CRA pour les fabricants néerlandais : NCSC, RDI et Rotterdam

Les fabricants néerlandais sont soumis aux mêmes obligations que tout autre fabricant de l'Union au titre du Règlement sur la cyberrésilience, avec une particularité nationale que peu d'autres États membres portent à la même échelle : une part importante du trafic produits du pays est constituée de marchandises non-UE débarquées à Rotterdam, rebrandées par une entité néerlandaise, puis poussées dans le reste de l'Union. Cette configuration place l'entité néerlandaise dans le régime fabricant plus souvent que l'adresse du siège social ne le laisse supposer. Cette note pays couvre les Pays-Bas : comment les signalements de vulnérabilités transitent par le NCSC post-fusion, où se situe le RDI en tant qu'autorité notificatrice et de surveillance du marché, quel rôle joue le RvA en matière d'accréditation, ce qu'imposent les obligations linguistiques néerlandaises, comment le pont de rebranding Rotterdam déplace la ligne fabricant, et quels programmes de financement 2026 sont réalistes. Pour l'ensemble des obligations applicables, consultez le guide cluster fabricant et le guide cluster importateur.

Quand ce guide s'applique-t-il à vous ?

Vous êtes le lecteur cible si l'« établissement principal dans l'Union » de votre fabricant se trouve aux Pays-Bas : le lieu où les décisions relatives à la cybersécurité de vos produits comportant des éléments numériques sont principalement prises. Une entité néerlandaise de vente ou de holding avec une ingénierie délocalisée n'est pas l'établissement principal. Si votre équipe d'ingénierie, votre gouvernance SDLC et les personnes approuvant les mises à jour de sécurité se trouvent aux Pays-Bas, ce guide est pour vous.

Si votre établissement principal est ailleurs dans l'UE et que vous expédiez uniquement vers les Pays-Bas, vos signalements CRA transitent par le CSIRT de l'État membre de votre établissement principal, et non par le NCSC néerlandais. L'obligation d'information en néerlandais pour les utilisateurs s'applique néanmoins à tout produit mis sur le marché néerlandais.

Cette note s'adresse également à un second public : une entité néerlandaise qui importe un produit non-UE via Rotterdam et soit le revend sous sa propre marque, soit le modifie substantiellement avant sa mise sur le marché. Cette entité relève du régime fabricant via le pont de rebranding CRA, et non du régime importateur allégé. Voir la section dédiée ci-dessous.

NCSC : la voie CSIRT néerlandaise

Les notifications CRA transitent par le CSIRT désigné comme coordonnateur de l'État membre où le fabricant a son établissement principal dans l'Union. Pour un fabricant dont l'établissement principal est aux Pays-Bas, ce CSIRT est le NCSC.

Un changement par rapport à la génération précédente des orientations cyber néerlandaises mérite l'attention des nouveaux lecteurs. Le CSIRT-DSP avait déjà été intégré au NCSC, et le 1er janvier 2026 le Digital Trust Center a rejoint le NCSC renforcé. Il existe désormais un CSIRT national unique pour les fabricants de produits, les entités essentielles, les fournisseurs de services numériques et le public PME que le DTC servait auparavant. Les orientations antérieures faisant référence à un modèle à deux CSIRT (NCSC-NL et CSIRT-DSP) décrivent la structure pré-fusion.

Le canal technique pour la cadence de signalement 24 h / 72 h / 14 jours est la plateforme unique de signalement de l'ENISA, qui entre en service le 11 septembre 2026, parallèlement au portail national néerlandais mijn.NCSC.nl. Un fabricant néerlandais dépose ses signalements via la plateforme ENISA avec le NCSC comme coordonnateur destinataire. La désignation CSIRT détermine le routage. La plateforme est le canal de transmission.

Organismes notifiés : RDI notifie, RvA accrédite

Les produits Important Classe I nécessitent un organisme notifié (Module B+C ou Module H) uniquement lorsque les normes harmonisées, spécifications communes, ou un schéma de certification ne les couvrent pas intégralement. Les produits Important Classe II utilisent un organisme notifié (Module B+C ou Module H) ou un schéma de certification disponible et applicable. Les produits Critiques (Annexe IV) suivent l’Article 32(4) : la voie de certification de l’Article 8(1) si la Commission l’a activée, sinon les mêmes voies tierces de l’Article 32(3).

La chaîne institutionnelle néerlandaise repose sur une répartition claire :

• RvA (Raad voor Accreditatie) est l'unique organisme national d'accréditation, doté d'un statut légal au titre de la Wet aanwijzing nationale accreditatie-instantie. Le RvA accrédite les organismes d'évaluation de la conformité selon ISO/IEC 17065:2012. L'accréditation est l'étape technique.
• RDI (Rijksinspectie Digitale Infrastructuur) est l'autorité notificatrice principale prévue, qui enregistrera formellement les organismes notifiés CRA néerlandais auprès de la Commission européenne une fois la loi d'exécution néerlandaise définitive. Le RDI relève du Ministerie van Economische Zaken en Klimaat et a repris ce rôle de l'ancien Agentschap Telecom. La notification est l'étape juridique.

Le cadre CRA pour les organismes notifiés s'applique à compter du 11 juin 2026, après quoi les organismes notifiés peuvent commencer à délivrer des certificats d'évaluation de la conformité CRA. L'Uitvoeringswet verordening cyberweerbaarheid est l'instrument néerlandais qui devrait placer le RDI dans le siège d'autorité notificatrice. Vérifiez l'état parlementaire actuel et le texte définitif du Staatsblad avant tout dépôt formel. Un fabricant néerlandais peut faire appel à tout organisme notifié UE, pas uniquement aux organismes notifiés aux Pays-Bas. Les notifications définitives figurent dans la base de données NANDO de la Commission européenne.

RDI : l'autorité de surveillance du marché CRA

L'Uitvoeringswet verordening cyberweerbaarheid devrait désigner le ministre des Affaires économiques, en pratique le RDI, comme autorité de surveillance du marché CRA néerlandaise. Le RDI disposerait de pouvoirs formels de supervision et d'exécution, notamment d'un pouvoir de sanction administrative dans le respect des plafonds UE du CRA (jusqu'à EUR 15 millions ou 2,5 % du chiffre d'affaires mondial, le montant le plus élevé étant retenu).

Les Pays-Bas s'inscriraient dans le camp consolidé sur ce point, aux côtés de l'ACN italienne, si le texte final suit le projet. L'Espagne (CCN + MTDFP) et la France (ANSSI + ANFR) répartissent les rôles notificateur et de surveillance du marché entre des institutions distinctes. Un fabricant néerlandais aurait alors un seul interlocuteur national pour la correspondance CRA formelle : le NCSC pour le flux de signalement, le RDI pour tout le reste.

Rotterdam et l'angle importateur

Rotterdam est le plus grand port de l'UE par volume de marchandises, avec environ 14,5 millions d'EVP par an et le poids brut le plus élevé d'importations non-UE parmi tous les ports européens. Pour les produits comportant des éléments numériques, une part significative des premières mises sur le marché UE s'effectue ici, souvent par une entité néerlandaise qui achète des produits finis auprès d'un fournisseur non-UE et les pousse vers la distribution belge, allemande, française et plus largement européenne.

Le Règlement sur la cyberrésilience s'intéresse au rôle que vous exercez réellement, et non au rôle mentionné sur vos documents douaniers. Deux schémas opératoires sont courants dans les flux transitant par Rotterdam, et ils relèvent de régimes différents :

• Schéma 1 : vous importez un produit non-UE et le mettez sur le marché UE sans modification, sous la marque d'origine du fabricant. Il s'agit du régime importateur. Vous effectuez les quatre vérifications pré-mise sur le marché (preuve d'évaluation de la conformité, déclaration UE de conformité, marquage CE, identité et adresse du fabricant sur le produit), vous vous inscrivez dans la cascade où le fabricant non-UE n'est pas joignable, et vous conservez les références de documentation technique pendant au moins dix ans. Consultez le guide cluster importateur.
• Schéma 2 : vous importez un produit non-UE, puis le rebrandez sous votre propre nom, en changez la finalité prévue ou le modifiez substantiellement avant la mise sur le marché. Il s'agit du régime fabricant via le pont de rebranding CRA. Votre entité néerlandaise devient le fabricant. Les obligations du fabricant s'appliquent intégralement, notamment les exigences essentielles, la documentation technique, l'évaluation de la conformité, la divulgation de fin de support et la cadence de signalement 24 h / 72 h / 14 jours.

Une confusion fréquente consiste à traiter le Schéma 2 comme le Schéma 1 parce que les documents douaniers mentionnent « importateur en compte propre ». Les rôles CRA ne suivent pas les Incoterms. Dès lors que la marque d'origine est remplacée par la vôtre, ou que la finalité prévue d'origine est modifiée, vous êtes le fabricant. Les SBOM et marquages CE fournis par le fournisseur non-UE constituent des données d'entrée pour votre propre documentation technique, et non des substituts à celle-ci. La même logique s'applique aux produits à marque de distributeur : un détaillant néerlandais qui commercialise des produits sous sa propre marque relève du régime fabricant, quelle que soit la localisation de la production matérielle.

Obligations linguistiques néerlandaises en pratique

Le Règlement sur la cyberrésilience exige que les informations produits destinées aux utilisateurs soient rédigées dans une langue aisément compréhensible par les utilisateurs et l'autorité locale de surveillance du marché. Pour les produits mis sur le marché néerlandais, il s'agit du néerlandais (Nederlands). La Warenwet (loi sur les produits de consommation) et les règles sectorielles sur les informations produits associées imposent indépendamment le néerlandais pour la désignation des produits de consommation, les conditions de garantie, les instructions d'utilisation, les avertissements et les informations sur les caractéristiques du produit.

Obligatoirement en néerlandais :

• Les instructions d'utilisation et informations produits livrées avec le produit.
• Les coordonnées du fabricant, où qu'elles apparaissent.
• La divulgation de la date de fin de support affichée au point de vente.
• Les conditions de garantie et les informations sur les droits des consommateurs livrées avec le produit.

Peut être multilingue :

• L'étiquette produit et le marquage CE.
• Le texte de l'emballage.
• La documentation en ligne, à condition qu'une version néerlandaise soit accessible.

L'anglais est généralement accepté pour :

• Les informations B2B entre acheteurs professionnels lorsque les parties ont convenu d'une langue de travail.
• La documentation technique interne. Le RDI peut toutefois demander une traduction en néerlandais sur demande motivée ; anticipez cette éventualité.

Les marques, la terminologie scientifique ou technique usuelle et les indications d'origine du produit sont exemptées. La déclaration UE de conformité peut être rédigée dans n'importe quelle langue officielle de l'UE. Le frison est co-officiel en Frise, mais le Règlement sur la cyberrésilience n'exige pas de traduction en frison.

Ventes transfrontalières depuis les Pays-Bas

Les fabricants néerlandais qui vendent en Allemagne, en Belgique, en France ou dans tout autre État membre de l'UE bénéficient d'une règle de routage unique : vos signalements CRA transitent toujours par le NCSC, car le routage suit l'établissement principal et non la destination de chaque expédition. L'obligation linguistique se décline en revanche selon chaque marché. Un produit expédié en Allemagne requiert un contenu utilisateur en allemand, un produit expédié en France requiert un contenu en français. Le pack néerlandais ne couvre pas ces marchés. L'autorité de surveillance du marché de chaque État membre destinataire peut également demander votre documentation technique dans une langue qu'elle comprend aisément. Préparez les sections les plus demandées dans une langue de travail largement utilisée pour absorber les demandes motivées transfrontalières.

Programmes de financement nationaux

Le paysage néerlandais du financement pour l'investissement CRA en 2026 comprend un grand programme de crédit d'impôt, deux programmes d'innovation PME et un fonds cybersécurité dédié.

• WBSO (Wet Bevordering Speur- en Ontwikkelingswerk) est le crédit d'impôt sur les coûts salariaux R&D administré par RVO. Le budget 2026 est de EUR 1,817 milliard, avec un avantage de 36 % sur les salaires R&D éligibles jusqu'à EUR 391 020 (50 % pour les starters). Le développement security-by-design, l'outillage SBOM, les plateformes de gestion des vulnérabilités et la conception de processus CVD se qualifient lorsqu'ils sont cadrés en R&D éligible.
• MIT (MKB-Innovatiestimulering Regio en Topsectoren) finance l'innovation des PME au niveau régional, avec des volets études de faisabilité et collaboration R&D dans une fourchette de EUR 20 000 à EUR 350 000.
• Innovation Box (Innovatiebox) est un taux d'impôt sur les sociétés réduit (effectif à 9 %) sur les bénéfices issus d'activités d'innovation éligibles. Il se cumule couramment avec le WBSO.
• CIF-NL (Cybersecurity Innovation Fund) est la ligne de subvention RVO dédiée à l'innovation en cybersécurité. L'appel 2025-2026 disposait d'une enveloppe de EUR 2,5 millions (EUR 60 000 à EUR 100 000 par projet) axée sur la crypto-agilité et l'accessibilité. Les candidatures ont fermé le 10 février 2026. Suivez les publications de RVO et du NCSC fusionné pour les appels CIF-NL suivants.
• Le Dutch Herstel- en Veerkrachtplan (RRF) est dans sa fenêtre de clôture NextGenerationEU avec une exécution due au 31 août 2026 et des demandes de paiement final au 30 septembre 2026. Il ne constitue pas un véhicule de planification viable pour l'échéance CRA du 11 décembre 2027.

Pour les investissements de mise en conformité datés au 11 décembre 2027, le tableau réaliste néerlandais est WBSO + MIT + Innovation Box, avec CIF-NL éligible pour les parties genuinement innovantes.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié.