Vai al contenuto principale
Torna alla panoramica

La legge NIS2 irlandese sta arrivando: cosa devono sapere i fornitori UE

Di NIS2Certify
NIS2IrlandaNCSCMSPconformitacatena-di-fornitura
La legge NIS2 irlandese sta arrivando: cosa devono sapere i fornitori UE

L'Irlanda ha mancato la scadenza NIS2 di oltre 18 mesi. Non è una nota a piè di pagina: è un problema che erediti nel momento in cui uno dei tuoi clienti dipende da un fornitore irlandese.

Se gestisci un MSP o assisti organizzazioni europee sulla conformità, l'Irlanda pesa più di quanto suggerisca la sua dimensione. Ospita le sedi europee di Microsoft, Google, Meta, AWS e una quota enorme della capacità di data center del continente. Quando la legge NIS2 irlandese entrerà finalmente in vigore, una mole immensa di infrastruttura digitale critica rientrerà d'un colpo nell'ambito di applicazione, e le catene di fornitura dei tuoi clienti la attraversano da parte a parte.

Ecco cosa sta succedendo davvero, e cosa dovresti fare prima che la legge venga approvata.

L'Irlanda è l'ultima grande economia UE senza legge NIS2

NIS2 andava recepita nel diritto nazionale entro il 17 ottobre 2024. L'Irlanda ha ampiamente superato quella data. A metà 2026 il National Cyber Security Bill è ancora in cammino nell'Oireachtas, e l'Irlanda è uno dei pochi Stati membri — insieme a Francia, Lussemburgo, Paesi Bassi e Spagna — dove la normativa di recepimento non è ancora in vigore.

Il ritardo è in parte politico. Le elezioni generali del 2024 hanno interrotto il calendario legislativo e il testo è slittato. Ma la Commissione europea ha esaurito la pazienza. L'Irlanda ha ricevuto una lettera di costituzione in mora, poi un parere motivato, e la Commissione ha segnalato che deferirà alla Corte di giustizia gli Stati inadempienti.

La lezione pratica: la direzione è fissata. La legge passerà. L'unica incognita è la tempistica, e «stiamo aspettando la legge» non è una difesa su cui vuoi che un cliente faccia affidamento.

Stato di Attuazione NIS2 per Paese (2025–2026)

Pienamente in vigore

Belgio
Croazia
Ungheria
Lituania
Lettonia
Italia
6 paesi

Adottata — fine 2025

Germania
Repubblica Ceca
Finlandia
3 paesi

In corso — previsto 2026

Paesi Bassi
Francia
Spagna
Polonia
Austria
Svezia
Irlanda
7 paesi

La legge trasforma il NCSC nel regolatore cyber irlandese

Il National Cyber Security Centre (NCSC) irlandese diventa, con la nuova legge, la Lead Competent Authority e il Single Point of Contact. È un'espansione significativa per un ente finora prevalentemente consultivo.

Ma l'Irlanda non adotta un modello a regolatore unico. I regolatori settoriali mantengono il potere di applicazione nel proprio ambito: un operatore energetico risponde al suo regolatore settoriale, un fornitore sanitario a un altro, e così via, con il NCSC che coordina al vertice. Per i consulenti, «chi vigila su questo cliente» è una domanda reale con più di una risposta possibile. Non dare per scontato che il NCSC sia l'organo che applica la legge a ogni entità.

Il NCSC ha già anticipato la legislazione. A giugno 2025 ha pubblicato una bozza di linee guida sulle Risk Management Measures e lanciato la versione irlandese del framework CyberFundamentals (CyFun). Quindi, anche senza una legge in vigore, esiste un insieme documentato di aspettative su cui iniziare ad allineare i clienti già oggi.

Stabilisci quali clienti — e i loro fornitori — rientrano nell'ambito

NIS2 in Irlanda segue la consueta divisione essential/important sui settori abituali: energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile e reflua, infrastruttura digitale, gestione dei servizi ICT, pubblica amministrazione, spazio, più il livello «important» che copre servizi postali, gestione dei rifiuti, chimica, alimentare, manifatturiero, fornitori digitali e ricerca.

Due cose fanno inciampare.

Primo, la dimensione. La regola predefinita è che le entità medie e grandi di un settore coperto rientrano nell'ambito — grosso modo 50+ dipendenti o €10M+ di fatturato — ma esistono casi in deroga in cui piccole entità rientrano comunque per la criticità di ciò che fanno. Un minuscolo fornitore DNS o un unico registro nazionale non ottiene esenzione.

Secondo, la catena di fornitura. Anche se il tuo cliente non è di per sé un'entità regolata, una essential o important entity irlandese che dipende da lui trasferirà obblighi di livello NIS2 attraverso i contratti. È esattamente ciò per cui il requisito sulla catena di fornitura dell'Article 21 è stato concepito. Leggi la nostra guida ai contratti con i fornitori su come tendono a concretizzarsi quelle clausole.

La NIS2 si Applica alla Tua Organizzazione?

1

La tua organizzazione opera in un settore essenziale o importante (energia, trasporti, salute, infrastrutture digitali, ecc.)?

No
2

La tua organizzazione ha 50 o più dipendenti oppure un fatturato annuo superiore a 10 milioni di euro?

No
3

La tua organizzazione è un fornitore di infrastrutture critiche o un prestatore di servizi fiduciari qualificati?

No

La NIS2 non si applica direttamente alla tua organizzazione.

La NIS2 si applica alla tua organizzazione come entità essenziale o importante.

!

La NIS2 potrebbe applicarsi alla tua organizzazione — consulta un esperto legale per confermare il tuo status.

Si applica
Possibile applicazione
Non si applica

Le sanzioni sono reali — e non si fermano all'azienda

Il General Scheme irlandese rispecchia i massimali NIS2. Le essential entities rischiano sanzioni amministrative fino a €10 milioni o il 2% del fatturato mondiale del gruppo, a seconda di quale sia più alto. Le important entities fino a €7 milioni o l'1,4% del fatturato.

Il numero che sveglia un consiglio è il moltiplicatore sul fatturato, non il tetto fisso. Per un gruppo di medie dimensioni, il 2% dei ricavi globali è ben oltre €10 milioni, ed è calcolato sull'intero gruppo, non sulla sola controllata irlandese.

Ma la sanzione è solo il primo strato. NIS2 raggiunge anche il management personalmente: i dirigenti possono essere ritenuti responsabili per carenze di supervisione, e le autorità possono imporre divieti temporanei a chi ricopre ruoli dirigenziali nelle essential entities. A ciò si aggiungono le conseguenze operative: sospensione delle autorizzazioni, remediation obbligatoria, divulgazione pubblica delle violazioni. Il danno reputazionale e i contratti persi costano di solito più della sanzione stessa.

Escalation delle sanzioni NIS2 — Oltre la multa

!

Evento scatenante

Non conformità rilevata o incidente verificatosi

Un'autorità di vigilanza identifica una lacuna di conformità o un'organizzazione non soddisfa i requisiti NIS2

Le autorità possono imporre
Sanzioni non finanziarie
1

Ordini di conformità con scadenze vincolanti

2

Audit di sicurezza obbligatori a vostre spese

3

Divulgazione pubblica delle violazioni

4

Istruzioni vincolanti su misure di sicurezza specifiche

Scala verso
Conseguenze operative e personali
1

Sospensione di certificazioni o licenze operative

2

Divieto temporaneo di funzioni dirigenziali per individui

3

Denominazione pubblica delle persone fisiche responsabili

Evento scatenante
Non finanziario
Operativo / personale

Ecco perché la responsabilità del consiglio non è una tattica intimidatoria: è scritta nel framework. Se assisti entità irlandesi o le loro capogruppo, la conversazione su chi è personalmente responsabile deve avvenire prima di un incidente, non dopo.

CyFun è la via raccomandata dall'Irlanda, non l'unica

Il NCSC ha indicato CyberFundamentals come via preferita per dimostrare l'allineamento a NIS2. CyFun è un framework a livelli, basato su standard e costruito sul NIST Cybersecurity Framework, con livelli di maturità che puoi assegnare a un cliente in base al suo profilo di rischio. È lo stesso framework con cui il Belgio ha reso concreta NIS2, quindi c'è un precedente reale su come funziona nella pratica.

Cruciale: CyFun è raccomandato, non obbligatorio. Il NCSC ha confermato che ISO 27001, IEC 62443, COBIT e gli standard NIST restano modalità accettabili per evidenziare la conformità. Se il tuo cliente gestisce già un SGSI certificato ISO 27001, non lo butti via: lo mappi sulle aspettative irlandesi e colmi i delta. La nostra analisi NIS2 vs ISO 27001 mostra dove si trovano di solito le lacune.

Per la maggior parte degli MSP, la mossa pragmatica è scegliere un framework di controllo, allinearvi ogni cliente irlandese ed evitare di mantenere un approccio diverso per cliente. La coerenza è ciò che rende un portafoglio verificabile.

Cosa fare ora, prima che la legge sia in vigore

Aspettare l'approvazione è l'istinto sbagliato. Gli obblighi sono noti, le aspettative del NCSC sono pubblicate, e il conto alla rovescia dell'audit parte il giorno in cui la legge entra in vigore, non il giorno in cui trovi il tempo di leggerla.

Inizia con tre mosse. Mappa quali clienti e quali dei loro fornitori chiave toccano una essential o important entity irlandese. Scegli un framework di controllo — CyFun o ISO 27001 — e standardizzati su di esso. Poi esegui una gap analysis rispetto alle dieci misure dell'Article 21, così da conoscere la distanza reale dalla conformità, non quella presunta. La nostra guida passo passo alla gap analysis percorre la sequenza.

Se vuoi capire velocemente dove si trova un cliente specifico, fallo passare dal NIS2 Quick Scan. Richiede pochi minuti e offre un punto di partenza difendibile per la conversazione sulla conformità: una posizione molto migliore che dire a un cliente che stavate entrambi aspettando Dublino.

    La legge NIS2 irlandese sta arrivando: cosa devono sapere i fornitori UE — NIS2Certify