. La RDI ouvrira son portail d'enregistrement une fois la Cbw entrée en vigueur. Avoir vos coordonnées organisationnelles prêtes accélérera le processus.

3. Commencez votre évaluation Article 21. L'enregistrement est le point d'entrée administratif. Le vrai travail consiste à mettre en œuvre les dix mesures de sécurité. Une analyse des écarts vous montrera exactement où vous en êtes.

4. Mettez-le à l'ordre du jour du conseil. NIS2 n'est pas un projet informatique. La Cbw rend les organes de direction directement responsables.

5. Examinez vos obligations en matière de chaîne d'approvisionnement. Si vous êtes une entité NIS2, vous êtes tenu d'évaluer les risques dans votre chaîne d'approvisionnement.

L'avantage d'agir avant le début de l'application

L'expérience allemande est instructive. Sur environ 29 500 organisations concernées, environ 18 000 ont manqué l'échéance d'enregistrement auprès du BSI. Elles se retrouvent maintenant face à un régulateur qui a le pouvoir d'auditer, d'infliger des amendes et de tenir les directeurs personnellement responsables.

Les Pays-Bas n'en sont pas là. Commencez le scan de préparation NIS2 gratuit avant l'arrivée de l'échéance d'enregistrement.

La Cbw est en vigueur — Et maintenant

Le parlement a voté. Le Sénat et le Staatscourant ne sont plus que des formalités. La RDI prépare son infrastructure de surveillance. Le NCSC est prêt à recevoir les enregistrements.

Pour la grande majorité des organisations néerlandaises qui n'ont pas encore commencé — la question n'est plus de savoir si NIS2 s'applique. C'est de savoir jusqu'à quel point elles sont déjà en retard.