NIS2 in Paesi Bassi

1. Panoramica rapida dell'applicabilità per le PMI nei Paesi Bassi

NIS2 si applica alle PMI in 1. Panoramica rapida dell'applicabilità per le PMI nei Paesi Bassi?

Sì — a seconda del settore e delle dimensioni.

• Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
• Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
• Si applica alle entità stabilite nei Paesi Bassi e, in determinati casi, ai fornitori digitali esteri che servono il mercato olandese.

Le PMI dovrebbero valutare la qualificazione ai sensi del quadro nazionale di cibersicurezza dei Paesi Bassi in base alla classificazione settoriale e alle soglie previste dalla legge.

2. Panoramica dell'attuazione della NIS 2 nei Paesi Bassi

I Paesi Bassi stanno recependo la NIS2 tramite la Cyberbeveiligingswet (Cbw) (Legge sulla cibersicurezza), una nuova legge che sostituirà e abrogherà l'attuale Wbni (Wet beveiliging netwerk- en informatiesystemen). La Cbw è stata presentata alla Tweede Kamer il 4 giugno 2025 e, ad aprile 2026, non è ancora stata approvata. L'entrata in vigore è attualmente prevista per il secondo trimestre 2026, con una possibile applicazione scaglionata di alcune disposizioni.

I Paesi Bassi hanno mancato il termine di recepimento del 17 ottobre 2024 e hanno ricevuto un parere motivato della Commissione europea a maggio 2025. La Cbw introduce diverse caratteristiche strutturali rilevanti: le autorità competenti settoriali sono designate tramite regolamenti ministeriali, e ciascun ministero è responsabile dei settori di propria competenza — configurando un modello di vigilanza multi-regolatore anziché centralizzato; la notifica degli incidenti crea un doppio obbligo nei confronti dell'NCSC (in qualità di CSIRT nazionale) e dell'autorità competente settoriale di riferimento; e gli organi di gestione sono soggetti a un obbligo di formazione sulla cibersicurezza.

La registrazione volontaria presso l'NCSC tramite mijn.ncsc.nl è possibile dal 17 ottobre 2024; la registrazione obbligatoria si applicherà dall'entrata in vigore della Cbw. La Wbni vigente continua ad applicarsi nel periodo transitorio.

3. Ambito di applicazione nei Paesi Bassi

L'ambito dei Paesi Bassi riflette le categorie settoriali minime della Direttiva senza un'espansione strutturale confermata.

4. Soglie dimensionali e applicabilità alle PMI nei Paesi Bassi

Si applicano le soglie di base:

• ≥50 dipendenti, e
• ≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri all'interno dei settori coperti rientrano automaticamente nell'ambito di applicazione.

Le piccole e microimprese possono essere designate se considerate critiche per la sicurezza nazionale, la stabilità economica o la continuità di servizi essenziali.

Le autorità olandesi conservano i poteri formali di designazione qualora il rischio sistemico ne giustifichi l'inclusione. Il ministro settoriale competente può designare una piccola o microimpresa qualora i suoi servizi siano di vitale importanza per l'economia o la società olandese; le entità interessate saranno notificate direttamente.

5. Quadro di classificazione delle entità nei Paesi Bassi

Le entità sono classificate come:

• Entità essenziali — Soggette a vigilanza proattiva, incluse ispezioni e monitoraggio strutturato della conformità.
• Entità importanti — Soggette principalmente a vigilanza reattiva attivata da incidenti significativi o problematiche di conformità.

La classificazione è determinata dal settore e dalle dimensioni. Le autorità possono riclassificare le entità quando l'impatto operativo o l'esposizione al rischio giustificano una vigilanza rafforzata.

I Paesi Bassi seguono la struttura di vigilanza a due livelli della Direttiva.

6. Requisiti di gestione del rischio di cybersicurezza nei Paesi Bassi

Il regime nazionale dei Paesi Bassi è allineato ai requisiti di base della Direttiva per la gestione del rischio di cybersicurezza. Le entità rientranti nell'ambito di applicazione devono implementare misure tecniche e organizzative proporzionate che affrontino:

• Analisi dei rischi e protezione dei sistemi
• Rilevamento e risposta agli incidenti
• Continuità operativa e gestione delle crisi
• Controlli dei rischi della catena di fornitura NIS2 nei Paesi Bassi
• Acquisizione e sviluppo sicuri di sistemi TIC
• Controllo degli accessi e gestione delle identità
• Cifratura e misure crittografiche di protezione
• Procedure di gestione delle vulnerabilità
• Formazione del personale in materia di cibersicurezza

Le misure devono riflettere standard allo stato dell'arte e l'esposizione al rischio dell'organizzazione. Si incoraggia l'allineamento a ISO/IEC 27001 e alle linee guida olandesi sulla cybersicurezza.

7. Responsabilità degli organi di gestione e governance nei Paesi Bassi

Gli organi di gestione devono approvare formalmente le misure di gestione del rischio di cybersicurezza e vigilare sulla loro attuazione.

Nel quadro normativo dei Paesi Bassi:

• I consigli di amministrazione sono responsabili della vigilanza sulla conformità.
• L'alta dirigenza deve garantire sufficienti competenze in materia di cibersicurezza.
• Le sanzioni amministrative possono essere irrogate per carenze di governance.
• La sospensione temporanea delle funzioni dirigenziali può essere prevista nell'ambito di meccanismi di applicazione conformi alla direttiva.

Le aspettative nei Paesi Bassi in materia di responsabilità gestionale NIS2 elevano la governance della sicurezza informatica a una responsabilità a livello dirigenziale.

8. Obblighi di segnalazione degli incidenti nei Paesi Bassi

9. Autorità di vigilanza e modello di applicazione nei Paesi Bassi

Non esiste un'unica autorità principale. Ai sensi della Cyberbeveiligingswet (Cbw), la vigilanza e l'applicazione sono svolte da autorità competenti settoriali, designate tramite regolamenti ministeriali — ciascun ministero è responsabile dei settori di propria competenza. Esempi includono la RDI (Rijksinspectie Digitale Infrastructuur) per le infrastrutture digitali e la gestione dei servizi ICT, e l'ILT (Ispettorato per l'Ambiente e i Trasporti) per i trasporti. L'NCSC funge da CSIRT nazionale, coordinando la risposta agli incidenti e lo scambio di informazioni, ma non è essa stessa l'autorità primaria di applicazione.

I Paesi Bassi adottano un modello di vigilanza multi-regolatore: le autorità competenti settoriali — designate per settore tramite regolamento ministeriale — svolgono vigilanza e applicazione. L'NCSC coordina a livello nazionale come CSIRT e fornisce orientamenti, ma i poteri di applicazione spettano ai regolatori settoriali. CSIRT specializzati (ad es. Z-CERT per la sanità) possono integrare l'NCSC in settori specifici.

I poteri di vigilanza includono:

• Richieste di documentazione e informazioni
• Audit di sicurezza
• Ispezioni in loco
• Istruzioni vincolanti in materia di conformità
• Partecipazione ai meccanismi di coordinamento dell'UE in materia di cibersicurezza

La struttura di applicazione proposta è allineata ai requisiti di cooperazione a livello di Direttiva. Tali poteri di vigilanza e applicazione non sono ancora giuridicamente operativi in attesa dell'approvazione della Cbw; il quadro Wbni continua ad applicarsi nel periodo transitorio.

10. Sanzioni e ammende NIS2 nei Paesi Bassi

I Paesi Bassi applicano sanzioni amministrative allineate alla Direttiva.

L'applicazione delle sanzioni NIS2 nei Paesi Bassi può anche includere:

• Ordini vincolanti di misure correttive
• Identificazione pubblica delle entità non conformi
• Sospensione delle autorizzazioni o certificazioni
• Poteri di sospensione dei dirigenti

La responsabilità penale si applica solo laddove espressamente prevista dalla legislazione dei Paesi Bassi.

11. Sicurezza della catena di fornitura e dei fornitori NIS2 nei Paesi Bassi

Le entità devono gestire i rischi di cibersicurezza di terze parti attraverso:

• Valutazioni del rischio dei fornitori
• Disposizioni contrattuali di sicurezza a cascata
• Monitoraggio continuo dei fornitori ICT
• Analisi del rischio di concentrazione
• Mitigazione della propagazione degli incidenti

L'approccio dei Paesi Bassi è allineato alle aspettative di base della Direttiva in materia di gestione del rischio dei fornitori.

12. Obblighi di registrazione e di autoidentificazione nei Paesi Bassi

I soggetti rientranti nel campo di applicazione devono:

• Registrarsi presso le autorità competenti — le entità possono autoregistrarsi tramite il portale mijn.ncsc.nl dell'NCSC; volontaria dal 17 ottobre 2024 e obbligatoria dall'entrata in vigore della Cbw (prevista per il secondo trimestre 2026)
• Fornire i dati di identificazione societaria
• Comunicare la classificazione settoriale
• Mantenere aggiornati i contatti per le segnalazioni — le modifiche delle informazioni registrate devono essere comunicate entro due settimane

Attualmente non vi sono obblighi NIS2 obbligatori in vigore nei Paesi Bassi; la Cbw non è ancora stata approvata. È incoraggiata la registrazione volontaria presso l'NCSC tramite mijn.ncsc.nl, e la RDI mette a disposizione uno strumento di autovalutazione NIS2 per aiutare le entità a determinare la propria probabile classificazione.

L'autoidentificazione diventerà obbligatoria all'entrata in vigore della Cbw. Le entità dovrebbero valutare ora il proprio ambito utilizzando lo strumento di autovalutazione della RDI e prepararsi alla registrazione presso l'NCSC.

13. Interazione con il GDPR e altre leggi nei Paesi Bassi

Il Regolamento generale sulla protezione dei dati continua ad applicarsi in parallelo.

Le aree di sovrapposizione includono:

• Notifica di violazione dei dati personali entro 72 ore
• Coordinamento delle autorità di controllo
• Indagini parallele in materia di cibersicurezza e protezione dei dati
• Legislazione olandese settoriale in materia di cibersicurezza

Un incidente informatico può far scattare obblighi di notifica ai sensi di entrambi i regimi.

14. Applicabilità transfrontaliera

Le entità con stabilimento principale nei Paesi Bassi sono sottoposte alla vigilanza delle autorità olandesi per i servizi transfrontalieri.

I fornitori digitali stranieri che offrono servizi nei Paesi Bassi possono essere soggetti a obblighi nazionali a seconda della loro struttura di stabilimento.

I requisiti di rappresentanza seguono gli standard della direttiva per i fornitori extra-UE che operano sul mercato olandese.

15. Tempistica di attuazione nei Paesi Bassi

• Adozione della Direttiva: 2022
• Modifiche legislative nazionali: Cyberbeveiligingswet (Cbw) presentata alla Tweede Kamer il 4 giugno 2025; dibattito in plenaria il 23 marzo 2026; non ancora approvata ad aprile 2026
• Entrata in vigore: non ancora approvata; entrata in vigore attualmente prevista per il secondo trimestre 2026; la Wbni continua ad applicarsi nel periodo transitorio; alcune disposizioni potrebbero essere scaglionate
• Notifica alla Commissione: i Paesi Bassi hanno mancato il termine di recepimento del 17 ottobre 2024; hanno ricevuto un parere motivato della Commissione europea il 7 maggio 2025; il rinvio alla CGUE rimane possibile qualora il recepimento non venga completato tempestivamente
• Traguardo di conformità: nessun obbligo NIS2 obbligatorio attualmente attivo; la registrazione volontaria tramite mijn.ncsc.nl è disponibile dal 17 ottobre 2024; gli obblighi obbligatori inizieranno con l'entrata in vigore della Cbw

I Paesi Bassi hanno mancato il termine di recepimento NIS2 del 17 ottobre 2024 e restano soggetti a procedure d'infrazione della Commissione europea. La Cyberbeveiligingswet (Cbw) sta avanzando in Parlamento e si prevede che entri in vigore nel secondo trimestre 2026. Le entità dovrebbero registrarsi volontariamente presso l'NCSC e completare valutazioni di prontezza ora in vista degli obblighi obbligatori.

16. Punti chiave per le PMI nei Paesi Bassi

• Le entità di medie dimensioni nei settori coperti rientreranno automaticamente nell'ambito di applicazione all'entrata in vigore della Cyberbeveiligingswet (Cbw), prevista per il secondo trimestre 2026. Utilizzate sin d'ora lo strumento di autovalutazione NIS2 della RDI per determinare la vostra probabile classificazione.
• Le entità di piccole dimensioni possono essere designate se critiche per la stabilità nazionale o economica.
• La supervisione della governance a livello dell'organo di gestione è obbligatoria. La Cbw include un obbligo di formazione sulla cibersicurezza per la dirigenza, e i membri del consiglio possono essere ritenuti personalmente responsabili per carenze di governance.
• La notifica degli incidenti rispetta le scadenze di 24 ore / 72 ore / 1 mese, con un doppio obbligo di notifica nei confronti dell'NCSC (in qualità di CSIRT nazionale) e dell'autorità competente settoriale. Le entità devono inoltre notificare i destinatari dei servizi interessati.
• Le sanzioni pecuniarie possono raggiungere €10 milioni o il 2% del fatturato globale.
• La gestione del rischio dei fornitori è obbligatoria.
• La Cbw non è ancora in vigore, ma gli obblighi sono in arrivo. Registratevi volontariamente presso l'NCSC su mijn.ncsc.nl, completate l'autovalutazione della RDI e iniziate a implementare misure allineate alla NIS2. Si noti che la vigilanza e l'applicazione saranno svolte da autorità competenti settoriali — non dall'NCSC — secondo il modello olandese multi-regolatore.

FAQ: Guida NIS2 per le PMI nei Paesi Bassi