NIS2 en Países Bajos

1. Resumen rápido de aplicabilidad para pymes en los Países Bajos

¿Se aplica NIS2 a las pymes en 1. Resumen rápido de aplicabilidad para pymes en los Países Bajos?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Se aplica a las entidades establecidas en los Países Bajos y, en determinados casos, a los proveedores digitales extranjeros que prestan servicios al mercado neerlandés.

Las pymes deben evaluar si califican en el marco nacional de ciberseguridad de los Países Bajos en función de la clasificación sectorial y de los umbrales legales.

2. Panorama general de la implementación de NIS2 en los Países Bajos

Los Países Bajos están transponiendo NIS2 mediante la Cyberbeveiligingswet (Cbw) (Ley de Ciberseguridad), una nueva norma que sustituirá y reemplazará a la actual Wbni (Wet beveiliging netwerk- en informatiesystemen). La Cbw se presentó ante la Tweede Kamer el 4 de junio de 2025 y, a abril de 2026, aún no ha sido aprobada. La entrada en vigor se prevé actualmente para el segundo trimestre de 2026, con una posible aplicación escalonada de algunas disposiciones.

Los Países Bajos incumplieron el plazo de transposición del 17 de octubre de 2024 y recibieron un dictamen motivado de la Comisión Europea en mayo de 2025. La Cbw introduce varias características estructurales relevantes: las autoridades competentes sectoriales se designan mediante reglamentos ministeriales, y cada ministerio es responsable de los sectores de su ámbito de actuación, configurando un modelo de supervisión multirregulador en lugar de uno centralizado; la notificación de incidentes genera una doble obligación ante el NCSC (como CSIRT nacional) y ante la autoridad competente sectorial; y los órganos de dirección quedan sujetos a una obligación de formación en ciberseguridad.

El registro voluntario ante el NCSC a través de mijn.ncsc.nl está disponible desde el 17 de octubre de 2024; el registro obligatorio se aplicará desde la entrada en vigor de la Cbw. La Wbni vigente sigue aplicándose en el ínterin.

3. Ámbito de aplicación en los Países Bajos

El ámbito de los Países Bajos refleja las categorías sectoriales mínimas de la Directiva, sin ampliación estructural confirmada.

4. Umbrales de tamaño y aplicabilidad a las pymes en los Países Bajos

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios dentro de los sectores cubiertos quedan automáticamente dentro del ámbito de aplicación.

Las pequeñas y microempresas pueden ser designadas si se consideran críticas para la seguridad nacional, la estabilidad económica o la continuidad de servicios esenciales.

Las autoridades neerlandesas conservan facultades formales de designación cuando el riesgo sistémico justifica la inclusión. El ministro sectorial competente puede designar a una pequeña o microempresa si sus servicios son de importancia vital para la economía o la sociedad neerlandesas; las entidades afectadas serán notificadas directamente.

5. Marco de clasificación de entidades en los Países Bajos

Las entidades se clasifican en:

• Entidades esenciales — Sujetas a supervisión proactiva, incluidas inspecciones y un seguimiento del cumplimiento estructurado.
• Entidades importantes — Principalmente sujetas a supervisión reactiva activada por incidentes significativos o preocupaciones de cumplimiento.

La clasificación se determina por sector y tamaño. Las autoridades pueden reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifiquen una supervisión reforzada.

Los Países Bajos siguen la estructura de supervisión de dos niveles de la Directiva.

6. Requisitos de gestión de riesgos de ciberseguridad en los Países Bajos

El régimen nacional de los Países Bajos se alinea con la línea de base de la Directiva para la gestión de riesgos de ciberseguridad. Las entidades sujetas deben implementar medidas técnicas y organizativas proporcionales que aborden:

• Análisis de riesgos y protección de sistemas
• Detección y respuesta a incidentes
• Continuidad del negocio y gestión de crisis
• Controles de riesgos en la cadena de suministro NIS2 en los Países Bajos
• Adquisición y desarrollo seguros de sistemas TIC
• Control de acceso y gestión de identidades
• Cifrado y salvaguardas criptográficas
• Procedimientos de gestión de vulnerabilidades
• Formación en ciberseguridad del personal

Las medidas deben reflejar el estado del arte y la exposición al riesgo de la organización. Se fomenta la alineación con ISO/IEC 27001 y las directrices neerlandesas sobre ciberseguridad.

7. Responsabilidad de la dirección y gobernanza en los Países Bajos

Los órganos de dirección deben aprobar formalmente las medidas de gestión de riesgos de ciberseguridad y supervisar su implementación.

En el marco normativo de los Países Bajos:

• Los consejos de administración son responsables de la supervisión del cumplimiento.
• La alta dirección debe garantizar una competencia suficiente en ciberseguridad.
• Las sanciones administrativas pueden abordar fallos de gobernanza.
• La suspensión temporal de funciones directivas puede estar prevista en los mecanismos de aplicación alineados con la Directiva.

Las expectativas en los Países Bajos sobre la responsabilidad de la dirección conforme a NIS2 elevan la gobernanza de la ciberseguridad a una responsabilidad a nivel ejecutivo.

8. Obligaciones de notificación de incidentes en los Países Bajos

9. Autoridades supervisoras y modelo de aplicación en los Países Bajos

No existe una única autoridad principal. Conforme a la Cyberbeveiligingswet (Cbw), la supervisión y la ejecución corresponden a autoridades competentes sectoriales designadas mediante reglamentos ministeriales: cada ministerio es responsable de los sectores de su ámbito. Ejemplos incluyen la RDI (Rijksinspectie Digitale Infrastructuur) para infraestructura digital y servicios TIC, y la ILT (Inspección de Medio Ambiente y Transporte) para transporte. El NCSC actúa como CSIRT nacional, coordinando la respuesta a incidentes y el intercambio de información, pero no es la autoridad principal de ejecución.

Los Países Bajos operan un modelo de supervisión multirregulador: las autoridades competentes sectoriales — designadas por sector mediante reglamentos ministeriales — ejercen la supervisión y la ejecución. El NCSC coordina a nivel nacional como CSIRT y proporciona orientación, pero las facultades de ejecución residen en los reguladores sectoriales. CSIRT especializados (p. ej., Z-CERT para sanidad) pueden complementar al NCSC en sectores específicos.

Las facultades de supervisión incluyen:

• Requerimientos de documentación e información
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones vinculantes de cumplimiento
• Participación en los mecanismos de coordinación de ciberseguridad de la UE

La estructura de ejecución propuesta se alinea con los requisitos de cooperación a nivel de la Directiva. Estas facultades de supervisión y ejecución aún no son jurídicamente operativas a la espera de la aprobación de la Cbw; el marco de la Wbni continúa aplicándose en el ínterin.

10. Multas y sanciones de NIS2 en los Países Bajos

Los Países Bajos aplican sanciones administrativas alineadas con la Directiva.

La aplicación de las multas de NIS2 en los Países Bajos también puede incluir:

• Órdenes vinculantes de subsanación
• Identificación pública de las entidades incumplidoras
• Suspensión de autorizaciones o certificaciones
• Facultades de suspensión de directivos

La responsabilidad penal solo se aplica cuando así se prevea expresamente en la legislación neerlandesa.

11. NIS2: seguridad de la cadena de suministro y de proveedores en los Países Bajos

Las entidades deben gestionar la exposición al riesgo de ciberseguridad de terceros mediante:

• Evaluaciones de riesgo de proveedores
• Disposiciones contractuales de transmisión (flow-down) de requisitos de seguridad
• Supervisión continua de proveedores TIC
• Análisis del riesgo de concentración
• Mitigación de la propagación de incidentes

El enfoque de los Países Bajos se alinea con las expectativas básicas de la Directiva en materia de gestión del riesgo de proveedores.

12. Obligaciones de registro y autoidentificación en los Países Bajos

Las entidades incluidas en el ámbito de aplicación deben:

• Registrarse ante las autoridades competentes — las entidades pueden autorregistrarse a través del portal mijn.ncsc.nl del NCSC; voluntario desde el 17 de octubre de 2024 y obligatorio desde la entrada en vigor de la Cbw (prevista para el segundo trimestre de 2026)
• Proporcionar datos de identificación corporativa
• Comunicar la clasificación sectorial
• Mantener actualizados los puntos de contacto para la presentación de informes y notificaciones — los cambios en la información registrada deben notificarse en un plazo de dos semanas

Actualmente no hay obligaciones obligatorias de NIS2 en vigor en los Países Bajos; la Cbw aún no ha sido aprobada. Se recomienda el registro voluntario ante el NCSC a través de mijn.ncsc.nl, y la RDI ofrece una herramienta de autoevaluación NIS2 para ayudar a las entidades a determinar su probable clasificación.

La autoidentificación será obligatoria una vez que la Cbw entre en vigor. Las entidades deben evaluar su ámbito ahora utilizando la herramienta de autoevaluación de la RDI y prepararse para registrarse ante el NCSC.

13. Interacción con el RGPD y otras leyes en los Países Bajos

El Reglamento General de Protección de Datos sigue aplicándose de manera simultánea.

Las consideraciones de solapamiento incluyen:

• Notificación de una violación de la seguridad de los datos personales en 72 horas
• Coordinación con la autoridad de control
• Investigaciones paralelas de ciberseguridad y protección de datos
• Legislación neerlandesa de ciberseguridad específica del sector

Un incidente cibernético puede activar obligaciones de notificación en ambos regímenes.

14. Aplicabilidad transfronteriza

Las entidades con su establecimiento principal en los Países Bajos están supervisadas por las autoridades neerlandesas para los servicios transfronterizos.

Los proveedores digitales extranjeros que ofrezcan servicios en los Países Bajos pueden estar sujetos a obligaciones nacionales en función de su estructura de establecimiento.

Los requisitos de representación siguen las normas de la Directiva para los proveedores de fuera de la UE que prestan servicios en el mercado neerlandés.

15. Calendario de implementación en los Países Bajos

• Adopción de la Directiva: 2022
• Modificaciones legislativas nacionales: Cyberbeveiligingswet (Cbw) presentada ante la Tweede Kamer el 4 de junio de 2025; debate plenario celebrado el 23 de marzo de 2026; aún no aprobada a abril de 2026
• Entrada en vigor: aún no aprobada; entrada en vigor prevista actualmente para el segundo trimestre de 2026; la Wbni sigue aplicándose en el ínterin; algunas disposiciones podrían aplicarse de forma escalonada
• Notificación a la Comisión: los Países Bajos incumplieron el plazo de transposición del 17 de octubre de 2024; recibieron un dictamen motivado de la Comisión Europea el 7 de mayo de 2025; la remisión al TJUE sigue siendo posible si no se completa la transposición sin demora
• Hito de cumplimiento: no hay obligaciones obligatorias de NIS2 actualmente activas; el registro voluntario a través de mijn.ncsc.nl está disponible desde el 17 de octubre de 2024; las obligaciones obligatorias comenzarán con la entrada en vigor de la Cbw

Los Países Bajos incumplieron el plazo de transposición de NIS2 del 17 de octubre de 2024 y siguen sometidos a procedimientos de infracción de la Comisión Europea. La Cyberbeveiligingswet (Cbw) avanza en el Parlamento y se prevé que entre en vigor en el segundo trimestre de 2026. Las entidades deben registrarse voluntariamente ante el NCSC y completar evaluaciones de preparación ahora para anticiparse a las obligaciones obligatorias.

16. Puntos clave para las pymes en los Países Bajos

• Las entidades medianas en sectores cubiertos quedarán automáticamente dentro del ámbito de aplicación una vez que la Cyberbeveiligingswet (Cbw) entre en vigor, prevista para el segundo trimestre de 2026. Utilice ya la herramienta de autoevaluación NIS2 de la RDI para determinar su probable clasificación.
• Las entidades pequeñas pueden ser designadas si son críticas para la estabilidad nacional o económica.
• La supervisión de la gobernanza a nivel del órgano de dirección es obligatoria. La Cbw incluye una obligación de formación en ciberseguridad para los órganos de dirección, y los miembros del consejo pueden ser considerados personalmente responsables por fallos de gobernanza.
• La notificación de incidentes sigue los plazos de 24 h / 72 h / 1 mes, con una doble obligación de notificación ante el NCSC (como CSIRT nacional) y la autoridad competente sectorial. Las entidades también deben notificar a los destinatarios afectados de los servicios.
• Las sanciones económicas pueden alcanzar 10 millones de € o el 2 % del volumen de negocios mundial.
• Se requiere la gestión de riesgos de proveedores.
• La Cbw aún no está en vigor, pero las obligaciones se aproximan. Regístrese voluntariamente ante el NCSC en mijn.ncsc.nl, complete la autoevaluación de la RDI y comience a implementar medidas alineadas con NIS2. Tenga en cuenta que la supervisión y la ejecución corresponderán a autoridades competentes sectoriales — no al NCSC — bajo el modelo neerlandés multirregulador.

FAQ: Guía NIS2 para pymes de los Países Bajos