Niderlandzka ustawa o cyberbezpieczeństwie jest niemal prawem — Co musisz wiedzieć teraz

Niderlandzki parlament zatwierdził Cyberbeveiligingswet (Cbw) 15 kwietnia 2026 r. Po opóźnieniu pierwotnego terminu transpozycji UE o 18 miesięcy Holandia dysponuje teraz swoją ustawą wdrażającą NIS2 — a egzekwowanie nastąpi w ciągu tygodni od jej wejścia w życie.

Jeśli Twoja organizacja działa w Holandii lub dostarcza towary i usługi holenderskim organizacjom w sektorach regulowanych, oto co musisz wiedzieć.

Dlaczego Holandia miała opóźnienie

UE wymagała od wszystkich państw członkowskich transpozycji NIS2 do prawa krajowego do 17 października 2024 r. Holandia nie dotrzymała tego terminu. Projekt Cyberbeveiligingswet został złożony do parlamentu 2 lipca 2024 r., ale procedury legislacyjne opóźniły ten proces.

Izba Reprezentantów uchwaliła ustawę 15 kwietnia 2026 r. Zatwierdzenie przez Senat i publikacja w Staatscourant to ostatnie kroki przed wejściem w życie — oczekiwanym w drugim kwartale 2026 r.

Status Wdrożenia NIS2 według Kraju (2025–2026)
✅
W pełni obowiązuje
🇧🇪Belgia
🇭🇷Chorwacja
🇭🇺Węgry
🇱🇹Litwa
🇱🇻Łotwa
🇮🇹Włochy
6 krajów
📋
Przyjęta — koniec 2025
🇩🇪Niemcy
🇨🇿Czechy
🇫🇮Finlandia
3 krajów
⏳
W trakcie — oczekiwane 2026
🇳🇱Holandia
🇫🇷Francja
🇪🇸Hiszpania
🇵🇱Polska
🇦🇹Austria
🇸🇪Szwecja
🇮🇪Irlandia
7 krajów

Czego wymaga Cyberbeveiligingswet

Cbw jest bezpośrednią transpozycją dyrektywy NIS2. Nie dodaje żadnych istotnych holenderskich środków szczególnych.

Zakres stosowania. Organizacje zatrudniające ponad 50 pracowników lub osiągające ponad 10 milionów euro rocznego obrotu, działające w jednym z 18 sektorów NIS2, są objęte przepisami.

Rejestracja. Objęte organizacje muszą zarejestrować się u RDI (Rijksinspectie Digitale Infrastructuur) dla większości sektorów, przy koordynacyjnej roli NCSC.

Środki bezpieczeństwa z Article 21. Każda objęta organizacja musi wdrożyć dziesięć środków zarządzania ryzykiem cyberbezpieczeństwa.

Zgłaszanie incydentów. Istotne incydenty muszą być zgłaszane do NCSC w ciągu 24 godzin, 72 godzin i jednego miesiąca.

Odpowiedzialność zarządu. Organy zarządzające ponoszą osobistą odpowiedzialność. Article 20 NIS2 sprawia, że tej odpowiedzialności nie można delegować.

Kto nadzoruje kogo

• DNB dla bankowości i infrastruktury rynków finansowych
• ACM dla infrastruktury cyfrowej i dostawców usług IKT
• RDI dla większości pozostałych sektorów

Jak wyglądają kary

• Podmioty kluczowe: do 10 milionów euro lub 2% globalnego rocznego obrotu
• Podmioty ważne: do 7 milionów euro lub 1,4% globalnego rocznego obrotu

To nie są hipotetyczne sankcje. Niemieckie BSI i belgijskie CCB już skorzystały ze swoich równoważnych uprawnień.

Co holenderskie organizacje powinny zrobić teraz

Eskalacja sankcji NIS2 — Poza karą finansową
!
Zdarzenie wyzwalające
Wykryto niezgodność lub wystąpił incydent
Organ nadzorczy identyfikuje lukę w zgodności lub organizacja nie spełnia wymagań NIS2
Organy mogą nałożyć
▼
Sankcje niefinansowe
1
Nakazy zgodności z wiążącymi terminami
2
Obowiązkowe audyty bezpieczeństwa na Twój koszt
3
Publiczne ujawnienie naruszeń
4
Wiążące instrukcje dotyczące konkretnych środków bezpieczeństwa
Eskaluje do
▼
Konsekwencje operacyjne i osobiste
1
Zawieszenie certyfikatów lub licencji operacyjnych
2
Tymczasowy zakaz pełnienia funkcji zarządczych dla osób
3
Publiczne wskazanie odpowiedzialnych osób fizycznych
Zdarzenie wyzwalające
Niefinansowe
Operacyjne / osobiste

1. Ustal, czy podlegasz przepisom. Sprawdź liczbę pracowników, roczny obrót i klasyfikację sektorową.

2. Przygotuj się do rejestracji. RDI otworzy portal rejestracyjny po wejściu Cbw w życie.

3. Rozpocznij ocenę Article 21. Ustrukturyzowana analiza luk pokaże ci dokładnie, gdzie jesteś.

4. Umieść to w agendzie zarządu. NIS2 nie jest projektem IT. Cbw czyni organy zarządzające bezpośrednio odpowiedzialnymi.

5. Przejrzyj swoje obowiązki w łańcuchu dostaw. Oceń ryzyko cyberbezpieczeństwa w swoim łańcuchu dostaw.

Zaleta działania przed rozpoczęciem egzekwowania

Spośród około 29 500 objętych organizacji w Niemczech około 18 000 przekroczyło termin rejestracji w BSI. Teraz mają do czynienia z regulatorem, który ma uprawnienia do audytowania, nakładania kar i osobistego pociągania dyrektorów do odpowiedzialności.

Holandia jeszcze tam nie jest. Rozpocznij bezpłatne badanie gotowości NIS2 przed nadejściem terminu rejestracji.

Cbw jest aktywna — Co dalej

Parlament zagłosował. Senat i Staatscourant są na tym etapie formalnościami. RDI przygotowuje swoją infrastrukturę nadzorczą. NCSC jest gotowy do przyjmowania rejestracji.

Dla zdecydowanej większości holenderskich organizacji, które jeszcze nie zaczęły — pytanie nie brzmi już, czy NIS2 ma zastosowanie. Brzmi: jak daleko już są w tyle.