De NIS2-wet van Ierland komt eraan: wat EU-leveranciers moeten weten

Ierland liep zijn NIS2-deadline met meer dan 18 maanden mis. Dat is geen voetnoot — het is een probleem dat je erft zodra een van je klanten afhankelijk is van een Ierse leverancier.
Als je een MSP runt of Europese organisaties adviseert over compliance, telt Ierland zwaarder dan de omvang doet vermoeden. Het herbergt de EU-hoofdkantoren van Microsoft, Google, Meta, AWS en een groot deel van de datacentercapaciteit van het continent. Wanneer de Ierse NIS2-wet eindelijk landt, komt in één klap een enorme hoeveelheid kritieke digitale infrastructuur binnen scope — en de toeleveringsketens van je klanten lopen er dwars doorheen.
Dit is wat er werkelijk gebeurt, en wat je moet doen voordat de wet wordt aangenomen.
Ierland is de laatste grote EU-economie zonder NIS2-wet
NIS2 moest uiterlijk 17 oktober 2024 in nationale wetgeving zijn omgezet. Ierland haalde die datum niet. Medio 2026 is de National Cyber Security Bill nog steeds op weg door de Oireachtas, en Ierland is een van de weinige lidstaten — naast Frankrijk, Luxemburg, Nederland en Spanje — waar de omzettingswetgeving nog niet van kracht is.
De vertraging is deels politiek. De algemene verkiezingen van 2024 verstoorden de wetgevingsagenda en de wet schoof op. Maar de Europese Commissie heeft haar geduld verloren. Ierland kreeg een formele aanmaning, daarna een met redenen omkleed advies, en de Commissie heeft aangegeven niet-omzettende staten naar het Hof van Justitie te verwijzen.
De praktische conclusie: de richting ligt vast. De wet komt er. De enige open vraag is timing, en "we wachten op de wet" is geen verweer waar je een klant op wilt laten leunen.
NIS2 Implementatiestatus per Land (2025–2026)
Volledig van kracht
BelgiëKroatiëHongarijeLitouwenLetlandItalië6 landenAangenomen — eind 2025
DuitslandTsjechiëFinland3 landenIn uitvoering — verwacht 2026
NederlandFrankrijkSpanjePolenOostenrijkZwedenIerland7 landen
De wet maakt van het NCSC de Ierse cybertoezichthouder
Het Ierse National Cyber Security Centre (NCSC) wordt onder de nieuwe wet de Lead Competent Authority en het Single Point of Contact. Dat is een forse uitbreiding van een orgaan dat tot nu toe vooral adviserend was.
Maar Ierland kiest niet voor één toezichthouder. Sectorspecifieke toezichthouders behouden de handhavingsbevoegdheid binnen hun domein — een energiebedrijf verantwoordt zich bij zijn sectortoezichthouder, een zorgaanbieder bij een andere, enzovoort, met het NCSC dat coördineert. Voor consultants betekent dat "wie houdt toezicht op deze klant" een reële vraag is met meer dan één mogelijk antwoord. Ga er niet vanuit dat het NCSC voor elke entiteit het handhavende orgaan is.
Het NCSC liep al vooruit op de wetgeving. In juni 2025 publiceerde het conceptrichtsnoeren voor Risk Management Measures en lanceerde het de Ierse versie van het CyberFundamentals (CyFun)-raamwerk. Zelfs zonder wet van kracht is er dus een gedocumenteerde set verwachtingen waarop je klanten vandaag al kunt afstemmen.
Bepaal welke klanten — en hun leveranciers — binnen scope vallen
NIS2 in Ierland volgt de standaardindeling essential/important over de gebruikelijke sectoren: energie, transport, bankwezen, financiëlemarktinfrastructuur, gezondheid, drink- en afvalwater, digitale infrastructuur, ICT-servicemanagement, openbaar bestuur, ruimtevaart, plus de "important"-laag met postdiensten, afvalbeheer, chemie, voedsel, productie, digitale aanbieders en onderzoek.
Twee dingen leiden tot fouten.
Ten eerste omvang. De hoofdregel is dat middelgrote en grote entiteiten in een gedekte sector binnen scope vallen — grofweg 50+ medewerkers of €10M+ omzet — maar er zijn uitzonderingen waarbij kleine entiteiten toch kwalificeren vanwege de kritikaliteit van wat ze doen. Een kleine DNS-aanbieder of een enige nationale registry krijgt geen vrijstelling.
Ten tweede toeleveringsketen. Zelfs als je klant zelf geen gereguleerde entiteit is, zal een Ierse essential of important entity die van hem afhankelijk is NIS2-verplichtingen via contracten doorschuiven. Dat is precies waarvoor de toeleveringsketen-eis van Article 21 is ontworpen. Lees onze gids over leverancierscontracten voor hoe die clausules doorgaans uitpakken.
Is NIS2 van toepassing op uw organisatie?
1Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?
Ja▼Nee▼2Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?
✗NIS2 is niet rechtstreeks van toepassing op uw organisatie.
Ja▼Nee▼✓NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.
3Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?
Ja▼!NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.
1Is uw organisatie actief in een essentiële of belangrijke sector (energie, transport, zorg, digitale infrastructuur, enz.)?
Ja ↓Nee →2Heeft uw organisatie 50 of meer werknemers, of een jaarlijkse omzet van meer dan €10 miljoen?
Ja ↓Nee →3Is uw organisatie een aanbieder van kritieke infrastructuur of een gekwalificeerde vertrouwensdienstverlener?
Ja ↓Nee →✗NIS2 is niet rechtstreeks van toepassing op uw organisatie.
✓NIS2 is van toepassing op uw organisatie als essentiële of belangrijke entiteit.
!NIS2 kan van toepassing zijn op uw organisatie — raadpleeg juridisch advies om uw status te bevestigen.
Van toepassingMogelijk van toepassingNiet van toepassing
De boetes zijn echt — en stoppen niet bij het bedrijf
Het Ierse General Scheme spiegelt de NIS2-plafonds. Essential entities riskeren administratieve boetes tot €10 miljoen of 2% van de wereldwijde groepsomzet, afhankelijk van welk bedrag hoger is. Important entities tot €7 miljoen of 1,4% van de omzet.
Het getal dat een bestuur wakker schudt is de omzetmultiplier, niet het vaste plafond. Voor een middelgrote groep is 2% van de wereldwijde omzet een veel groter bedrag dan €10 miljoen, en het wordt berekend over de hele groep — niet over de Ierse dochter afzonderlijk.
Maar de boete is slechts de eerste laag. NIS2 raakt ook het management persoonlijk: leidinggevenden kunnen aansprakelijk worden gesteld voor tekortschietend toezicht, en toezichthouders kunnen tijdelijke verboden opleggen aan personen met een managementrol in essential entities. Daarbovenop komen de operationele gevolgen — intrekking van vergunningen, verplichte herstelmaatregelen, openbaarmaking van inbreuken. De reputatieschade en de verloren contracten kosten meestal meer dan de boete zelf.
NIS2-sanctie-escalatie — Voorbij de boete
!Aanleiding
Non-compliance gedetecteerd of incident treedt op
Een toezichthouder identificeert een compliance-hiaat of een organisatie voldoet niet aan de NIS2-vereisten
Toezichthouders kunnen opleggen▼Niet-financiële sancties1Nalevingsbevelen met bindende deadlines
2Verplichte security-audits op eigen kosten
3Publieke bekendmaking van overtredingen
4Bindende instructies over specifieke beveiligingsmaatregelen
Escaleert naar▼Operationele en persoonlijke gevolgen1Opschorting van certificeringen of vergunningen
2Tijdelijk verbod op bestuursfuncties voor personen
3Publieke benoeming van verantwoordelijke natuurlijke personen
AanleidingNiet-financieelOperationeel / persoonlijk
Daarom is bestuurdersaansprakelijkheid geen angsttactiek — het staat in het raamwerk geschreven. Adviseer je Ierse entiteiten of hun moederconcerns, dan moet het gesprek over wie persoonlijk verantwoordelijk is vóór een incident plaatsvinden, niet erna.
CyFun is Ierlands aanbevolen route, niet de enige
Het NCSC heeft CyberFundamentals aangewezen als voorkeursroute om NIS2-afstemming aan te tonen. CyFun is een gelaagd, standaardgebaseerd raamwerk gebouwd op het NIST Cybersecurity Framework, met volwassenheidsniveaus die je op basis van het risicoprofiel aan een klant kunt koppelen. Het is hetzelfde raamwerk waarmee België NIS2 concreet heeft gemaakt, dus er is echt precedent voor hoe het in de praktijk werkt.
Cruciaal: CyFun is aanbevolen, niet verplicht. Het NCSC heeft bevestigd dat ISO 27001, IEC 62443, COBIT en NIST-standaarden aanvaardbare manieren blijven om compliance aan te tonen. Draait je klant al een ISO 27001-gecertificeerd ISMS, dan gooi je dat niet weg — je brengt het in lijn met de Ierse verwachtingen en dicht de deltas. Onze NIS2 vs ISO 27001-analyse laat zien waar de gaten meestal zitten.
Voor de meeste MSP's is de pragmatische zet: kies één control-raamwerk, stem elke Ierse klant daarop af en vermijd een aparte aanpak per klant. Consistentie maakt een portfolio auditeerbaar.
Wat je nu moet doen, vóór de wet live is
Wachten tot de wet wordt aangenomen is het verkeerde instinct. De verplichtingen zijn bekend, de verwachtingen van het NCSC zijn gepubliceerd, en de auditklok start op de dag dat de wet in werking treedt — niet op de dag dat je eraan toekomt hem te lezen.
Begin met drie stappen. Breng in kaart welke klanten en welke van hun belangrijkste leveranciers een Ierse essential of important entity raken. Kies een control-raamwerk — CyFun of ISO 27001 — en standaardiseer erop. Voer daarna een gap-analyse uit tegen de tien maatregelen van Article 21, zodat je de werkelijke afstand tot compliant kent, niet de aangenomen. Onze stapsgewijze gap-analysegids loopt de volgorde door.
Wil je snel weten waar een specifieke klant staat, laat hem dan door de NIS2 Quick Scan lopen. Het duurt enkele minuten en geeft je een verdedigbaar startpunt voor het compliance-gesprek — een veel betere positie dan een klant vertellen dat jullie samen op Dublin zaten te wachten.
