Aller au contenu principal
Retour à l'aperçu

La loi NIS2 irlandaise arrive : ce que les fournisseurs de l'UE doivent savoir

Par NIS2Certify
NIS2IrlandeNCSCMSPconformitechaine-approvisionnement
La loi NIS2 irlandaise arrive : ce que les fournisseurs de l'UE doivent savoir

L'Irlande a manqué son échéance NIS2 de plus de 18 mois. Ce n'est pas une note de bas de page — c'est un problème dont vous héritez dès qu'un de vos clients dépend d'un fournisseur irlandais.

Si vous exploitez un MSP ou conseillez des organisations européennes en conformité, l'Irlande pèse plus lourd que sa taille ne le laisse penser. Elle héberge les sièges européens de Microsoft, Google, Meta, AWS et une large part de la capacité de datacenters du continent. Quand la loi NIS2 irlandaise entrera enfin en vigueur, une masse considérable d'infrastructures numériques critiques basculera d'un coup dans le périmètre — et les chaînes d'approvisionnement de vos clients la traversent de part en part.

Voici ce qui se passe réellement, et ce que vous devez faire avant l'adoption de la loi.

L'Irlande est la dernière grande économie de l'UE sans loi NIS2

NIS2 devait être transposée en droit national avant le 17 octobre 2024. L'Irlande a largement dépassé cette date. Mi-2026, le National Cyber Security Bill chemine encore dans l'Oireachtas, et l'Irlande fait partie des rares États membres — avec la France, le Luxembourg, les Pays-Bas et l'Espagne — où la législation de transposition n'est pas encore en vigueur.

Le retard est en partie politique. Les élections générales de 2024 ont interrompu le calendrier législatif, et le texte a glissé. Mais la Commission européenne a perdu patience. L'Irlande a reçu une mise en demeure, puis un avis motivé, et la Commission a signalé qu'elle saisirait la Cour de justice à l'encontre des États non transposants.

L'enseignement pratique : la direction est fixée. La loi passera. La seule question ouverte est le calendrier, et « on attend la loi » n'est pas une défense sur laquelle un client devrait s'appuyer.

Statut de Mise en Œuvre NIS2 par Pays (2025–2026)

Pleinement en vigueur

Belgique
Croatie
Hongrie
Lituanie
Lettonie
Italie
6 pays

Adopté — fin 2025

Allemagne
République tchèque
Finlande
3 pays

En cours — prévu 2026

Pays-Bas
France
Espagne
Pologne
Autriche
Suède
Irlande
7 pays

La loi fait du NCSC le régulateur cyber irlandais

Le National Cyber Security Centre (NCSC) irlandais devient, sous la nouvelle loi, la Lead Competent Authority et le Single Point of Contact. C'est une extension considérable pour un organisme jusqu'ici surtout consultatif.

Mais l'Irlande n'opte pas pour un modèle à régulateur unique. Des régulateurs sectoriels conservent le pouvoir d'exécution dans leur domaine — un opérateur énergétique répond à son régulateur sectoriel, un prestataire de santé à un autre, et ainsi de suite, le NCSC coordonnant l'ensemble. Pour les consultants, « qui supervise ce client » est donc une vraie question à plusieurs réponses possibles. Ne présumez pas que le NCSC est l'organe qui applique la loi pour chaque entité.

Le NCSC a déjà devancé la législation. En juin 2025, il a publié un projet de lignes directrices sur les Risk Management Measures et lancé la version irlandaise du cadre CyberFundamentals (CyFun). Même sans loi en vigueur, il existe donc un ensemble d'attentes documentées sur lesquelles aligner vos clients dès aujourd'hui.

Déterminez quels clients — et leurs fournisseurs — sont dans le périmètre

NIS2 suit en Irlande la répartition standard essential/important sur les secteurs habituels : énergie, transport, banque, infrastructures des marchés financiers, santé, eau potable et eaux usées, infrastructure numérique, gestion des services TIC, administration publique, espace, plus le niveau « important » couvrant services postaux, gestion des déchets, produits chimiques, alimentation, fabrication, fournisseurs numériques et recherche.

Deux points font trébucher.

D'abord, la taille. La règle par défaut : les entités moyennes et grandes d'un secteur couvert sont dans le périmètre — grosso modo 50+ salariés ou €10M+ de chiffre d'affaires — mais des cas dérogatoires font entrer de petites entités en raison de la criticité de leur activité. Un minuscule fournisseur DNS ou un registre national unique n'obtient pas de dispense.

Ensuite, la chaîne d'approvisionnement. Même si votre client n'est pas lui-même une entité régulée, une essential ou important entity irlandaise qui dépend de lui répercutera des obligations de niveau NIS2 par contrat. C'est exactement le rôle de l'exigence de chaîne d'approvisionnement de l'Article 21. Lisez notre guide des contrats fournisseurs pour voir comment ces clauses se concrétisent.

La NIS2 s'applique-t-elle à votre organisation ?

1

Votre organisation opère-t-elle dans un secteur essentiel ou important (énergie, transport, santé, infrastructure numérique, etc.) ?

OuiNon
2

Votre organisation compte-t-elle 50 employés ou plus, ou réalise-t-elle un chiffre d'affaires annuel supérieur à 10 millions d'euros ?

OuiNon
3

Votre organisation est-elle un opérateur d'infrastructure critique ou un prestataire de services de confiance qualifié ?

OuiNon

La NIS2 ne s'applique pas directement à votre organisation.

La NIS2 s'applique à votre organisation en tant qu'entité essentielle ou importante.

!

La NIS2 pourrait s'appliquer à votre organisation — consultez un juriste pour confirmer votre statut.

S'applique
Possiblement applicable
Ne s'applique pas

Les amendes sont réelles — et ne s'arrêtent pas à l'entreprise

Le General Scheme irlandais reflète les plafonds NIS2. Les essential entities encourent des amendes administratives allant jusqu'à €10 millions ou 2 % du chiffre d'affaires mondial du groupe, le montant le plus élevé étant retenu. Les important entities jusqu'à €7 millions ou 1,4 % du chiffre d'affaires.

Le chiffre qui réveille un conseil d'administration, c'est le multiplicateur de chiffre d'affaires, pas le plafond fixe. Pour un groupe de taille moyenne, 2 % du revenu mondial dépasse de loin €10 millions, et le calcul porte sur l'ensemble du groupe — pas sur la seule filiale irlandaise.

Mais l'amende n'est que la première couche. NIS2 atteint aussi les dirigeants personnellement : les cadres supérieurs peuvent être tenus responsables de défaillances de supervision, et les autorités peuvent imposer des interdictions temporaires aux personnes occupant des fonctions de direction dans des essential entities. S'y ajoutent les conséquences opérationnelles — suspension d'agréments, remédiation obligatoire, divulgation publique des violations. L'atteinte à la réputation et les contrats perdus coûtent en général plus que l'amende elle-même.

Escalade des sanctions NIS2 — Au-delà de l'amende

!

Déclencheur

Non-conformité détectée ou incident survenu

Une autorité de contrôle identifie une lacune de conformité ou une organisation ne respecte pas les exigences NIS2

Les autorités peuvent imposer
Sanctions non financières
1

Ordres de mise en conformité avec délais contraignants

2

Audits de sécurité obligatoires à vos frais

3

Divulgation publique des violations

4

Instructions contraignantes sur des mesures de sécurité spécifiques

Escalade vers
Conséquences opérationnelles et personnelles
1

Suspension de certifications ou licences d'exploitation

2

Interdiction temporaire de fonctions de direction pour les individus

3

Désignation publique des personnes physiques responsables

Déclencheur
Non financier
Opérationnel / personnel

Voilà pourquoi la responsabilité du conseil n'est pas un argument de peur — elle est inscrite dans le cadre. Si vous conseillez des entités irlandaises ou leurs maisons mères, la conversation sur qui est personnellement responsable doit avoir lieu avant un incident, pas après.

CyFun est la voie recommandée par l'Irlande, pas la seule

Le NCSC a désigné CyberFundamentals comme voie privilégiée pour démontrer l'alignement NIS2. CyFun est un cadre à paliers, fondé sur des normes et bâti sur le NIST Cybersecurity Framework, avec des niveaux de maturité que vous pouvez attribuer à un client selon son profil de risque. C'est le même cadre que la Belgique a utilisé pour rendre NIS2 concret : il existe donc un vrai précédent d'usage.

Point crucial : CyFun est recommandé, pas imposé. Le NCSC a confirmé qu'ISO 27001, IEC 62443, COBIT et les normes NIST restent des moyens acceptables de prouver la conformité. Si votre client exploite déjà un SMSI certifié ISO 27001, vous ne le jetez pas — vous l'alignez sur les attentes irlandaises et comblez les écarts. Notre analyse NIS2 vs ISO 27001 montre où se situent généralement les lacunes.

Pour la plupart des MSP, le geste pragmatique : choisir un cadre de contrôle, y aligner chaque client irlandais et éviter une approche différente par client. La cohérence rend un portefeuille auditable.

Que faire maintenant, avant l'entrée en vigueur

Attendre l'adoption est le mauvais réflexe. Les obligations sont connues, les attentes du NCSC sont publiées, et le compte à rebours de l'audit démarre le jour où la loi entre en vigueur — pas le jour où vous trouvez le temps de la lire.

Commencez par trois gestes. Cartographiez quels clients et lesquels de leurs fournisseurs clés touchent une essential ou important entity irlandaise. Choisissez un cadre de contrôle — CyFun ou ISO 27001 — et standardisez dessus. Menez ensuite une analyse d'écart face aux dix mesures de l'Article 21 pour connaître la distance réelle à la conformité, pas celle supposée. Notre guide pas à pas d'analyse d'écart déroule la séquence.

Pour savoir vite où en est un client précis, faites-le passer par le NIS2 Quick Scan. Il prend quelques minutes et fournit un point de départ défendable pour la conversation de conformité — une position bien meilleure que de dire à un client que vous attendiez tous les deux Dublin.

    La loi NIS2 irlandaise arrive : ce que les fournisseurs de l'UE doivent savoir — NIS2Certify