NIS2 en Pays-Bas

1. Aperçu rapide de l’applicabilité des SMEs aux Netherlands

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l’applicabilité des SMEs aux Netherlands ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S’applique aux entités établies aux the Netherlands et, dans certains cas, aux prestataires numériques étrangers desservant le marché néerlandais.

Les SMEs devraient évaluer leur qualification au regard du cadre national de cybersécurité des the Netherlands, sur la base de la classification sectorielle et des seuils légaux.

2. Aperçu de la mise en œuvre de NIS2 aux Netherlands

Les Pays-Bas transposent NIS2 via la Cyberbeveiligingswet (Cbw) (Loi sur la cybersécurité), une nouvelle loi qui remplacera et abrogera l'actuelle Wbni (Wet beveiliging netwerk- en informatiesystemen). La Cbw a été déposée à la Tweede Kamer le 4 juin 2025 et, en avril 2026, n'a pas encore été adoptée. L'entrée en vigueur est actuellement attendue au 2e trimestre 2026, avec une possible application échelonnée de certaines dispositions.

Les Pays-Bas n'ont pas respecté le délai de transposition du 17 octobre 2024 et ont reçu un avis motivé de la Commission européenne en mai 2025. La Cbw introduit plusieurs caractéristiques structurelles importantes : des autorités compétentes sectorielles sont désignées par règlements ministériels, chaque ministère étant responsable des secteurs relevant de son domaine — créant un modèle de supervision multi-régulateurs plutôt que centralisé ; la notification d'incidents crée une double obligation envers le NCSC (en tant que CSIRT national) et l'autorité compétente sectorielle concernée ; et les organes de direction sont soumis à une obligation de formation à la cybersécurité.

L'enregistrement volontaire auprès du NCSC via mijn.ncsc.nl est possible depuis le 17 octobre 2024 ; l'enregistrement obligatoire s'appliquera dès l'entrée en vigueur de la Cbw. La Wbni en vigueur continue de s'appliquer dans l'intervalle.

3. Champ d'application aux Netherlands

Le champ d'application des Netherlands reflète les catégories sectorielles minimales de la Directive, sans extension structurelle confirmée.

4. Seuils de taille et applicabilité aux PME aux Netherlands

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités qui satisfont aux deux critères dans les secteurs concernés sont automatiquement dans le champ d'application.

Les petites et micro-entreprises peuvent être désignées si elles sont considérées comme essentielles à la sécurité nationale, à la stabilité économique ou à la continuité des services essentiels.

Les autorités néerlandaises conservent des pouvoirs formels de désignation lorsque le risque systémique justifie l'inclusion. Le ministre sectoriel compétent peut désigner une petite ou micro-entreprise si ses services revêtent une importance vitale pour l'économie ou la société néerlandaises ; les entités concernées seront directement notifiées.

5. Cadre de classification des entités aux Netherlands

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive, y compris des inspections et un suivi structuré de la conformité.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des problèmes de conformité.

La classification est déterminée par le secteur et la taille. Les autorités peuvent reclasser des entités lorsque l'impact opérationnel ou l'exposition aux risques justifient une surveillance renforcée.

The Netherlands suit la structure de supervision à deux niveaux de la Directive.

6. Exigences de gestion des risques de cybersécurité aux Netherlands

Le régime national des Netherlands est aligné sur le socle de la Directive en matière de gestion des risques de cybersécurité. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

• Analyse des risques et protection des systèmes
• Détection et réponse aux incidents
• Continuité d'activité et gestion de crise
• Contrôles des risques de la chaîne d'approvisionnement NIS2 aux Netherlands
• Acquisition et développement sécurisés des systèmes ICT
• Contrôle d'accès et gestion des identités
• Chiffrement et protections cryptographiques
• Procédures de gestion des vulnérabilités
• Formation du personnel à la cybersécurité

Les mesures doivent refléter l'état de l'art et l'exposition aux risques de l'organisation. L'alignement sur ISO/IEC 27001 et les lignes directrices néerlandaises en matière de cybersécurité est encouragé.

7. Responsabilité de la direction et gouvernance aux Netherlands

Les organes de direction doivent approuver formellement les mesures de gestion des risques de cybersécurité et en superviser la mise en œuvre.

Dans le cadre des Netherlands:

• Les conseils d'administration sont responsables de la supervision de la conformité.
• La haute direction doit garantir des compétences suffisantes en cybersécurité.
• Des sanctions administratives peuvent viser des défaillances de gouvernance.
• La suspension temporaire de fonctions dirigeantes peut être prévue dans le cadre de mécanismes d'application alignés sur la Directive.

Aux Netherlands, les attentes relatives à la responsabilité de la direction au titre de NIS2 élèvent la gouvernance de la cybersécurité au rang de responsabilité de niveau exécutif.

8. Obligations de signalement des incidents aux Netherlands

9. Autorités de surveillance et modèle d'application aux Netherlands

Il n'existe pas d'autorité principale unique. Conformément à la Cyberbeveiligingswet (Cbw), la supervision et l'exécution sont assurées par des autorités compétentes sectorielles, désignées par règlements ministériels — chaque ministère est responsable des secteurs relevant de son domaine. Exemples : la RDI (Rijksinspectie Digitale Infrastructuur) pour les infrastructures numériques et la gestion des services TIC, et l'ILT (Inspection de l'Environnement et des Transports) pour les transports. Le NCSC agit en tant que CSIRT national, coordonnant la réponse aux incidents et le partage d'informations, mais n'est pas lui-même l'autorité principale d'exécution.

Les Pays-Bas opèrent un modèle de supervision multi-régulateurs : les autorités compétentes sectorielles — désignées par secteur via règlement ministériel — assurent la supervision et l'exécution. Le NCSC coordonne au niveau national en tant que CSIRT et fournit des orientations, mais les pouvoirs d'exécution reviennent aux régulateurs sectoriels. Des CSIRT spécialisés (par ex. Z-CERT pour la santé) peuvent compléter le NCSC dans des secteurs spécifiques.

Les pouvoirs de supervision comprennent :

• Demandes de documentation et d'information
• Audits de sécurité
• Inspections sur site
• Injonctions contraignantes de mise en conformité
• Participation aux mécanismes de coordination de l'EU en matière de cybersécurité

La structure d'exécution proposée s'aligne sur les exigences de coopération au niveau de la directive. Ces pouvoirs de supervision et d'exécution ne sont pas encore juridiquement opérationnels dans l'attente de l'adoption de la Cbw ; le cadre de la Wbni continue de s'appliquer dans l'intervalle.

10. Amendes et sanctions NIS2 aux Netherlands

The Netherlands applique des sanctions administratives alignées sur la directive.

L'application des amendes NIS2 aux Netherlands peut également inclure :

• Injonctions contraignantes de remédiation
• Identification publique des entités non conformes
• Suspension des autorisations ou des certifications
• Pouvoirs de suspension des dirigeants

La responsabilité pénale ne s'applique que lorsqu'elle est expressément prévue par la législation des Netherlands.

11. Sécurité de la chaîne d'approvisionnement et des fournisseurs NIS2 aux Netherlands

Les entités doivent gérer l'exposition aux risques de cybersécurité liés aux tiers au moyen de :

• Évaluations des risques des fournisseurs
• Dispositions contractuelles de répercussion des exigences de sécurité
• Surveillance continue des fournisseurs ICT
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

L'approche des Netherlands s'aligne sur les attentes de base de la directive concernant la gestion des risques fournisseurs.

12. Obligations d'enregistrement et d'auto-identification aux Netherlands

Les entités entrant dans le champ d'application doivent :

• S'enregistrer auprès des autorités compétentes — les entités peuvent s'auto-enregistrer via le portail mijn.ncsc.nl du NCSC ; volontaire depuis le 17 octobre 2024 et obligatoire dès l'entrée en vigueur de la Cbw (prévue au 2e trimestre 2026)
• Fournir les informations d'identification de l'entreprise
• Déclarer la classification sectorielle
• Maintenir à jour les points de contact de notification — toute modification des informations enregistrées doit être signalée dans un délai de deux semaines

Aucune obligation NIS2 obligatoire n'est actuellement en vigueur aux Pays-Bas ; la Cbw n'a pas encore été adoptée. L'enregistrement volontaire auprès du NCSC via mijn.ncsc.nl est encouragé, et la RDI met à disposition un outil d'auto-évaluation NIS2 pour aider les entités à déterminer leur classification probable.

L'auto-identification deviendra obligatoire dès l'entrée en vigueur de la Cbw. Les entités devraient évaluer leur périmètre dès maintenant à l'aide de l'outil d'auto-évaluation de la RDI et préparer leur enregistrement auprès du NCSC.

13. Interaction avec le GDPR et d'autres lois aux Netherlands

Le General Data Protection Regulation continue de s'appliquer parallèlement.

Les considérations de chevauchement comprennent :

• Notification de violation de données à caractère personnel dans les 72 heures
• Coordination des autorités de contrôle
• Enquêtes parallèles en matière de cybersécurité et de protection des données
• Législation de cybersécurité néerlandaise spécifique au secteur

Un incident de cybersécurité peut entraîner des obligations de notification au titre des deux régimes.

14. Applicabilité transfrontalière

Les entités dont l’établissement principal est situé aux Netherlands sont supervisées par les autorités néerlandaises pour les services transfrontaliers.

Les fournisseurs numériques étrangers offrant des services aux Netherlands peuvent être soumis à des obligations nationales selon leur structure d’établissement.

Les exigences en matière de représentation suivent les normes de la Directive pour les prestataires non-EU desservant le marché néerlandais.

15. Calendrier de mise en œuvre aux Netherlands

• Adoption de la Directive : 2022
• Modifications législatives nationales : Cyberbeveiligingswet (Cbw) déposée à la Tweede Kamer le 4 juin 2025 ; débat en plénière le 23 mars 2026 ; non encore votée en avril 2026
• Entrée en vigueur : non encore adoptée ; entrée en vigueur actuellement attendue au 2e trimestre 2026 ; la Wbni continue de s'appliquer dans l'intervalle ; certaines dispositions peuvent être échelonnées
• Notification à la Commission : les Pays-Bas n'ont pas respecté le délai de transposition du 17 octobre 2024 ; ont reçu un avis motivé de la Commission européenne le 7 mai 2025 ; un renvoi à la CJUE reste possible si la transposition n'est pas achevée rapidement
• Jalon de conformité : aucune obligation NIS2 obligatoire actuellement active ; l'enregistrement volontaire via mijn.ncsc.nl est disponible depuis le 17 octobre 2024 ; les obligations obligatoires débuteront avec l'entrée en vigueur de la Cbw

Les Pays-Bas n'ont pas respecté le délai de transposition NIS2 du 17 octobre 2024 et restent soumis à une procédure d'infraction de la Commission européenne. La Cyberbeveiligingswet (Cbw) progresse au Parlement et devrait entrer en vigueur au 2e trimestre 2026. Les entités devraient s'enregistrer volontairement auprès du NCSC et réaliser dès maintenant des évaluations de préparation en vue des obligations obligatoires.

16. Points clés pour les SMEs aux Netherlands

• Les entités de taille moyenne dans les secteurs couverts seront automatiquement dans le champ d'application dès l'entrée en vigueur de la Cyberbeveiligingswet (Cbw), attendue au 2e trimestre 2026. Utilisez dès maintenant l'outil d'auto-évaluation NIS2 de la RDI pour déterminer votre classification probable.
• Les petites entités peuvent être désignées si elles sont critiques pour la stabilité nationale ou économique.
• La supervision de la gouvernance au niveau du conseil d'administration est obligatoire. La Cbw inclut une obligation de formation à la cybersécurité pour la direction, et les membres du conseil peuvent être tenus personnellement responsables en cas de manquements de gouvernance.
• La notification des incidents suit des délais de 24 h / 72 h / 1 mois, avec une double obligation de notification envers le NCSC (en tant que CSIRT national) et l'autorité compétente sectorielle. Les entités doivent également notifier les destinataires des services concernés.
• Les sanctions financières peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial.
• La gestion des risques liés aux fournisseurs est requise.
• La Cbw n'est pas encore en vigueur, mais les obligations approchent. Enregistrez-vous volontairement auprès du NCSC sur mijn.ncsc.nl dès maintenant, réalisez l'auto-évaluation de la RDI et commencez à mettre en œuvre des mesures conformes à NIS2. Notez que la supervision et l'exécution seront assurées par des autorités compétentes sectorielles — et non par le NCSC — selon le modèle néerlandais multi-régulateurs.

FAQ : NIS2 Netherlands SME Guide