Pourquoi ce sujet est-il pertinent pour mon organisation ?

Le comportement humain est la cause la plus fréquente d'incidents de sécurité. Connaître ce sujet et y être sensibilisé réduit directement et de manière mesurable le risque.

Comment 2LRN4 aide-t-il sur ce sujet ?

2LRN4 relie ce sujet à un module de formation orienté risque, à une simulation de phishing optionnelle et à des rapports, pour démontrer la conformité aux autorités et au conseil.

Une formation de sensibilisation suffit-elle ou faut-il plus ?

La formation est un pilier nécessaire mais pas un bouclier complet. Combinez-la à des mesures techniques (MFA, filtrage e-mail), à des procédures et à une culture de signalement pour une protection optimale.

Qu'est-ce que la loi néerlandaise sur la cybersécurité (Cbw)?

La loi néerlandaise sur la cybersécurité (Cbw, Cyberbeveiligingswet) est la transposition nationale de la directive européenne NIS2. Elle impose des obligations de cybersécurité aux entités essentielles et importantes, y compris santé, services financiers, énergie, eau potable, infrastructure numérique, administration et l'ensemble du secteur de l'enseignement supérieur. La Cbw remplace l'ancienne Wbni et place une responsabilité explicite sur la direction.

Pourquoi la Cbw a été introduite

Le 17 janvier 2023, la directive NIS2 (Network and Information Security 2) est entrée en vigueur en tant que successeur de NIS1. NIS2 a élargi considérablement le champ d'application et introduit une responsabilité directe du conseil d'administration. Les États membres devaient transposer NIS2 en droit national avant le 18 octobre 2024.

Les Pays-Bas l'ont fait via la Cyberbeveiligingswet (Cbw), avec des règles d'application dans le Cyberbeveiligingsbesluit (Cbb). Elle remplace l'ancienne Wbni et est entrée en vigueur en 2024-2025. Des régulateurs sectoriels supervisent : IGJ (santé), DNB (finance), RDI (infrastructure numérique) et ministères (administration).

Important : la Cbw s'applique directement aux organisations néerlandaises. Le texte contraignant est la loi néerlandaise, pas la directive UE, bien que la directive puisse être consultée comme aide à l'interprétation lorsque la Cbw est silencieuse.

Qui relève de la Cbw ?

La Cbw distingue les entités essentielles et importantes. Les entités essentielles sont sous supervision proactive (les régulateurs peuvent auditer sans préavis) ; les entités importantes sont sous supervision réactive (seulement sur signaux ou incidents).

Secteurs essentiels (Cbw art. 8) : énergie, transports, banque, infrastructure des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC, administration, espace.
Secteurs importants (Cbw art. 9) : services postaux et de courrier, gestion des déchets, production/distribution de produits chimiques, production/transformation alimentaire, fabrication, fournisseurs de services numériques, organismes de recherche, enseignement supérieur.
Seuils : typiquement 50+ employés ou €10M de chiffre d'affaires annuel, avec exceptions pour certaines entités critiques.

Les trois piliers de la Cbw

La Cbw comporte trois domaines d'obligation principaux, généralement traités en parallèle lors de la mise en œuvre :

Cbw article 21, Devoir de diligence. Gestion des risques, traitement des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, gestion des actifs, cryptographie, politique d'accès et hygiène cyber doivent être démontrablement en place. La sensibilisation est explicitement incluse.
Cbw article 24, Gouvernance. Les membres du conseil doivent suivre une formation cybersécurité et sont personnellement responsables en cas de négligence fautive. Le conseil doit piloter activement la mise en œuvre.
Cbw article 25, Obligation de signalement. Les incidents significatifs doivent être signalés en trois phases : alerte précoce dans les 24 heures, rapport intermédiaire dans les 72 heures, rapport final dans le mois.

Cbw versus NIS2, pourquoi lire d'abord la Cbw aux Pays-Bas

NIS2 est une directive UE, un cadre minimal laissant une marge de transposition nationale. La Cbw est la transposition néerlandaise et contient des règles plus strictes ou supplémentaires : par ex. la définition d'"incident significatif", les pouvoirs de supervision et les désignations sectorielles.

Pour les organisations néerlandaises : la Cbw est contraignante, pas le texte de la directive. Un audit Cbw teste contre la Cbw, pas directement contre NIS2. La directive peut servir d'aide à l'interprétation lorsque la Cbw n'est pas claire.

Recommandation pratique : bien que beaucoup de matériel marketing fasse référence à la "conformité NIS2", la supervision et l'application appliquent toujours le droit néerlandais. La formation de sensibilisation et la documentation de conformité doivent de préférence utiliser le cadrage Cbw en priorité.

Sanctions et amendes sous la Cbw

La Cbw prévoit des sanctions substantielles. Les entités essentielles peuvent encourir des amendes jusqu'à €10 millions ou 2 % du chiffre d'affaires mondial annuel (le plus élevé). Pour les entités importantes, le maximum est €7 millions ou 1,4 %.

Outre les amendes, les régulateurs ont le pouvoir d'émettre des directives, de retirer des certifications et, dans les cas graves, de démettre temporairement des membres du conseil, conséquence directe de la responsabilité du conseil sous Cbw article 24.

Dans les 12-18 premiers mois suivant l'entrée en vigueur, les régulateurs appliquent généralement une approche graduée axée sur le "progrès raisonnable". Cependant l'exigence de formation du conseil de Cbw art. 24 est appliquée dès le premier jour.

De l'explication à l'action

Découvrez comment 2LRN4 traduit ce sujet en un programme opérationnel avec formation, simulation de phishing et reporting pour la direction.

Voir la page NIS2

Sources

FAQ

Quand la Cbw s'applique-t-elle ?

La Cyberbeveiligingswet est entrée en vigueur par étapes en 2024-2025, avec la plupart des obligations pleinement actives en 2025. Des décrets d'application sectoriels peuvent fixer des délais supplémentaires, voir le Cyberbeveiligingsbesluit (Cbb) pour les détails.

Mon organisation relève-t-elle de la Cbw ?

Dépend du secteur et de la taille. Seuil général : 50+ employés ou €10M de chiffre d'affaires, dans un secteur désigné. Le Digital Trust Center (DTC) propose un vérificateur en ligne.

Que faire si je relève de NIS2 mais pas de la Cbw ?

Aux Pays-Bas, cette distinction n'existe pas en pratique. La Cbw est la transposition néerlandaise de NIS2 ; si NIS2 s'applique et que vous êtes établi aux Pays-Bas, la Cbw s'applique. Pour les multinationales, la règle d'établissement principal de NIS2 art. 26 détermine le droit national applicable.

Quel est le lien avec le RGPD et NEN 7510 ?

Recouvrant mais focus différent. RGPD couvre les données personnelles ; Cbw couvre la cybersécurité générale ; NEN 7510 couvre spécifiquement la sécurité de l'information dans la santé. Un bon programme de conformité aborde les trois lorsque applicables, souvent via une seule structure de gouvernance.

Comment commencer la mise en œuvre Cbw ?

Trois étapes : (1) déterminer si vous êtes dans le périmètre et désigner un membre du conseil responsable ; (2) analyse d'écart par rapport aux articles Cbw 21, 24 et 25 ; (3) établir un plan de mise en œuvre priorisant l'art. 24 formation conseil (appliquée immédiatement) et l'art. 21 mesures organisationnelles.

Quel régulateur est responsable ?

Dépendant du secteur : santé → IGJ, finance → DNB, infrastructure numérique → RDI, administration → BZK ou autorité compétente. Le Digital Trust Center (DTC) aide à identifier le régulateur compétent.