Le 15 avril 2026, la Tweede Kamer a adopté les projets de loi néerlandais sur la Cyberbeveiligingswet (Cbw) et la Wet weerbaarheid kritieke entiteiten (Wwke) (Rijksoverheid, 15-04-2026). Pour les entreprises qui s’appuient sur un ERP pour la finance, les achats, la supply chain ou les RH, ce vote marque un changement opérationnel concret : la cybersécurité sort du périmètre purement IT pour devenir un sujet de gouvernance process et de continuité métier.
Contexte
La Cyberbeveiligingswet est la transposition néerlandaise de la directive NIS2 (Rijksoverheid, Eerste Kamer). NIS2 elle-même est entrée en vigueur le 16 janvier 2023 et devait être transposée avant le 17 octobre 2024 (Eerste Kamer).
Le point clé pour les décideurs n’est pas seulement le vote en chambre basse. Le gouvernement néerlandais précise que le texte doit encore passer par l’Eerste Kamer, mais vise toujours une entrée en vigueur au deuxième trimestre 2026 avec les textes d’application (Rijksoverheid).
Impact pour les entreprises
1. L’ERP devient un actif de cybersécurité, pas seulement un outil de gestion
La communication officielle rappelle trois obligations structurantes pour les organisations concernées : zorgplicht (devoir de protection), meldplicht (obligation de notification) et registratieplicht (obligation d’enregistrement) (Rijksoverheid).
Dans la pratique ERP, cela implique de formaliser des standards minimaux sur les comptes à privilèges, la gestion des interfaces API, les accès prestataires et la capacité de tracer un incident de bout en bout. Une entreprise qui ne peut pas reconstituer rapidement ce qui s’est passé dans son SI ERP est vulnérable, même avec un bon firewall.
2. Le CFO est désormais directement exposé au risque de non-conformité
Sous NIS2/Cbw, la conformité cyber ne reste pas cantonnée au RSSI. Les décisions budgétaires de maintenance, de patching, de segmentation réseau ou de modernisation ERP deviennent des décisions de risque d’entreprise.
Pour une PME néerlandaise, le sujet n’est pas d’ajouter un outil de sécurité de plus, mais de prioriser les processus critiques qui dépendent de l’ERP : facturation, paiement fournisseurs, clôture comptable, planification opérationnelle. Un incident sur ces flux crée immédiatement un risque financier et contractuel.
3. Les groupes multi-pays doivent harmoniser leur gouvernance, pas seulement leurs outils
Les filiales néerlandaises de groupes européens vont devoir aligner leurs pratiques locales avec les exigences Cbw, tout en restant cohérentes avec les cadres cyber des autres pays. C’est souvent là que les programmes ERP transfrontaliers échouent : architecture commune, mais responsabilités locales floues.
Le vote du 15 avril force un arbitrage clair. Soit le groupe intègre les exigences Cbw/NIS2 dans son modèle de contrôle ERP global, soit il maintient des exceptions locales coûteuses à piloter.
Ce qu’il faut surveiller
La prochaine étape institutionnelle est la trajectoire en Eerste Kamer, qui détermine le calendrier final d’adoption et d’entrée en vigueur (Rijksoverheid, Eerste Kamer).
En parallèle, les entreprises ne sont pas censées attendre la publication finale : la recommandation officielle est de démarrer dès maintenant la mise en conformité opérationnelle (Rijksoverheid). Concrètement, cela veut dire lancer un diagnostic ERP-cyber sur un périmètre limité mais critique (par exemple finance + achats), puis étendre ensuite aux autres domaines.
Pour approfondir, lisez notre guide NIS2 et ERP pour les ETI, notre analyse SAF-T et conformité ERP en Europe et notre dossier facturation électronique en Europe.
