NIS2 Ierland: Wat betekent het voor uw organisatie en hoe voldoet u?

NIS2 Ireland

De oorspronkelijke NIS1-Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 werd ingevoerd om de cyberveiligheid binnen de EU te versterken. Omwille van de toenemende dreiging van cyberaanvallen werd deze richtlijn vervangen door de NIS2-Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 die strengere eisen oplegt en een breder toepassingsgebied hanteert om de weerbaarheid van kritieke infrastructuren tegen cyberaanvallen te vergroten.

De deadline van 17 oktober 2024 om de NIS2-richtlijn om te zetten in nationale wetgeving werd door Ierland niet gehaald. Wel is het wetsontwerp, hierna de NIS2-wet, beschikbaar.

Op deze pagina vindt u alles wat u moet weten over de impact van NIS2 op uw organisatie en hoe u zich kunt voorbereiden op de nieuwe regelgeving.

De inhoud van deze pagina is onder voorbehoud van wijzigingen en wordt bijgewerkt wanneer nodig.

NIS2-entiteiten

De Ierse NIS2-wet is relevant voor zowel rechtspersonen als natuurlijke personen (samen aangeduid als ‘entiteiten’) die in Ierland geregistreerd zijn en die producten en/of diensten leveren in een EU-land.

De NIS2-wet bepaalt expliciet welke publieke en private entiteiten onder de cyberbeveiligingsverplichtingen vallen. Hiervoor wordt een onderscheid gemaakt tussen essentiële entiteiten en belangrijke entiteiten. Voor het categoriseren van entiteiten wordt rekening gehouden met de aangeboden diensten, de omvang van de entiteit en de vestiging van de entiteit.

In principe valt uw entiteit onder de Ierse NIS2-wet wanneer:

  • Uw organisatie diensten levert binnen een sector die is opgenomen in bijlage I en bijlage II van de NIS2-wet;
  • Uw organisatie de drempelwaarden voor middelgrote ondernemingen overschrijdt; en
  • Uw organisatie in Ierland gevestigd is.

Criteria 1: geleverde diensten

In bijlage I en II van de Ierse NIS2-wet worden de sectoren beschreven die vallen binnen het toepassingsgebied ervan. Het is dan ook van groot belang om uw geleverde diensten aan derden grondig te analyseren per (sub)sector. De vermelde sectoren in de Ierse NIS2-wet komen overeen met de Europese NIS2-richtlijn.

Bijlage I: Zeer kritieke sectorenBijlage II: Andere kritieke sectoren
Energie
• Elektriciteit
• Stadsverwarming en -koeling
• Aardolie
• Aardgas
• Waterstof		Post- en koeriersdiensten
Vervoer
• Lucht
• Spoor
• Water
• Weg		Afvalbeheer
BankwezenVervaardiging, productie en distributie van chemische stoffen
Infrastructuur voor de financiële marktProductie, verwerking en distributie van levensmiddelen
GezondheidszorgVervaardiging
• Vervaardiging van medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek
• Vervaardiging van informaticaproducten en van elektronische en optische producten
• Vervaardiging van elektrische apparatuur
• Vervaardiging van machines, apparaten en werktuigen, n.e.g.
• Vervaardiging van motovoertuigen, aanhangers en opleggers
• Vervaardiging van andere transportmiddelen
DrinkwaterDigitale aanbieders
AfvalwaterOnderzoek
Digitale infrastructuur 
Beheer van ICT-diensten (business-to-business) 
Overheid 
Ruimtevaart 

Indien uw organisatie een dienst uit bovenstaand overzicht levert, valt uw organisatie mogelijks binnen het toepassingsgebied van de NIS2-wet.

Criteria 2: bedrijfsgrootte

Naast de geleverde diensten, is ook de grootte van de entiteit van belang om na te gaan of uw organisatie binnen het toepassingsgebied van de Ierse NIS2-wet valt. Klik hier om te bepalen of uw organisatie een kleine, middelgrote, dan wel grote onderneming betreft. In principe dienen middelgrote en grote ondernemingen te voldoen aan de verplichten uit de NIS2-wet.

Daarnaast is de wet ook van toepassing op volgende specifieke aanbieders, onafhankelijk van de omvang van de entiteit. Het gaat om:

  • Aanbieders van openbare elektronische communicatienetwerken of -diensten
  • Aanbieders van vertrouwensdiensten
  • Aanbieders van registers van topleveldomeinnamen (TLD-registers)
  • Aanbieders van domeinnaamregisters (DNS-dienstverleners)

Bovendien geldt de wet ook voor entiteiten, ongeacht hun omvang, indien hun activiteiten cruciaal zijn voor de samenleving of economie. Dat is het geval als:

  • Zij diensten leveren die essentieel zijn voor kritieke maatschappelijke of economische functies en die niet door andere aanbieders geleverd worden
  • Een verstoring van hun dienstverlening aanzienlijke impact zou hebben op de openbare orde, veiligheid of volksgezondheid
  • Een incident bij hen systeemrisico’s met grensoverschrijdende gevolgen zou kunnen veroorzaken
  • Zij van strategisch of vitaal belang zijn op nationaal of regionaal niveau, bijvoorbeeld vanwege afhankelijkheden in andere sectoren

Criteria 3: gevestigde entititeit in Ierland

In principe kan de Ierse NIS2-wet enkel van toepassing zijn op entiteiten met een vestiging in Ierland. Echter zijn bij wijze van uitzondering volgende entiteiten onderworpen aan de Ierse NIS2-wet:

  • Aanbieders van openbare elektronische communicatienetwerken of aanbieders van openbare elektronische-communicatiediensten die hun diensten in Ierland aanbieden;
  • DNS-dienstverleners, registers voor topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten leveren, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, evenals aanbieders van onlinemarktplaatsen, onlinezoekmachines of platforms voor socialenetwerkdiensten, als zij hun hoofdvestiging in Ierland hebben of als ze hun wettelijke vertegenwoordiger voor de EU in Ierland hebben in het geval zij geen vestiging hebben binnen de EU;
  • Overheidsinstanties die door Ierland opgericht zijn.

Naast de 3 bovenstaande criteria dient bij het analyseren van het toepassingsgebied van de NIS2-wet rekening gehouden te worden met het feit dat men als niet-NIS2-organisatie alsnog geaffecteerd kan worden door de NIS2-wet doordat de nationale autoriteit de entiteit aanmerkt als essentiële of belangrijke entiteit of doordat de niet-NIS2-organisatie behoort tot de toeleveringsketen van een NIS2-organisatie.

Om te bepalen of uw entiteit valt binnen het toepassingsgebied van de Ierse NIS2-wet, kan gebruik gemaakt worden van de online tool van NCSC.

Wat betekent dit voor mijn bedrijf?

1. Registratie

In Ierland zullen organisaties die onder de NIS2-wetgeving vallen, als essentiële of belangrijke entiteit, zichzelf moeten registreren. De NIS2-richtlijn is op dit moment nog niet volledig omgezet in nationale wetgeving. Zodra dit proces is afgerond, zal de National Cyber Security Centre (NCSC) een officieel registratieportaal beschikbaar stellen.

Als uw organisatie wordt aangemerkt als een essentiële of belangrijke entiteit, op basis van de beschreven criteria in het hoofdstuk ‘NIS2-entiteiten’, moet u de volgende informatie aanleveren bij de NCSC:

  • Naam van de organisatie
  • Adres en actuele contactgegevens van de entiteit incl. e-mailadressen en telefoonnummers
  • IP-adresreeksen
  • Sector en subsector
  • Overzicht van EU-lidstaten waar de diensten worden geleverd die binnen het toepassingsgebied van de NIS2-wet vallen

Wijzigingen in deze gegevens moet binnen twee weken worden doorgegeven.

Hoewel het registratieportaal nog niet beschikbaar is, biedt de NCSC wel een online zelfevaluatietool aan. Hiermee kunnen organisaties een eerste inschatting maken of ze binnen het toepassingsgebied van de NIS2-wet vallen. Deze tool is puur informatief en vervangt niet de officiële registratieprocedure.

Organisaties werden gevraagd om bovenstaande informatie uiterlijk op 17 januari 2025 aan te leveren. Aangezien de NIS2-richtlijn nog niet is omgezet in nationale wetgeving en het registratieportaal nog niet operationeel is, hoeven entiteiten zich voorlopig nog niet te registreren. Zodra de wetgeving is aangenomen, worden nieuwe deadlines en instructies gepubliceerd. Het registratieportaal zal pas beschikbaar zijn nadat de richtlijn officieel is omgezet in Ierse wetgeving.

2. Beheersmaatregelen

Als uw organisatie gecategoriseerd is als essentiële of belangrijke entiteit, betekent dit dat u verantwoordelijk bent voor het implementeren van passende technische en organisatorische maatregelen om de beveiliging van uw netwerk- en informatiesystemen te waarborgen. Deze cybersecurity beheersmaatregelen betreffen minstens:

  • Beleid voor risicoanalyse en beveiliging van informatiesystemen 
  • Incidentenbeheer 
  • Bedrijfscontinuïteit, zoals back-upbeheer en noodherstel, en crisisbeheer 
  • Beveiliging van toeleveringsketen 
  • Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden 
  • Beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen 
  • Cyberhygiëne en opleiding op het gebied van cyberbeveiliging 
  • Beleid en procedures over cryptografie en in voorkomend geval encryptie 
  • Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa 
  • Gebruik van multifactorauthenticatie of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit, indien van toepassing. 

De Europese commissie heeft in de uitvoeringsverordening 2024/2690 de bovenstaande minimummaatregelen voor cyberbeveiliging uitgewerkt voor DNS -dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten.

3. Rapportageverplichting van significante incidenten

Belangrijke en essentiële entiteiten zijn verplicht het nationale Computer Security Incident Response Team (CSIRT), zijnde CSIRT-IE, in kennis te stellen wanneer zich een significant incident voordoet. Daarnaast dienen zij ook de ontvangers van hun diensten op de hoogte te brengen indien het significant incident de verlening van de diensten betreffende de (sub)sectoren van bijlage I en II affecteert.  

Een incident wordt als significant beschouwd, wanneer

  • Het incident heeft geleid of kan leiden tot ernstige verstoring van de dienstverlening of financiële verliezen voor de getroffen entiteit of
  • Het incident andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door het veroorzaken van aanzienlijke materiële of immateriële schade.

Het significante incident wordt door de essentiële en belangrijke entiteit gemeld per mail aan info@ncsc.gov.ie of aan incident@ncsc.gov.ie in het geval van een cyber security incident bij de overheid volgens volgende procedure: 

  1. Onmiddellijk en binnen de 24 uur nadat zij kennis heeft gekregen van het significante incident, dient de entiteit  een vroegtijdige waarschuwing in, met melding van vermoedelijke oorzaak en eventuele grensoverschrijdende gevolgen; 
  2. Onmiddellijk en binnen de 72 uur nadat zij kennis heeft gekregen van het significante incident, communiceert de entiteit een incidentenmelding dat een informatie update bevat en een initiële beoordeling van het incident. Voor aanbieders van vertrouwensdiensten geldt een termijn van 24 uur voor het indienen van een incidentenrapport;
  3. Op verzoek van het bevoegde CSIRT dient de entiteit een tussentijds verslag in;
  4. Uiterlijk 1 maand na de incidentenmelding dient de entiteit een eindverslag in met vermelding van:
    1. Een gedetailleerde beschrijving van het incident, alsook de ernst en de gevolgen ervan; 
    2. Het soort bedreiging of de grondoorzaak die waarschijnlijk tot het incident heeft geleid;
    3. Toegepaste en lopende risicobeperkende maatregelen;
    4. De grensoverschrijdende gevolgen van het incident, indien van toepassing.
  5. Indien het incident nog lopende is een maand na de incidentenmelding, dient de entiteit een voorgangsverslag in en binnen de maand na de afhandeling van incident wordt een eindverslag ingediend.

De Europese commissie heeft in de uitvoeringsverordening 2024/2690 de criteria voor een significant incident bepaald voor DNS -dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor sociale netwerkdiensten, en verleners van vertrouwensdiensten. Deze bijzondere regels hebben voorrang op de nationale regels in het geval van tegenstrijdigheden. 

Tot slot kunnen alle entiteiten, ongeacht  of zij vallen binnen het toepassingsgebied van de NIS2-wet vrijwillig (significante) incidenten, cyberdreigingen en bijna-incidenten melden bij het CSIRT-IE.

Meer informatie omtrent het melden van significante cyberincidenten kan u hier vinden.

4. Verplichtingen en verantwoordelijkheden van het management

De bestuursorganen van essentiële en belangrijke entiteiten zijn verantwoordelijk voor de naleving van de NIS2-wet en dienen verschillende verplichtingen na te komen waaronder:

  • Goedkeuren van de beheersmaatregelen voor cyberbeveiliging en toezicht houden op de naleving ervan
  • Volgen van training om over voldoende kennis en vaardigheden te beschikken om risico’s te kunnen identificeren en beheersmaatregelen en de impact ervan op hun diensten te kunnen beoordelen
  • Voortdurend bijscholen van de werknemers van de cyber security entiteit op het gebied van cyber security

De bestuursorganen zijn aansprakelijk bij niet-naleving van de NIS2-wet.

5. Samenwerken met autoriteiten

Essentiële en belangrijke entiteiten dienen samen te werken met de nationale autoriteiten. Betreft het uitwisselen van informatie over de beveiliging van netwerk- en informatiesystemen, rapporteren van incidenten, samenwerking met de inspectiedienst enzovoort.

Hoe kan ik aantonen dat mijn bedrijf in regel is met de NIS2 wetgeving?

Essentiële en belangrijke entiteiten dienen op frequente basis een compliance audit te laten uitvoeren. Op basis van een onafhankelijke conformiteitsbeoordeling door een geaccrediteerde Conformity Assessment Body (CAB), kan de entiteit een  certificaat behalen waarmee de naleving van de NIS2-wet kan worden aangetoond aan de stakeholders.

Via de website van het NCSC wordt gecommuniceerd over specifieke normenkaders die een entiteit kan hanteren, waaronder het CyberFundamentals framework (CyFun) en ISO27001:

CyberFundamentals label

Het CCB heeft een kader ontwikkeld, bestaande uit concrete maatregelen met als doel gegevens beter te beschermen, het risico op de meest voorkomende cyberaanvallen te verkleinen en de cyberweerbaarheid van een organisatie te vergroten.  

Op basis van de ernst van de dreiging waaraan een organisatie is blootgesteld, wordt een onderscheid gemaakt tussen het startersniveau Small en 3 zekerheidsniveaus Basic, Important en Essential. Het CyFun Framework bevat voor ieder niveau een set aan beheersmaatregelen. 

Om het CyFun label te kunnen bekomen dienen volgende stappen door u ondernomen te worden: 

  1. Bepaal het CyFun zekerheidsniveau door een risicobeoordeling uit te voeren. Hiervoor kan u gebruik maken van de CyFun Selection Tool
  2. Vervolledig een Self Assessement en implementeer corrigerende maatregelen;
  3. Laat de Self Assessment en de geïmplementeerde maatregelen verifiëren of certificeren door een CAB;
  4. Vraag het CyFun label aan via het Safeonweb@work portaal.

ISO/IEC 27001 certificering

Een andere mogelijkheid om aan te tonen in regel te zijn met de NIS2 is het ISO/IEC 27001-certificaat. ISO/IEC 27001 is de wereldwijd erkende standaard voor informatiebeveiliging en beschrijft de eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS). 

Om een ISO 27001-certicering te kunnen behalen dienen volgende stappen ondernomen te worden: 

  1. Verwerf de nodige kennis over ISO/IEC 27001, door middel van bijvoorbeeld training;
  2. Implementeer het ISO 27001-management systeem conform de normeisen in uw organisatie;
  3. Voer interne audits uit;
  4. Laat het management de resultaten van de interne audit beoordelen en neem indien nodig corrigerende maatregelen. Leg de conclusie over het voldoen aan de eisen vast in de directiebeoordeling; 
  5. Contacteer een geaccrediteerde CAB voor het uitvoeren van een externe audit. 

Indien u meer informatie wenst omtrent certificering, kan u hier een afspraken met een expert maken.

 

Handhaving en sancties

De bevoegde autoriteit voert inspecties uit op de naleving van de vereisten door cyber security entiteiten. Hiervoor moet een onderscheid gemaakt worden tussen essentiële en belangrijke entiteiten:

  • Essentiële entiteiten worden zowel proactief (ex-ante) als reactief (ex-post) gecontroleerd, en zijn verplicht regelmatige conformiteitsbeoordelingen te laten uitvoeren.
  • Belangrijke entiteiten worden in principe enkel reactief gecontroleerd, na een incident of bij een vermoeden van niet-naleving van de wet.

De Ierse NIS2-wet voorziet in specifieke sancties voor entiteiten die de wettelijke bepalingen niet naleven. Deze sancties variëren naargelang de aard en de ernst van de overtreding en zijn onderverdeeld in administratieve maatregelen en administratieve boetes.

Mogelijke administratieve maatregelen die kunnen opgelegd worden zijn onder andere waarschuwingen geven, de entiteit verplichten bepaalde maatregelen te treffen, een toezichthouder aanstellen die toezicht houdt op de naleving van de NIS2-wet enzovoort.

Administratieve boetes die kunnen worden opgelegd zijn eveneens wettelijk vastgelegd en kunnen oplopen tot 10.000.000 euro of 2% van de totale wereldwijde jaaromzet van de essentiële en tot 7.000.000 euro of 1,4% van de totale wereldwijde jaaromzet van de belangrijke entiteit.

Tijdlijn

17oktober 2024: initiële deadline voor EU-lidstaten om NIS2-richtlijn om te zetten in nationale wetgeving

Belangrijke deadlines voor cyber security entiteiten worden aangevuld zodra meer informatie beschikbaar is.

Bevoegde autoriteiten

In Ierland zijn verschillende bevoegde autoriteiten aangewezen die betrokken zijn bij de uitvoering van de NIS2 wetgeving.

Het National Cyber Security Centre (NCSC) is de centrale instantie in Ierland die verantwoordelijk is voor de nationale cyberveiligheid en de uitvoering van de NIS2-wet. De NCSC richt zich in het bijzonder op het beveiligen van overheidsnetwerken en kritieke nationale infrastructuur. Binnen de NCSC opereert het Computer Security Incident Response Team (CSIRT-IE), dat specifiek belast is met het reageren op cyberincidenten. CSIRT-IE biedt technische ondersteuning bij beveiligingsincidenten, monitort cyberdreigingen en deelt relevante informatie met nationale en internationale partners.

Naast de NCSC zijn er ook sectorale toezichthouders aangewezen:

  • Commission for the Regulation of Utilities (CRU): Energie, drinkwater en afvalwater
  • Commission for Communications Regulation (ComReg): Digitale infrastructuur, ICT-diensten, ruimtevaart en digitale aanbieders
  • Central Bank of Ireland (CBI): Banken en financiële markten
  • Irish Aviation Authority (IAA): Luchtvaart
  • Commission for Rail Regulation (CRR): Spoorvervoer
  • Minister for Transport: Scheepvaart
  • National Transport Authority (NTA): wegvervoer
  • Agentschappen onder de Minister van Volksgezondheid: Gezondheidszorg

Deze autoriteiten werken samen binnen een nationaal forum van bevoegde autoriteiten en zijn verantwoordelijk voor toezicht, handhaving en ondersteuning binnen hun respectieve sectoren.