Ga naar hoofdcontent
Terug naar overzicht

De NIS2-wet van Ierland komt eraan: wat EU-leveranciers moeten weten

Door NIS2Certify
NIS2IerlandNCSCMSPcompliancetoeleveringsketen
De NIS2-wet van Ierland komt eraan: wat EU-leveranciers moeten weten

Ierland liep zijn NIS2-deadline met meer dan 18 maanden mis. Dat is geen voetnoot — het is een probleem dat je erft zodra een van je klanten afhankelijk is van een Ierse leverancier.

Als je een MSP runt of Europese organisaties adviseert over compliance, telt Ierland zwaarder dan de omvang doet vermoeden. Het herbergt de EU-hoofdkantoren van Microsoft, Google, Meta, AWS en een groot deel van de datacentercapaciteit van het continent. Wanneer de Ierse NIS2-wet eindelijk landt, komt in één klap een enorme hoeveelheid kritieke digitale infrastructuur binnen scope — en de toeleveringsketens van je klanten lopen er dwars doorheen.

Dit is wat er werkelijk gebeurt, en wat je moet doen voordat de wet wordt aangenomen.

Ierland is de laatste grote EU-economie zonder NIS2-wet

NIS2 moest uiterlijk 17 oktober 2024 in nationale wetgeving zijn omgezet. Ierland haalde die datum niet. Medio 2026 is de National Cyber Security Bill nog steeds op weg door de Oireachtas, en Ierland is een van de weinige lidstaten — naast Frankrijk, Luxemburg, Nederland en Spanje — waar de omzettingswetgeving nog niet van kracht is.

De vertraging is deels politiek. De algemene verkiezingen van 2024 verstoorden de wetgevingsagenda en de wet schoof op. Maar de Europese Commissie heeft haar geduld verloren. Ierland kreeg een formele aanmaning, daarna een met redenen omkleed advies, en de Commissie heeft aangegeven niet-omzettende staten naar het Hof van Justitie te verwijzen.

De praktische conclusie: de richting ligt vast. De wet komt er. De enige open vraag is timing, en "we wachten op de wet" is geen verweer waar je een klant op wilt laten leunen.

NIS2 Implementatiestatus per Land (2025–2026)

Volledig van kracht

België
Kroatië
Hongarije
Litouwen
Letland
Italië
6 landen

Aangenomen — eind 2025

Duitsland
Tsjechië
Finland
3 landen

In uitvoering — verwacht 2026

Nederland
Frankrijk
Spanje
Polen
Oostenrijk
Zweden
Ierland
7 landen

De wet maakt van het NCSC de Ierse cybertoezichthouder

Het Ierse National Cyber Security Centre (NCSC) wordt onder de nieuwe wet de Lead Competent Authority en het Single Point of Contact. Dat is een forse uitbreiding van een orgaan dat tot nu toe vooral adviserend was.

Maar Ierland kiest niet voor één toezichthouder. Sectorspecifieke toezichthouders behouden de handhavingsbevoegdheid binnen hun domein — een energiebedrijf verantwoordt zich bij zijn sectortoezichthouder, een zorgaanbieder bij een andere, enzovoort, met het NCSC dat coördineert. Voor consultants betekent dat "wie houdt toezicht op deze klant" een reële vraag is met meer dan één mogelijk antwoord. Ga er niet vanuit dat het NCSC voor elke entiteit het handhavende orgaan is.

Het NCSC liep al vooruit op de wetgeving. In juni 2025 publiceerde het conceptrichtsnoeren voor Risk Management Measures en lanceerde het de Ierse versie van het CyberFundamentals (CyFun)-raamwerk. Zelfs zonder wet van kracht is er dus een gedocumenteerde set verwachtingen waarop je klanten vandaag al kunt afstemmen.

Bepaal welke klanten — en hun leveranciers — binnen scope vallen

NIS2 in Ierland volgt de standaardindeling essential/important over de gebruikelijke sectoren: energie, transport, bankwezen, financiëlemarktinfrastructuur, gezondheid, drink- en afvalwater, digitale infrastructuur, ICT-servicemanagement, openbaar bestuur, ruimtevaart, plus de "important"-laag met postdiensten, afvalbeheer, chemie, voedsel, productie, digitale aanbieders en onderzoek.

Twee dingen leiden tot fouten.

Ten eerste omvang. De hoofdregel is dat middelgrote en grote entiteiten in een gedekte sector binnen scope vallen — grofweg 50+ medewerkers of €10M+ omzet — maar er zijn uitzonderingen waarbij kleine entiteiten toch kwalificeren vanwege de kritikaliteit van wat ze doen. Een kleine DNS-aanbieder of een enige nationale registry krijgt geen vrijstelling.

Ten tweede toeleveringsketen. Zelfs als je klant zelf geen gereguleerde entiteit is, zal een Ierse essential of important entity die van hem afhankelijk is NIS2-verplichtingen via contracten doorschuiven. Dat is precies waarvoor de toeleveringsketen-eis van Article 21 is ontworpen. Lees onze gids over leverancierscontracten voor hoe die clausules doorgaans uitpakken.

Is NIS2 van toepassing op uw organisatie?

1

Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?

JaNee
2

Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?

JaNee
3

Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?

JaNee

NIS2 is niet rechtstreeks van toepassing op uw organisatie.

NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.

!

NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.

Van toepassing
Mogelijk van toepassing
Niet van toepassing

De boetes zijn echt — en stoppen niet bij het bedrijf

Het Ierse General Scheme spiegelt de NIS2-plafonds. Essential entities riskeren administratieve boetes tot €10 miljoen of 2% van de wereldwijde groepsomzet, afhankelijk van welk bedrag hoger is. Important entities tot €7 miljoen of 1,4% van de omzet.

Het getal dat een bestuur wakker schudt is de omzetmultiplier, niet het vaste plafond. Voor een middelgrote groep is 2% van de wereldwijde omzet een veel groter bedrag dan €10 miljoen, en het wordt berekend over de hele groep — niet over de Ierse dochter afzonderlijk.

Maar de boete is slechts de eerste laag. NIS2 raakt ook het management persoonlijk: leidinggevenden kunnen aansprakelijk worden gesteld voor tekortschietend toezicht, en toezichthouders kunnen tijdelijke verboden opleggen aan personen met een managementrol in essential entities. Daarbovenop komen de operationele gevolgen — intrekking van vergunningen, verplichte herstelmaatregelen, openbaarmaking van inbreuken. De reputatieschade en de verloren contracten kosten meestal meer dan de boete zelf.

NIS2-sanctie-escalatie — Voorbij de boete

!

Aanleiding

Non-compliance gedetecteerd of incident treedt op

Een toezichthouder identificeert een compliance-hiaat of een organisatie voldoet niet aan de NIS2-vereisten

Toezichthouders kunnen opleggen
Niet-financiële sancties
1

Nalevingsbevelen met bindende deadlines

2

Verplichte security-audits op eigen kosten

3

Publieke bekendmaking van overtredingen

4

Bindende instructies over specifieke beveiligingsmaatregelen

Escaleert naar
Operationele en persoonlijke gevolgen
1

Opschorting van certificeringen of vergunningen

2

Tijdelijk verbod op bestuursfuncties voor personen

3

Publieke benoeming van verantwoordelijke natuurlijke personen

Aanleiding
Niet-financieel
Operationeel / persoonlijk

Daarom is bestuurdersaansprakelijkheid geen angsttactiek — het staat in het raamwerk geschreven. Adviseer je Ierse entiteiten of hun moederconcerns, dan moet het gesprek over wie persoonlijk verantwoordelijk is vóór een incident plaatsvinden, niet erna.

CyFun is Ierlands aanbevolen route, niet de enige

Het NCSC heeft CyberFundamentals aangewezen als voorkeursroute om NIS2-afstemming aan te tonen. CyFun is een gelaagd, standaardgebaseerd raamwerk gebouwd op het NIST Cybersecurity Framework, met volwassenheidsniveaus die je op basis van het risicoprofiel aan een klant kunt koppelen. Het is hetzelfde raamwerk waarmee België NIS2 concreet heeft gemaakt, dus er is echt precedent voor hoe het in de praktijk werkt.

Cruciaal: CyFun is aanbevolen, niet verplicht. Het NCSC heeft bevestigd dat ISO 27001, IEC 62443, COBIT en NIST-standaarden aanvaardbare manieren blijven om compliance aan te tonen. Draait je klant al een ISO 27001-gecertificeerd ISMS, dan gooi je dat niet weg — je brengt het in lijn met de Ierse verwachtingen en dicht de deltas. Onze NIS2 vs ISO 27001-analyse laat zien waar de gaten meestal zitten.

Voor de meeste MSP's is de pragmatische zet: kies één control-raamwerk, stem elke Ierse klant daarop af en vermijd een aparte aanpak per klant. Consistentie maakt een portfolio auditeerbaar.

Wat je nu moet doen, vóór de wet live is

Wachten tot de wet wordt aangenomen is het verkeerde instinct. De verplichtingen zijn bekend, de verwachtingen van het NCSC zijn gepubliceerd, en de auditklok start op de dag dat de wet in werking treedt — niet op de dag dat je eraan toekomt hem te lezen.

Begin met drie stappen. Breng in kaart welke klanten en welke van hun belangrijkste leveranciers een Ierse essential of important entity raken. Kies een control-raamwerk — CyFun of ISO 27001 — en standaardiseer erop. Voer daarna een gap-analyse uit tegen de tien maatregelen van Article 21, zodat je de werkelijke afstand tot compliant kent, niet de aangenomen. Onze stapsgewijze gap-analysegids loopt de volgorde door.

Wil je snel weten waar een specifieke klant staat, laat hem dan door de NIS2 Quick Scan lopen. Het duurt enkele minuten en geeft je een verdedigbaar startpunt voor het compliance-gesprek — een veel betere positie dan een klant vertellen dat jullie samen op Dublin zaten te wachten.

    De NIS2-wet van Ierland komt eraan: wat EU-leveranciers moeten weten — NIS2Certify