La legge NIS2 irlandese sta arrivando: cosa devono sapere i fornitori UE

L'Irlanda ha mancato la scadenza NIS2 di oltre 18 mesi. Non è una nota a piè di pagina: è un problema che erediti nel momento in cui uno dei tuoi clienti dipende da un fornitore irlandese.
Se gestisci un MSP o assisti organizzazioni europee sulla conformità, l'Irlanda pesa più di quanto suggerisca la sua dimensione. Ospita le sedi europee di Microsoft, Google, Meta, AWS e una quota enorme della capacità di data center del continente. Quando la legge NIS2 irlandese entrerà finalmente in vigore, una mole immensa di infrastruttura digitale critica rientrerà d'un colpo nell'ambito di applicazione, e le catene di fornitura dei tuoi clienti la attraversano da parte a parte.
Ecco cosa sta succedendo davvero, e cosa dovresti fare prima che la legge venga approvata.
L'Irlanda è l'ultima grande economia UE senza legge NIS2
NIS2 andava recepita nel diritto nazionale entro il 17 ottobre 2024. L'Irlanda ha ampiamente superato quella data. A metà 2026 il National Cyber Security Bill è ancora in cammino nell'Oireachtas, e l'Irlanda è uno dei pochi Stati membri — insieme a Francia, Lussemburgo, Paesi Bassi e Spagna — dove la normativa di recepimento non è ancora in vigore.
Il ritardo è in parte politico. Le elezioni generali del 2024 hanno interrotto il calendario legislativo e il testo è slittato. Ma la Commissione europea ha esaurito la pazienza. L'Irlanda ha ricevuto una lettera di costituzione in mora, poi un parere motivato, e la Commissione ha segnalato che deferirà alla Corte di giustizia gli Stati inadempienti.
La lezione pratica: la direzione è fissata. La legge passerà. L'unica incognita è la tempistica, e «stiamo aspettando la legge» non è una difesa su cui vuoi che un cliente faccia affidamento.
Stato di Attuazione NIS2 per Paese (2025–2026)
Pienamente in vigore
BelgioCroaziaUngheriaLituaniaLettoniaItalia6 paesiAdottata — fine 2025
GermaniaRepubblica CecaFinlandia3 paesiIn corso — previsto 2026
Paesi BassiFranciaSpagnaPoloniaAustriaSveziaIrlanda7 paesi
La legge trasforma il NCSC nel regolatore cyber irlandese
Il National Cyber Security Centre (NCSC) irlandese diventa, con la nuova legge, la Lead Competent Authority e il Single Point of Contact. È un'espansione significativa per un ente finora prevalentemente consultivo.
Ma l'Irlanda non adotta un modello a regolatore unico. I regolatori settoriali mantengono il potere di applicazione nel proprio ambito: un operatore energetico risponde al suo regolatore settoriale, un fornitore sanitario a un altro, e così via, con il NCSC che coordina al vertice. Per i consulenti, «chi vigila su questo cliente» è una domanda reale con più di una risposta possibile. Non dare per scontato che il NCSC sia l'organo che applica la legge a ogni entità.
Il NCSC ha già anticipato la legislazione. A giugno 2025 ha pubblicato una bozza di linee guida sulle Risk Management Measures e lanciato la versione irlandese del framework CyberFundamentals (CyFun). Quindi, anche senza una legge in vigore, esiste un insieme documentato di aspettative su cui iniziare ad allineare i clienti già oggi.
Stabilisci quali clienti — e i loro fornitori — rientrano nell'ambito
NIS2 in Irlanda segue la consueta divisione essential/important sui settori abituali: energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile e reflua, infrastruttura digitale, gestione dei servizi ICT, pubblica amministrazione, spazio, più il livello «important» che copre servizi postali, gestione dei rifiuti, chimica, alimentare, manifatturiero, fornitori digitali e ricerca.
Due cose fanno inciampare.
Primo, la dimensione. La regola predefinita è che le entità medie e grandi di un settore coperto rientrano nell'ambito — grosso modo 50+ dipendenti o €10M+ di fatturato — ma esistono casi in deroga in cui piccole entità rientrano comunque per la criticità di ciò che fanno. Un minuscolo fornitore DNS o un unico registro nazionale non ottiene esenzione.
Secondo, la catena di fornitura. Anche se il tuo cliente non è di per sé un'entità regolata, una essential o important entity irlandese che dipende da lui trasferirà obblighi di livello NIS2 attraverso i contratti. È esattamente ciò per cui il requisito sulla catena di fornitura dell'Article 21 è stato concepito. Leggi la nostra guida ai contratti con i fornitori su come tendono a concretizzarsi quelle clausole.
La NIS2 si Applica alla Tua Organizzazione?
1La tua organizzazione opera in un settore essenziale o importante (energia, trasporti, salute, infrastrutture digitali, ecc.)?
Sì▼No▼2La tua organizzazione ha 50 o più dipendenti oppure un fatturato annuo superiore a 10 milioni di euro?
✗La NIS2 non si applica direttamente alla tua organizzazione.
Sì▼No▼✓La NIS2 si applica alla tua organizzazione come entità essenziale o importante.
3La tua organizzazione è un fornitore di infrastrutture critiche o un prestatore di servizi fiduciari qualificati?
Sì▼!La NIS2 potrebbe applicarsi alla tua organizzazione — consulta un esperto legale per confermare il tuo status.
1La tua organizzazione opera in un settore essenziale o importante (energia, trasporti, salute, infrastrutture digitali, ecc.)?
Sì ↓No →2La tua organizzazione ha 50 o più dipendenti oppure un fatturato annuo superiore a 10 milioni di euro?
Sì ↓No →3La tua organizzazione è un fornitore di infrastrutture critiche o un prestatore di servizi fiduciari qualificati?
Sì ↓No →✗La NIS2 non si applica direttamente alla tua organizzazione.
✓La NIS2 si applica alla tua organizzazione come entità essenziale o importante.
!La NIS2 potrebbe applicarsi alla tua organizzazione — consulta un esperto legale per confermare il tuo status.
Si applicaPossibile applicazioneNon si applica
Le sanzioni sono reali — e non si fermano all'azienda
Il General Scheme irlandese rispecchia i massimali NIS2. Le essential entities rischiano sanzioni amministrative fino a €10 milioni o il 2% del fatturato mondiale del gruppo, a seconda di quale sia più alto. Le important entities fino a €7 milioni o l'1,4% del fatturato.
Il numero che sveglia un consiglio è il moltiplicatore sul fatturato, non il tetto fisso. Per un gruppo di medie dimensioni, il 2% dei ricavi globali è ben oltre €10 milioni, ed è calcolato sull'intero gruppo, non sulla sola controllata irlandese.
Ma la sanzione è solo il primo strato. NIS2 raggiunge anche il management personalmente: i dirigenti possono essere ritenuti responsabili per carenze di supervisione, e le autorità possono imporre divieti temporanei a chi ricopre ruoli dirigenziali nelle essential entities. A ciò si aggiungono le conseguenze operative: sospensione delle autorizzazioni, remediation obbligatoria, divulgazione pubblica delle violazioni. Il danno reputazionale e i contratti persi costano di solito più della sanzione stessa.
Escalation delle sanzioni NIS2 — Oltre la multa
!Evento scatenante
Non conformità rilevata o incidente verificatosi
Un'autorità di vigilanza identifica una lacuna di conformità o un'organizzazione non soddisfa i requisiti NIS2
Le autorità possono imporre▼Sanzioni non finanziarie1Ordini di conformità con scadenze vincolanti
2Audit di sicurezza obbligatori a vostre spese
3Divulgazione pubblica delle violazioni
4Istruzioni vincolanti su misure di sicurezza specifiche
Scala verso▼Conseguenze operative e personali1Sospensione di certificazioni o licenze operative
2Divieto temporaneo di funzioni dirigenziali per individui
3Denominazione pubblica delle persone fisiche responsabili
Evento scatenanteNon finanziarioOperativo / personale
Ecco perché la responsabilità del consiglio non è una tattica intimidatoria: è scritta nel framework. Se assisti entità irlandesi o le loro capogruppo, la conversazione su chi è personalmente responsabile deve avvenire prima di un incidente, non dopo.
CyFun è la via raccomandata dall'Irlanda, non l'unica
Il NCSC ha indicato CyberFundamentals come via preferita per dimostrare l'allineamento a NIS2. CyFun è un framework a livelli, basato su standard e costruito sul NIST Cybersecurity Framework, con livelli di maturità che puoi assegnare a un cliente in base al suo profilo di rischio. È lo stesso framework con cui il Belgio ha reso concreta NIS2, quindi c'è un precedente reale su come funziona nella pratica.
Cruciale: CyFun è raccomandato, non obbligatorio. Il NCSC ha confermato che ISO 27001, IEC 62443, COBIT e gli standard NIST restano modalità accettabili per evidenziare la conformità. Se il tuo cliente gestisce già un SGSI certificato ISO 27001, non lo butti via: lo mappi sulle aspettative irlandesi e colmi i delta. La nostra analisi NIS2 vs ISO 27001 mostra dove si trovano di solito le lacune.
Per la maggior parte degli MSP, la mossa pragmatica è scegliere un framework di controllo, allinearvi ogni cliente irlandese ed evitare di mantenere un approccio diverso per cliente. La coerenza è ciò che rende un portafoglio verificabile.
Cosa fare ora, prima che la legge sia in vigore
Aspettare l'approvazione è l'istinto sbagliato. Gli obblighi sono noti, le aspettative del NCSC sono pubblicate, e il conto alla rovescia dell'audit parte il giorno in cui la legge entra in vigore, non il giorno in cui trovi il tempo di leggerla.
Inizia con tre mosse. Mappa quali clienti e quali dei loro fornitori chiave toccano una essential o important entity irlandese. Scegli un framework di controllo — CyFun o ISO 27001 — e standardizzati su di esso. Poi esegui una gap analysis rispetto alle dieci misure dell'Article 21, così da conoscere la distanza reale dalla conformità, non quella presunta. La nostra guida passo passo alla gap analysis percorre la sequenza.
Se vuoi capire velocemente dove si trova un cliente specifico, fallo passare dal NIS2 Quick Scan. Richiede pochi minuti e offre un punto di partenza difendibile per la conversazione sulla conformità: una posizione molto migliore che dire a un cliente che stavate entrambi aspettando Dublino.
