Saltar al contenido principal

Cyberbeveiligingswet definitiva: entra en vigor el 15 de agosto de 2026. Qué significa para su organización

Alan Lucas

Noticias

A partir del 15 de agosto de 2026 entran en vigor la Cyberbeveiligingswet (Cbw), la ley neerlandesa de ciberseguridad, y la Wet weerbaarheid kritieke entiteiten (Wwke), la ley de resiliencia de entidades críticas. Con ello, los Países Bajos han incorporado las directivas europeas NIS2 y CER a la legislación nacional, lo que introduce obligaciones para miles de organizaciones. La resiliencia digital deja de ser opcional: la cybersecurity, la continuidad de negocio, la gestión de incidentes y los riesgos de proveedores deben estar demostrablemente bajo control, y las autoridades supervisoras vigilarán el cumplimiento.

¿Qué cambia?

La Cyberbeveiligingswet sustituye a la Ley de Seguridad de Redes y Sistemas de Información (Wbni) y se aplica a organizaciones que prestan servicios esenciales o importantes en 18 sectores, entre ellos energía, agua potable, infraestructura digital, sanidad, administración pública y transporte. Si su organización entra dentro del ámbito de la ley, tendrá que cumplir cuatro obligaciones principales:

  • Obligación de registro: registra su organización en el registro de entidades a través del National Cyber Security Centrum (NCSC). Tras el registro, puede utilizar los servicios del Computer Security Incident Response Team (CSIRT) de su sector. Para la mayoría de las organizaciones, ese equipo es el NCSC. Piense en información sobre amenazas y soporte en incidentes de seguridad.
  • Deber de diligencia: adopta medidas adecuadas para gestionar los riesgos de sus redes y sistemas de información. Desde el análisis de riesgos y la gestión de accesos hasta backup, recuperación y seguridad de la cadena de suministro.
  • Obligación de notificación: notifica los incidentes significativos dentro de plazos estrictos: una alerta temprana en un plazo de 24 horas, una notificación de seguimiento en un plazo de 72 horas y un informe final como máximo un mes después de la primera notificación.
  • Responsabilidad de la dirección: la dirección es responsable en última instancia de la gestión de los riesgos cibernéticos. Los miembros de la dirección deben poder evaluar riesgos y medidas, y para ello deben seguir una formación adecuada.

 

Importante: las organizaciones son responsables de evaluar si entran dentro del ámbito de la ley. La herramienta oficial de autoevaluación del Gobierno neerlandés ayuda en este proceso.

Incluso si su organización no entra directamente dentro del ámbito de la ley, decenas de miles de proveedores recibirán igualmente estos requisitos a través de las evaluaciones de proveedores de clientes sujetos a la Cbw. La cybersecurity se convierte en una condición para hacer negocios.

¿Qué significa esto para los clientes de Worldstream?

La nueva legislación exige medidas en toda la organización, desde governance y formación hasta tecnología. Un solo servicio o proveedor no le hace automáticamente compliant, y cualquiera que prometa eso merece una mirada crítica. Lo que sí puede hacer es poner en orden, de forma demostrable, la base técnica de su resiliencia.

Cinco semanas pueden parecer poco, pero los primeros pasos son manejables. Pronto publicaremos una checklist práctica para ayudarle a avanzar paso a paso hacia el 15 de agosto.

Más información sobre la legislación: https://www.ncsc.nl/nieuws/cbw-en-wwke-vanaf-15-augustus-2026-van-kracht