Zum Hauptinhalt springen
Zurück zur Übersicht

Irlands NIS2-Gesetz kommt: Was EU-Lieferanten wissen müssen

Von NIS2Certify
NIS2IrlandNCSCMSPComplianceLieferkette
Irlands NIS2-Gesetz kommt: Was EU-Lieferanten wissen müssen

Irland hat seine NIS2-Frist um mehr als 18 Monate verpasst. Das ist keine Fußnote — es ist ein Problem, das Sie erben, sobald einer Ihrer Kunden von einem irischen Lieferanten abhängt.

Wenn Sie einen MSP betreiben oder europäische Organisationen zu Compliance beraten, wiegt Irland schwerer, als seine Größe vermuten lässt. Es beherbergt die EU-Zentralen von Microsoft, Google, Meta, AWS und einen großen Teil der Rechenzentrumskapazität des Kontinents. Wenn Irlands NIS2-Gesetz endlich in Kraft tritt, fällt schlagartig eine enorme Menge kritischer digitaler Infrastruktur in den Geltungsbereich — und die Lieferketten Ihrer Kunden verlaufen mittendurch.

Hier ist, was tatsächlich passiert, und was Sie tun sollten, bevor das Gesetz verabschiedet wird.

Irland ist die letzte große EU-Volkswirtschaft ohne NIS2-Gesetz

NIS2 musste bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Irland hat diesen Termin verpasst. Mitte 2026 ist die National Cyber Security Bill noch immer im Oireachtas unterwegs, und Irland gehört zu den wenigen Mitgliedstaaten — neben Frankreich, Luxemburg, den Niederlanden und Spanien — in denen die Umsetzungsgesetzgebung noch nicht in Kraft ist.

Die Verzögerung ist teils politisch. Die Parlamentswahl 2024 unterbrach den Gesetzgebungskalender, und das Gesetz verschob sich. Doch die Europäische Kommission hat die Geduld verloren. Irland erhielt ein Aufforderungsschreiben, dann eine mit Gründen versehene Stellungnahme, und die Kommission hat signalisiert, nicht umsetzende Staaten vor den Gerichtshof zu bringen.

Die praktische Erkenntnis: Die Richtung steht fest. Das Gesetz kommt. Offen ist nur das Timing, und "wir warten auf das Gesetz" ist keine Verteidigung, auf die sich ein Kunde stützen sollte.

NIS2 Umsetzungsstatus nach Land (2025–2026)

Vollständig in Kraft

Belgien
Kroatien
Ungarn
Litauen
Lettland
Italien
6 Länder

Verabschiedet — Ende 2025

Deutschland
Tschechien
Finnland
3 Länder

In Bearbeitung — erwartet 2026

Niederlande
Frankreich
Spanien
Polen
Österreich
Schweden
Irland
7 Länder

Das Gesetz macht das NCSC zur irischen Cyber-Aufsichtsbehörde

Irlands National Cyber Security Centre (NCSC) wird nach dem neuen Gesetz zur Lead Competent Authority und zum Single Point of Contact. Das ist eine erhebliche Ausweitung einer Stelle, die bislang überwiegend beratend tätig war.

Doch Irland setzt nicht auf ein Ein-Behörden-Modell. Sektorspezifische Aufsichtsbehörden behalten die Durchsetzungsbefugnis in ihrem Bereich — ein Energieversorger verantwortet sich gegenüber seiner Sektoraufsicht, ein Gesundheitsdienstleister gegenüber einer anderen, und so weiter, während das NCSC koordiniert. Für Berater heißt das: "Wer beaufsichtigt diesen Kunden" ist eine echte Frage mit mehr als einer möglichen Antwort. Gehen Sie nicht davon aus, dass das NCSC für jede Einrichtung die durchsetzende Behörde ist.

Das NCSC ist der Gesetzgebung bereits vorausgeeilt. Im Juni 2025 veröffentlichte es Entwurfsleitlinien zu Risk Management Measures und startete Irlands Version des CyberFundamentals (CyFun)-Rahmenwerks. Selbst ohne geltendes Gesetz gibt es also dokumentierte Erwartungen, an denen Sie Kunden schon heute ausrichten können.

Klären Sie, welche Kunden — und deren Lieferanten — im Geltungsbereich sind

NIS2 folgt in Irland der üblichen Aufteilung essential/important über die bekannten Sektoren: Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trink- und Abwasser, digitale Infrastruktur, IKT-Servicemanagement, öffentliche Verwaltung, Raumfahrt sowie die "important"-Ebene mit Postdiensten, Abfallwirtschaft, Chemie, Lebensmitteln, Fertigung, digitalen Anbietern und Forschung.

Zwei Dinge führen zu Fehlern.

Erstens die Größe. Die Grundregel: Mittlere und große Einrichtungen in einem erfassten Sektor sind im Geltungsbereich — grob 50+ Beschäftigte oder €10 Mio.+ Umsatz — doch es gibt Sonderfälle, in denen kleine Einrichtungen aufgrund der Kritikalität ihrer Tätigkeit dennoch erfasst werden. Ein winziger DNS-Anbieter oder eine einzige nationale Registry bekommt keinen Freibrief.

Zweitens die Lieferkette. Selbst wenn Ihr Kunde selbst keine regulierte Einrichtung ist, wird eine irische essential oder important entity, die von ihm abhängt, NIS2-Pflichten über Verträge nach unten weitergeben. Genau dafür wurde die Lieferketten-Anforderung von Article 21 entworfen. Lesen Sie unseren Leitfaden zu Lieferantenverträgen dazu, wie diese Klauseln typischerweise ausfallen.

Gilt NIS2 für Ihre Organisation?

1

Ist Ihre Organisation in einem wesentlichen oder wichtigen Sektor tätig (Energie, Verkehr, Gesundheit, digitale Infrastruktur usw.)?

JaNein
2

Beschäftigt Ihre Organisation 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro?

JaNein
3

Ist Ihre Organisation ein Anbieter kritischer Infrastruktur oder ein qualifizierter Vertrauensdiensteanbieter?

JaNein

NIS2 gilt nicht unmittelbar für Ihre Organisation.

NIS2 gilt für Ihre Organisation als wesentliche oder wichtige Einrichtung.

!

NIS2 könnte für Ihre Organisation gelten — holen Sie rechtlichen Rat ein, um Ihren Status zu bestätigen.

Gilt
Gilt möglicherweise
Gilt nicht

Die Bußgelder sind real — und enden nicht beim Unternehmen

Das irische General Scheme spiegelt die NIS2-Obergrenzen. Essential entities drohen Verwaltungsbußgelder von bis zu €10 Millionen oder 2 % des weltweiten Konzernumsatzes, je nachdem, welcher Betrag höher ist. Important entities bis zu €7 Millionen oder 1,4 % des Umsatzes.

Die Zahl, die einen Vorstand aufhorchen lässt, ist der Umsatzmultiplikator, nicht die feste Obergrenze. Für eine mittelgroße Gruppe sind 2 % des weltweiten Umsatzes weit mehr als €10 Millionen — und berechnet wird über die gesamte Gruppe, nicht die irische Tochter allein.

Doch das Bußgeld ist nur die erste Schicht. NIS2 trifft auch das Management persönlich: Führungskräfte können für Aufsichtsversäumnisse haftbar gemacht werden, und Behörden können vorübergehende Verbote gegen Personen in Managementrollen bei essential entities verhängen. Hinzu kommen die operativen Folgen — Aussetzung von Genehmigungen, verpflichtende Nachbesserung, öffentliche Bekanntgabe von Verstößen. Reputationsschaden und verlorene Verträge kosten meist mehr als das Bußgeld selbst.

NIS2-Sanktionseskalation — Jenseits der Geldbuße

!

Auslöser

Non-Compliance erkannt oder Vorfall tritt ein

Eine Aufsichtsbehörde identifiziert eine Compliance-Lücke oder eine Organisation erfüllt die NIS2-Anforderungen nicht

Behörden können verhängen
Nicht-finanzielle Sanktionen
1

Anordnungen mit bindenden Fristen

2

Verpflichtende Sicherheitsaudits auf eigene Kosten

3

Öffentliche Bekanntmachung von Verstößen

4

Bindende Anweisungen zu spezifischen Sicherheitsmaßnahmen

Eskaliert zu
Betriebliche und persönliche Konsequenzen
1

Aussetzung von Zertifizierungen oder Betriebsgenehmigungen

2

Vorübergehendes Verbot von Leitungsfunktionen für Personen

3

Öffentliche Benennung verantwortlicher natürlicher Personen

Auslöser
Nicht-finanziell
Betrieblich / persönlich

Deshalb ist die Vorstandshaftung keine Angsttaktik — sie steht im Rahmenwerk. Beraten Sie irische Einrichtungen oder deren Muttergesellschaften, muss das Gespräch darüber, wer persönlich verantwortlich ist, vor einem Vorfall stattfinden, nicht danach.

CyFun ist Irlands empfohlener Weg, nicht der einzige

Das NCSC hat CyberFundamentals als bevorzugten Weg benannt, um NIS2-Konformität nachzuweisen. CyFun ist ein gestuftes, standardbasiertes Rahmenwerk auf Basis des NIST Cybersecurity Framework, mit Reifegraden, die Sie je nach Risikoprofil einem Kunden zuordnen können. Es ist dasselbe Rahmenwerk, mit dem Belgien NIS2 konkret gemacht hat — es gibt also echte Praxiserfahrung.

Entscheidend: CyFun ist empfohlen, nicht vorgeschrieben. Das NCSC hat bestätigt, dass ISO 27001, IEC 62443, COBIT und NIST-Standards weiterhin akzeptable Nachweiswege bleiben. Betreibt Ihr Kunde bereits ein ISO 27001-zertifiziertes ISMS, werfen Sie das nicht weg — Sie richten es an den irischen Erwartungen aus und schließen die Deltas. Unsere NIS2 vs ISO 27001-Analyse zeigt, wo die Lücken meist sitzen.

Für die meisten MSPs ist der pragmatische Zug: ein Kontrollrahmenwerk wählen, jeden irischen Kunden daran ausrichten und keinen separaten Ansatz je Kunde pflegen. Konsistenz macht ein Portfolio auditierbar.

Was jetzt zu tun ist, bevor das Gesetz gilt

Auf die Verabschiedung zu warten ist der falsche Instinkt. Die Pflichten sind bekannt, die Erwartungen des NCSC sind veröffentlicht, und die Audit-Uhr startet an dem Tag, an dem das Gesetz in Kraft tritt — nicht an dem Tag, an dem Sie dazu kommen, es zu lesen.

Beginnen Sie mit drei Schritten. Erfassen Sie, welche Kunden und welche ihrer wichtigsten Lieferanten eine irische essential oder important entity berühren. Wählen Sie ein Kontrollrahmenwerk — CyFun oder ISO 27001 — und standardisieren Sie darauf. Führen Sie dann eine Gap-Analyse gegen die zehn Maßnahmen von Article 21 durch, damit Sie den tatsächlichen Abstand zur Konformität kennen, nicht den vermuteten. Unser Schritt-für-Schritt-Leitfaden zur Gap-Analyse führt durch die Reihenfolge.

Wollen Sie schnell wissen, wo ein bestimmter Kunde steht, schicken Sie ihn durch den NIS2 Quick Scan. Er dauert Minuten und liefert einen belastbaren Ausgangspunkt für das Compliance-Gespräch — eine weit bessere Position, als einem Kunden zu sagen, Sie hätten beide auf Dublin gewartet.

    Irlands NIS2-Gesetz kommt: Was EU-Lieferanten wissen müssen — NIS2Certify