La ley NIS2 de Irlanda llega: lo que los proveedores de la UE deben saber

Irlanda incumplió su plazo de NIS2 por más de 18 meses. No es una nota al pie: es un problema que heredas en cuanto uno de tus clientes depende de un proveedor irlandés.
Si gestionas un MSP o asesoras a organizaciones europeas en cumplimiento, Irlanda pesa más de lo que sugiere su tamaño. Alberga las sedes europeas de Microsoft, Google, Meta, AWS y una parte enorme de la capacidad de centros de datos del continente. Cuando la ley NIS2 irlandesa entre por fin en vigor, una cantidad ingente de infraestructura digital crítica entrará de golpe en el ámbito de aplicación, y las cadenas de suministro de tus clientes la atraviesan de lado a lado.
Esto es lo que está pasando realmente y lo que deberías hacer antes de que se apruebe la ley.
Irlanda es la última gran economía de la UE sin ley NIS2
NIS2 debía transponerse al derecho nacional antes del 17 de octubre de 2024. Irlanda superó con creces esa fecha. A mediados de 2026, el National Cyber Security Bill sigue tramitándose en el Oireachtas, e Irlanda es uno de los pocos Estados miembros —junto con Francia, Luxemburgo, Países Bajos y España— donde la legislación de transposición aún no está en vigor.
El retraso es en parte político. Las elecciones generales de 2024 interrumpieron el calendario legislativo y el texto se demoró. Pero la Comisión Europea ha perdido la paciencia. Irlanda recibió una carta de emplazamiento, después un dictamen motivado, y la Comisión ha señalado que llevará ante el Tribunal de Justicia a los Estados que no transpongan.
La conclusión práctica: la dirección está fijada. La ley se aprobará. La única incógnita es el calendario, y «estamos esperando la ley» no es una defensa en la que quieras que se apoye un cliente.
Estado de Implementación NIS2 por País (2025–2026)
Plenamente en vigor
BélgicaCroaciaHungríaLituaniaLetoniaItalia6 paísesAdoptada — finales 2025
AlemaniaRepública ChecaFinlandia3 paísesEn proceso — previsto 2026
Países BajosFranciaEspañaPoloniaAustriaSueciaIrlanda7 países
La ley convierte al NCSC en el regulador cibernético irlandés
El National Cyber Security Centre (NCSC) de Irlanda se convierte, con la nueva ley, en la Lead Competent Authority y el Single Point of Contact. Es una ampliación notable para un organismo hasta ahora sobre todo consultivo.
Pero Irlanda no opta por un modelo de regulador único. Los reguladores sectoriales conservan la potestad de ejecución en su ámbito: un operador energético responde ante su regulador sectorial, un proveedor sanitario ante otro, y así sucesivamente, con el NCSC coordinando por encima. Para los consultores, «quién supervisa a este cliente» es una pregunta real con más de una respuesta posible. No des por hecho que el NCSC es el órgano que aplica la ley a cada entidad.
El NCSC ya se ha adelantado a la legislación. En junio de 2025 publicó un borrador de directrices sobre Risk Management Measures y lanzó la versión irlandesa del marco CyberFundamentals (CyFun). Así que, incluso sin ley en vigor, hay un conjunto documentado de expectativas con el que puedes empezar a alinear clientes hoy mismo.
Determina qué clientes —y sus proveedores— están en el ámbito
NIS2 en Irlanda sigue la división estándar essential/important en los sectores habituales: energía, transporte, banca, infraestructuras de los mercados financieros, salud, agua potable y residual, infraestructura digital, gestión de servicios TIC, administración pública, espacio, más el nivel «important» que cubre servicios postales, gestión de residuos, químicos, alimentación, fabricación, proveedores digitales e investigación.
Dos cosas hacen tropezar.
Primero, el tamaño. La regla por defecto es que las entidades medianas y grandes de un sector cubierto están en el ámbito —a grandes rasgos 50+ empleados o €10M+ de facturación—, pero hay casos de excepción en los que pequeñas entidades encajan igualmente por la criticidad de lo que hacen. Un pequeño proveedor de DNS o un único registro nacional no queda exento.
Segundo, la cadena de suministro. Aunque tu cliente no sea en sí una entidad regulada, una essential o important entity irlandesa que dependa de él trasladará obligaciones de nivel NIS2 a través de los contratos. Eso es exactamente lo que el requisito de cadena de suministro del Article 21 fue diseñado para hacer. Lee nuestra guía de contratos con proveedores sobre cómo suelen materializarse esas cláusulas.
¿Se aplica la NIS2 a su organización?
1¿Opera su organización en un sector esencial o importante (energía, transporte, salud, infraestructura digital, etc.)?
Sí▼No▼2¿Tiene su organización 50 o más empleados, o un volumen de negocio anual superior a 10 millones de euros?
✗La NIS2 no se aplica directamente a su organización.
Sí▼No▼✓La NIS2 se aplica a su organización como entidad esencial o importante.
3¿Es su organización un operador de infraestructura crítica o un prestador cualificado de servicios de confianza?
Sí▼!La NIS2 podría aplicarse a su organización — solicite asesoramiento jurídico para confirmar su estatus.
1¿Opera su organización en un sector esencial o importante (energía, transporte, salud, infraestructura digital, etc.)?
Sí ↓No →2¿Tiene su organización 50 o más empleados, o un volumen de negocio anual superior a 10 millones de euros?
Sí ↓No →3¿Es su organización un operador de infraestructura crítica o un prestador cualificado de servicios de confianza?
Sí ↓No →✗La NIS2 no se aplica directamente a su organización.
✓La NIS2 se aplica a su organización como entidad esencial o importante.
!La NIS2 podría aplicarse a su organización — solicite asesoramiento jurídico para confirmar su estatus.
Se aplicaPosiblemente aplicaNo se aplica
Las multas son reales — y no se detienen en la empresa
El General Scheme irlandés refleja los topes de NIS2. Las essential entities se enfrentan a multas administrativas de hasta €10 millones o el 2 % de la facturación mundial del grupo, la cifra que sea mayor. Las important entities hasta €7 millones o el 1,4 % de la facturación.
La cifra que despierta a un consejo es el multiplicador sobre la facturación, no el tope fijo. Para un grupo mediano, el 2 % de los ingresos globales supera con mucho los €10 millones, y se calcula sobre todo el grupo, no sobre la filial irlandesa aislada.
Pero la multa es solo la primera capa. NIS2 también alcanza a la dirección personalmente: los altos cargos pueden ser responsabilizados por fallos de supervisión, y las autoridades pueden imponer prohibiciones temporales a quienes ocupen funciones directivas en essential entities. A ello se suman las consecuencias operativas: suspensión de autorizaciones, remediación obligatoria, divulgación pública de las brechas. El daño reputacional y los contratos perdidos suelen costar más que la propia sanción.
Escalada de sanciones NIS2 — Más allá de la multa
!Desencadenante
Incumplimiento detectado o incidente ocurrido
Una autoridad supervisora identifica una brecha de cumplimiento o una organización no cumple los requisitos NIS2
Las autoridades pueden imponer▼Sanciones no financieras1Órdenes de cumplimiento con plazos vinculantes
2Auditorías de seguridad obligatorias a tu cargo
3Divulgación pública de infracciones
4Instrucciones vinculantes sobre medidas de seguridad específicas
Escala hacia▼Consecuencias operativas y personales1Suspensión de certificaciones o licencias de operación
2Prohibición temporal de funciones directivas para individuos
3Identificación pública de personas físicas responsables
DesencadenanteNo financieroOperativo / personal
Por eso la responsabilidad del consejo no es una táctica de miedo: está escrita en el marco. Si asesoras a entidades irlandesas o a sus matrices, la conversación sobre quién es personalmente responsable debe darse antes de un incidente, no después.
CyFun es la vía recomendada por Irlanda, no la única
El NCSC ha designado CyberFundamentals como la vía preferida para demostrar el alineamiento con NIS2. CyFun es un marco escalonado, basado en normas y construido sobre el NIST Cybersecurity Framework, con niveles de madurez que puedes asignar a un cliente según su perfil de riesgo. Es el mismo marco que Bélgica usó para concretar NIS2, así que hay precedente real de cómo funciona en la práctica.
Clave: CyFun es recomendado, no obligatorio. El NCSC ha confirmado que ISO 27001, IEC 62443, COBIT y las normas NIST siguen siendo formas aceptables de evidenciar el cumplimiento. Si tu cliente ya opera un SGSI certificado ISO 27001, no lo tiras: lo mapeas a las expectativas irlandesas y cierras las diferencias. Nuestro análisis NIS2 vs ISO 27001 muestra dónde suelen estar los huecos.
Para la mayoría de MSP, el movimiento pragmático es elegir un marco de control, alinear a cada cliente irlandés con él y evitar mantener un enfoque distinto por cliente. La coherencia es lo que hace auditable una cartera.
Qué hacer ahora, antes de que la ley esté vigente
Esperar a que se apruebe la ley es el instinto equivocado. Las obligaciones se conocen, las expectativas del NCSC están publicadas, y el reloj de la auditoría arranca el día en que la ley entra en vigor, no el día en que encuentras tiempo para leerla.
Empieza con tres movimientos. Mapea qué clientes y cuáles de sus proveedores clave tocan una essential o important entity irlandesa. Elige un marco de control —CyFun o ISO 27001— y estandarízate en él. Después ejecuta un análisis de brechas frente a las diez medidas del Article 21 para conocer la distancia real al cumplimiento, no la supuesta. Nuestra guía paso a paso de análisis de brechas recorre la secuencia.
Si quieres una lectura rápida de dónde está un cliente concreto, pásalo por el NIS2 Quick Scan. Lleva minutos y da un punto de partida defendible para la conversación de cumplimiento, una posición mucho mejor que decirle a un cliente que ambos estabais esperando a Dublín.
