2LRN4 security awareness platform
← Volver a la base de conocimientos

¿Qué es la Ley de Ciberseguridad neerlandesa (Cbw)?

Explicación práctica sobre ley ciberseguridad neerlandesa para organizaciones que quieren mejorar de forma estructural el comportamiento seguro.

Actual

De la información a la acción

Descubra cómo convertir este tema en un programa de concienciación práctico con formación, simulaciones de phishing e informes claros para dirección.

Reservar demo Ver la página de solución principal
Alain Rees
Fundador y especialista en concienciación sobre seguridad · 2LRN4

La Ley de Ciberseguridad neerlandesa (Cbw, Cyberbeveiligingswet) es la transposición nacional de la Directiva NIS2 de la UE. Impone obligaciones de ciberseguridad a entidades esenciales e importantes, incluyendo sanidad, servicios financieros, energía, agua potable, infraestructura digital, administración pública y todo el sector de educación superior. La Cbw sustituye a la antigua Wbni y atribuye responsabilidad explícita a la dirección.

Por qué se introdujo la Cbw

El 17 de enero de 2023 entró en vigor la directiva NIS2 (Network and Information Security 2) como sucesora de NIS1. NIS2 amplió drásticamente el alcance e introdujo responsabilidad directa del consejo. Los Estados miembros debían transponer NIS2 al derecho nacional antes del 18 de octubre de 2024.

Los Países Bajos lo hicieron mediante la Cyberbeveiligingswet (Cbw), con reglas de aplicación en el Cyberbeveiligingsbesluit (Cbb). Sustituye a la antigua Wbni y entró en vigor en 2024-2025. Reguladores sectoriales supervisan: IGJ (sanidad), DNB (finanzas), RDI (infraestructura digital) y ministerios (administración).

Importante: la Cbw se aplica directamente a las organizaciones neerlandesas. El texto vinculante es la ley neerlandesa, no la directiva UE, aunque la directiva puede consultarse como ayuda interpretativa donde la Cbw guarda silencio.

¿Quién entra bajo la Cbw?

La Cbw distingue entidades esenciales e importantes. Las entidades esenciales están bajo supervisión proactiva (los reguladores pueden auditar sin previo aviso); las entidades importantes están bajo supervisión reactiva (solo ante señales o incidentes).

  • Sectores esenciales (Cbw art. 8): energía, transporte, banca, infraestructura del mercado financiero, sanidad, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, administración, espacio.
  • Sectores importantes (Cbw art. 9): postal y mensajería, gestión de residuos, producción/distribución química, producción/procesado alimentario, fabricación, proveedores de servicios digitales, organizaciones de investigación, educación superior.
  • Umbrales: típicamente 50+ empleados o €10M de facturación anual, con excepciones para ciertas entidades críticas.

Los tres pilares de la Cbw

La Cbw tiene tres áreas principales de obligación, generalmente abordadas en paralelo durante la implementación:

  • Cbw artículo 21, Deber de diligencia. Gestión de riesgos, gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro, gestión de activos, criptografía, política de accesos e higiene cibernética deben estar demostrablemente implementados. La formación de concienciación se incluye explícitamente.
  • Cbw artículo 24, Gobernanza. Los miembros del consejo deben completar formación en ciberseguridad y son personalmente responsables por negligencia culpable. El consejo debe pilotar activamente la implementación.
  • Cbw artículo 25, Obligación de notificación. Los incidentes significativos deben notificarse en tres fases: alerta temprana en 24 horas, informe intermedio en 72 horas, informe final en un mes.

Cbw versus NIS2, por qué leer Cbw primero en los Países Bajos

NIS2 es una directiva UE, un marco mínimo que deja margen para la transposición nacional. La Cbw es la transposición neerlandesa y contiene reglas más estrictas o adicionales: por ejemplo, la definición de "incidente significativo", los poderes de supervisión y las designaciones sectoriales.

Para las organizaciones neerlandesas: la Cbw es vinculante, no el texto de la directiva. Una auditoría Cbw evalúa frente a la Cbw, no directamente frente a NIS2. La directiva puede servir como ayuda interpretativa donde la Cbw no es clara.

Orientación práctica: aunque mucho material de marketing se refiera al "cumplimiento NIS2", la supervisión y aplicación siempre aplican el derecho neerlandés. La formación de concienciación y la documentación de cumplimiento deben preferiblemente usar el marco Cbw como primario.

Sanciones y multas bajo la Cbw

La Cbw prevé sanciones sustanciales. Las entidades esenciales pueden enfrentar multas de hasta €10 millones o el 2% de la facturación anual global (lo que sea mayor). Para entidades importantes el máximo es €7 millones o 1,4%.

Además de multas, los reguladores tienen poderes para emitir instrucciones, retirar certificaciones y, en casos graves, suspender temporalmente a miembros del consejo de sus funciones, consecuencia directa de la responsabilidad del consejo bajo Cbw artículo 24.

En los primeros 12-18 meses tras la entrada en vigor, los reguladores aplican típicamente un enfoque gradual centrado en "progreso razonable". Sin embargo, el requisito de formación del consejo bajo Cbw art. 24 se aplica desde el primer día.

De la explicación a la acción

Descubra cómo 2LRN4 convierte este tema en un programa funcional con formación, simulación de phishing e informes para la dirección.

Ver la página NIS2

Artículos relacionados

Fuentes

FAQ

¿Cuándo se aplica la Cbw?

La Cyberbeveiligingswet entró en vigor por etapas en 2024-2025, con la mayoría de obligaciones plenamente activas en 2025. Decretos sectoriales de aplicación pueden fijar plazos adicionales, consulte el Cyberbeveiligingsbesluit (Cbb) para detalles.

¿Mi organización entra bajo la Cbw?

Depende del sector y tamaño. Umbral general: 50+ empleados o €10M de facturación, en un sector designado. El Digital Trust Center (DTC) ofrece un verificador en línea.

¿Qué pasa si entro en NIS2 pero no en la Cbw?

En los Países Bajos esa distinción no existe en la práctica. La Cbw es la transposición neerlandesa de NIS2; si NIS2 aplica y está establecido en los Países Bajos, la Cbw aplica. Para multinacionales, la regla de establecimiento principal de NIS2 art. 26 determina el derecho nacional aplicable.

¿Cuál es la relación con RGPD y NEN 7510?

Solapan pero con foco distinto. RGPD cubre datos personales; Cbw cubre ciberseguridad general; NEN 7510 cubre específicamente seguridad de la información en sanidad. Un buen programa de cumplimiento aborda los tres donde aplique, a menudo vía una única estructura de gobernanza.

¿Cómo empiezo con la implementación Cbw?

Tres pasos: (1) determinar si está en el ámbito y asignar un miembro del consejo responsable; (2) análisis de brechas frente a los artículos 21, 24 y 25 de la Cbw; (3) construir un plan de implementación priorizando el art. 24 formación del consejo (aplicado de inmediato) y el art. 21 medidas organizativas.

¿Qué regulador es responsable?

Depende del sector: sanidad → IGJ, finanzas → DNB, infraestructura digital → RDI, administración → BZK o autoridad competente. El Digital Trust Center (DTC) ayuda a identificar el regulador competente.

Fuente externa: European Commission - NIS2 Directive

Lectura relacionada
Reporting y concienciación en el sector público → Cbw artículo 24: la obligación de formación del consejo explicada →
Siguiente paso

Use este artículo como base y luego vea cómo 2LRN4 traduce el tema en segmentación de audiencias, formación e informes.

Reservar demo Descargar la guía Más artículos