La Legge sulla Cybersicurezza dei Paesi Bassi è quasi legge — Quello che devi sapere adesso

Il parlamento olandese ha approvato la Cyberbeveiligingswet (Cbw) il 15 aprile 2026. Dopo aver mancato la scadenza originale di recepimento dell'UE di 18 mesi, i Paesi Bassi dispongono ora della loro legge di attuazione di NIS2 — e l'applicazione seguirà entro settimane dalla sua entrata in vigore.

Se la tua organizzazione opera nei Paesi Bassi, o se fornisci a organizzazioni olandesi in settori regolamentati, ecco quello che devi sapere.

Perché i Paesi Bassi erano in ritardo

L'UE ha richiesto a tutti gli Stati membri di recepire NIS2 nel diritto nazionale entro il 17 ottobre 2024. I Paesi Bassi non hanno rispettato quella scadenza. La bozza della Cyberbeveiligingswet è stata presentata al parlamento il 2 luglio 2024, ma le procedure legislative hanno ritardato il processo.

La Camera dei Rappresentanti ha approvato la legge il 15 aprile 2026. L'approvazione del Senato e la pubblicazione nel Staatscourant sono le ultime fasi prima dell'entrata in vigore — prevista nel secondo trimestre del 2026.

Stato di Attuazione NIS2 per Paese (2025–2026)
✅
Pienamente in vigore
🇧🇪Belgio
🇭🇷Croazia
🇭🇺Ungheria
🇱🇹Lituania
🇱🇻Lettonia
🇮🇹Italia
6 paesi
📋
Adottata — fine 2025
🇩🇪Germania
🇨🇿Repubblica Ceca
🇫🇮Finlandia
3 paesi
⏳
In corso — previsto 2026
🇳🇱Paesi Bassi
🇫🇷Francia
🇪🇸Spagna
🇵🇱Polonia
🇦🇹Austria
🇸🇪Svezia
🇮🇪Irlanda
7 paesi

Cosa richiede la Cyberbeveiligingswet

La Cbw è un recepimento diretto della Direttiva NIS2. Non aggiunge misure significative specifiche per i Paesi Bassi — implementa il quadro europeo così com'è scritto.

Ambito di applicazione. Le organizzazioni con più di 50 dipendenti o più di 10 milioni di euro di fatturato annuo che operano in uno dei 18 settori NIS2 rientrano nell'ambito di applicazione.

Registrazione. Le organizzazioni incluse devono registrarsi presso la RDI (Rijksinspectie Digitale Infrastructuur) per la maggior parte dei settori, con l'NCSC che svolge un ruolo di coordinamento.

Misure di sicurezza dell'Article 21. Ogni organizzazione inclusa deve implementare le dieci misure di gestione del rischio di cybersicurezza.

Segnalazione degli incidenti. Gli incidenti significativi devono essere segnalati all'NCSC entro 24 ore, 72 ore e un mese.

Responsabilità del consiglio. Gli organi di gestione sono personalmente responsabili. L'Article 20 di NIS2 rende questa responsabilità non delegabile.

Chi supervisiona chi

• DNB per le banche e l'infrastruttura dei mercati finanziari
• ACM per le infrastrutture digitali e i fornitori di servizi ICT
• RDI per la maggior parte degli altri settori

Come appaiono le sanzioni

• Soggetti essenziali: fino a 10 milioni di euro o il 2% del fatturato annuo globale
• Soggetti importanti: fino a 7 milioni di euro o l'1,4% del fatturato annuo globale

Queste non sono sanzioni ipotetiche. Il BSI tedesco e il CCB belga hanno già utilizzato i loro poteri equivalenti.

Cosa devono fare ora le organizzazioni olandesi

Escalation delle sanzioni NIS2 — Oltre la multa
!
Evento scatenante
Non conformità rilevata o incidente verificatosi
Un'autorità di vigilanza identifica una lacuna di conformità o un'organizzazione non soddisfa i requisiti NIS2
Le autorità possono imporre
▼
Sanzioni non finanziarie
1
Ordini di conformità con scadenze vincolanti
2
Audit di sicurezza obbligatori a vostre spese
3
Divulgazione pubblica delle violazioni
4
Istruzioni vincolanti su misure di sicurezza specifiche
Scala verso
▼
Conseguenze operative e personali
1
Sospensione di certificazioni o licenze operative
2
Divieto temporaneo di funzioni dirigenziali per individui
3
Denominazione pubblica delle persone fisiche responsabili
Evento scatenante
Non finanziario
Operativo / personale

1. Determina se rientri nell'ambito di applicazione. Controlla il numero dei tuoi dipendenti, il fatturato annuo e la classificazione settoriale.

2. Preparati alla registrazione. La RDI aprirà il suo portale di registrazione una volta che la Cbw entrerà in vigore.

3. Avvia la tua valutazione dell'Article 21. Un'analisi delle lacune ti mostrerà esattamente dove ti trovi.

4. Mettilo all'ordine del giorno del consiglio. NIS2 non è un progetto IT. La Cbw rende gli organi di gestione direttamente responsabili.

5. Rivedi i tuoi obblighi nella catena di approvvigionamento. Valuta i rischi nella tua catena di approvvigionamento.

Il vantaggio di agire prima che inizi l'applicazione

Di circa 29.500 organizzazioni incluse in Germania, circa 18.000 hanno mancato la scadenza di registrazione del BSI. Ora si trovano a confrontarsi con un regolatore che ha l'autorità di controllare, multare e ritenere i direttori personalmente responsabili.

Avvia la scansione gratuita di prontezza NIS2 prima che arrivi la scadenza di registrazione.

La Cbw è attiva — Cosa viene dopo

Il parlamento ha votato. Il Senato e il Staatscourant sono a questo punto formalità. La RDI sta preparando la sua infrastruttura di supervisione. L'NCSC è pronto a ricevere le registrazioni.

Per la grande maggioranza delle organizzazioni olandesi che non hanno ancora iniziato — la domanda non è più se NIS2 si applica. È quanto sono già indietro.