Irlands NIS2-Gesetz kommt: Was EU-Lieferanten wissen müssen

Irland hat seine NIS2-Frist um mehr als 18 Monate verpasst. Das ist keine Fußnote — es ist ein Problem, das Sie erben, sobald einer Ihrer Kunden von einem irischen Lieferanten abhängt.
Wenn Sie einen MSP betreiben oder europäische Organisationen zu Compliance beraten, wiegt Irland schwerer, als seine Größe vermuten lässt. Es beherbergt die EU-Zentralen von Microsoft, Google, Meta, AWS und einen großen Teil der Rechenzentrumskapazität des Kontinents. Wenn Irlands NIS2-Gesetz endlich in Kraft tritt, fällt schlagartig eine enorme Menge kritischer digitaler Infrastruktur in den Geltungsbereich — und die Lieferketten Ihrer Kunden verlaufen mittendurch.
Hier ist, was tatsächlich passiert, und was Sie tun sollten, bevor das Gesetz verabschiedet wird.
Irland ist die letzte große EU-Volkswirtschaft ohne NIS2-Gesetz
NIS2 musste bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Irland hat diesen Termin verpasst. Mitte 2026 ist die National Cyber Security Bill noch immer im Oireachtas unterwegs, und Irland gehört zu den wenigen Mitgliedstaaten — neben Frankreich, Luxemburg, den Niederlanden und Spanien — in denen die Umsetzungsgesetzgebung noch nicht in Kraft ist.
Die Verzögerung ist teils politisch. Die Parlamentswahl 2024 unterbrach den Gesetzgebungskalender, und das Gesetz verschob sich. Doch die Europäische Kommission hat die Geduld verloren. Irland erhielt ein Aufforderungsschreiben, dann eine mit Gründen versehene Stellungnahme, und die Kommission hat signalisiert, nicht umsetzende Staaten vor den Gerichtshof zu bringen.
Die praktische Erkenntnis: Die Richtung steht fest. Das Gesetz kommt. Offen ist nur das Timing, und "wir warten auf das Gesetz" ist keine Verteidigung, auf die sich ein Kunde stützen sollte.
NIS2 Umsetzungsstatus nach Land (2025–2026)
Vollständig in Kraft
BelgienKroatienUngarnLitauenLettlandItalien6 LänderVerabschiedet — Ende 2025
DeutschlandTschechienFinnland3 LänderIn Bearbeitung — erwartet 2026
NiederlandeFrankreichSpanienPolenÖsterreichSchwedenIrland7 Länder
Das Gesetz macht das NCSC zur irischen Cyber-Aufsichtsbehörde
Irlands National Cyber Security Centre (NCSC) wird nach dem neuen Gesetz zur Lead Competent Authority und zum Single Point of Contact. Das ist eine erhebliche Ausweitung einer Stelle, die bislang überwiegend beratend tätig war.
Doch Irland setzt nicht auf ein Ein-Behörden-Modell. Sektorspezifische Aufsichtsbehörden behalten die Durchsetzungsbefugnis in ihrem Bereich — ein Energieversorger verantwortet sich gegenüber seiner Sektoraufsicht, ein Gesundheitsdienstleister gegenüber einer anderen, und so weiter, während das NCSC koordiniert. Für Berater heißt das: "Wer beaufsichtigt diesen Kunden" ist eine echte Frage mit mehr als einer möglichen Antwort. Gehen Sie nicht davon aus, dass das NCSC für jede Einrichtung die durchsetzende Behörde ist.
Das NCSC ist der Gesetzgebung bereits vorausgeeilt. Im Juni 2025 veröffentlichte es Entwurfsleitlinien zu Risk Management Measures und startete Irlands Version des CyberFundamentals (CyFun)-Rahmenwerks. Selbst ohne geltendes Gesetz gibt es also dokumentierte Erwartungen, an denen Sie Kunden schon heute ausrichten können.
Klären Sie, welche Kunden — und deren Lieferanten — im Geltungsbereich sind
NIS2 folgt in Irland der üblichen Aufteilung essential/important über die bekannten Sektoren: Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trink- und Abwasser, digitale Infrastruktur, IKT-Servicemanagement, öffentliche Verwaltung, Raumfahrt sowie die "important"-Ebene mit Postdiensten, Abfallwirtschaft, Chemie, Lebensmitteln, Fertigung, digitalen Anbietern und Forschung.
Zwei Dinge führen zu Fehlern.
Erstens die Größe. Die Grundregel: Mittlere und große Einrichtungen in einem erfassten Sektor sind im Geltungsbereich — grob 50+ Beschäftigte oder €10 Mio.+ Umsatz — doch es gibt Sonderfälle, in denen kleine Einrichtungen aufgrund der Kritikalität ihrer Tätigkeit dennoch erfasst werden. Ein winziger DNS-Anbieter oder eine einzige nationale Registry bekommt keinen Freibrief.
Zweitens die Lieferkette. Selbst wenn Ihr Kunde selbst keine regulierte Einrichtung ist, wird eine irische essential oder important entity, die von ihm abhängt, NIS2-Pflichten über Verträge nach unten weitergeben. Genau dafür wurde die Lieferketten-Anforderung von Article 21 entworfen. Lesen Sie unseren Leitfaden zu Lieferantenverträgen dazu, wie diese Klauseln typischerweise ausfallen.
Gilt NIS2 für Ihre Organisation?
1Ist Ihre Organisation in einem wesentlichen oder wichtigen Sektor tätig (Energie, Verkehr, Gesundheit, digitale Infrastruktur usw.)?
Ja▼Nein▼2Beschäftigt Ihre Organisation 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro?
✗NIS2 gilt nicht unmittelbar für Ihre Organisation.
Ja▼Nein▼✓NIS2 gilt für Ihre Organisation als wesentliche oder wichtige Einrichtung.
3Ist Ihre Organisation ein Anbieter kritischer Infrastruktur oder ein qualifizierter Vertrauensdiensteanbieter?
Ja▼!NIS2 könnte für Ihre Organisation gelten — holen Sie rechtlichen Rat ein, um Ihren Status zu bestätigen.
1Ist Ihre Organisation in einem wesentlichen oder wichtigen Sektor tätig (Energie, Verkehr, Gesundheit, digitale Infrastruktur usw.)?
Ja ↓Nein →2Beschäftigt Ihre Organisation 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro?
Ja ↓Nein →3Ist Ihre Organisation ein Anbieter kritischer Infrastruktur oder ein qualifizierter Vertrauensdiensteanbieter?
Ja ↓Nein →✗NIS2 gilt nicht unmittelbar für Ihre Organisation.
✓NIS2 gilt für Ihre Organisation als wesentliche oder wichtige Einrichtung.
!NIS2 könnte für Ihre Organisation gelten — holen Sie rechtlichen Rat ein, um Ihren Status zu bestätigen.
GiltGilt möglicherweiseGilt nicht
Die Bußgelder sind real — und enden nicht beim Unternehmen
Das irische General Scheme spiegelt die NIS2-Obergrenzen. Essential entities drohen Verwaltungsbußgelder von bis zu €10 Millionen oder 2 % des weltweiten Konzernumsatzes, je nachdem, welcher Betrag höher ist. Important entities bis zu €7 Millionen oder 1,4 % des Umsatzes.
Die Zahl, die einen Vorstand aufhorchen lässt, ist der Umsatzmultiplikator, nicht die feste Obergrenze. Für eine mittelgroße Gruppe sind 2 % des weltweiten Umsatzes weit mehr als €10 Millionen — und berechnet wird über die gesamte Gruppe, nicht die irische Tochter allein.
Doch das Bußgeld ist nur die erste Schicht. NIS2 trifft auch das Management persönlich: Führungskräfte können für Aufsichtsversäumnisse haftbar gemacht werden, und Behörden können vorübergehende Verbote gegen Personen in Managementrollen bei essential entities verhängen. Hinzu kommen die operativen Folgen — Aussetzung von Genehmigungen, verpflichtende Nachbesserung, öffentliche Bekanntgabe von Verstößen. Reputationsschaden und verlorene Verträge kosten meist mehr als das Bußgeld selbst.
NIS2-Sanktionseskalation — Jenseits der Geldbuße
!Auslöser
Non-Compliance erkannt oder Vorfall tritt ein
Eine Aufsichtsbehörde identifiziert eine Compliance-Lücke oder eine Organisation erfüllt die NIS2-Anforderungen nicht
Behörden können verhängen▼Nicht-finanzielle Sanktionen1Anordnungen mit bindenden Fristen
2Verpflichtende Sicherheitsaudits auf eigene Kosten
3Öffentliche Bekanntmachung von Verstößen
4Bindende Anweisungen zu spezifischen Sicherheitsmaßnahmen
Eskaliert zu▼Betriebliche und persönliche Konsequenzen1Aussetzung von Zertifizierungen oder Betriebsgenehmigungen
2Vorübergehendes Verbot von Leitungsfunktionen für Personen
3Öffentliche Benennung verantwortlicher natürlicher Personen
AuslöserNicht-finanziellBetrieblich / persönlich
Deshalb ist die Vorstandshaftung keine Angsttaktik — sie steht im Rahmenwerk. Beraten Sie irische Einrichtungen oder deren Muttergesellschaften, muss das Gespräch darüber, wer persönlich verantwortlich ist, vor einem Vorfall stattfinden, nicht danach.
CyFun ist Irlands empfohlener Weg, nicht der einzige
Das NCSC hat CyberFundamentals als bevorzugten Weg benannt, um NIS2-Konformität nachzuweisen. CyFun ist ein gestuftes, standardbasiertes Rahmenwerk auf Basis des NIST Cybersecurity Framework, mit Reifegraden, die Sie je nach Risikoprofil einem Kunden zuordnen können. Es ist dasselbe Rahmenwerk, mit dem Belgien NIS2 konkret gemacht hat — es gibt also echte Praxiserfahrung.
Entscheidend: CyFun ist empfohlen, nicht vorgeschrieben. Das NCSC hat bestätigt, dass ISO 27001, IEC 62443, COBIT und NIST-Standards weiterhin akzeptable Nachweiswege bleiben. Betreibt Ihr Kunde bereits ein ISO 27001-zertifiziertes ISMS, werfen Sie das nicht weg — Sie richten es an den irischen Erwartungen aus und schließen die Deltas. Unsere NIS2 vs ISO 27001-Analyse zeigt, wo die Lücken meist sitzen.
Für die meisten MSPs ist der pragmatische Zug: ein Kontrollrahmenwerk wählen, jeden irischen Kunden daran ausrichten und keinen separaten Ansatz je Kunde pflegen. Konsistenz macht ein Portfolio auditierbar.
Was jetzt zu tun ist, bevor das Gesetz gilt
Auf die Verabschiedung zu warten ist der falsche Instinkt. Die Pflichten sind bekannt, die Erwartungen des NCSC sind veröffentlicht, und die Audit-Uhr startet an dem Tag, an dem das Gesetz in Kraft tritt — nicht an dem Tag, an dem Sie dazu kommen, es zu lesen.
Beginnen Sie mit drei Schritten. Erfassen Sie, welche Kunden und welche ihrer wichtigsten Lieferanten eine irische essential oder important entity berühren. Wählen Sie ein Kontrollrahmenwerk — CyFun oder ISO 27001 — und standardisieren Sie darauf. Führen Sie dann eine Gap-Analyse gegen die zehn Maßnahmen von Article 21 durch, damit Sie den tatsächlichen Abstand zur Konformität kennen, nicht den vermuteten. Unser Schritt-für-Schritt-Leitfaden zur Gap-Analyse führt durch die Reihenfolge.
Wollen Sie schnell wissen, wo ein bestimmter Kunde steht, schicken Sie ihn durch den NIS2 Quick Scan. Er dauert Minuten und liefert einen belastbaren Ausgangspunkt für das Compliance-Gespräch — eine weit bessere Position, als einem Kunden zu sagen, Sie hätten beide auf Dublin gewartet.
