What is NIS2 and why is it relevant in Ireland?

The NIS2 Directive (EU) 2022/2555 was introduced to strengthen cybersecurity across the EU. Ireland did not meet the 17 October 2024 transposition deadline; however, the draft law (the Irish NIS2 Act) is available. The content of the page is subject to change and will be updated as necessary.

Which organisations fall under the Irish NIS2 Act?

The Irish NIS2 Act is relevant for legal entities and natural persons registered in Ireland that supply products and/or services in an EU country. In principle, an entity is subject to the Irish NIS2 Act if it provides services within a sector listed in Annex I and Annex II, exceeds the thresholds for medium-sized enterprises, and is established in Ireland.

How can I check whether my entity is in scope?

To determine whether your entity falls within the scope of the Irish NIS2 Act, you can use the NCSC’s online tool.

Do NIS2 entities need to register in Ireland?

Organisations classified as essential or important entities will have to register. The NIS2 Directive has not yet been fully transposed into national law, and the official registration portal is not yet available. Once adopted, new deadlines and instructions will be published.

What cybersecurity management measures are required?

Essential and important entities must implement appropriate technical and organisational measures to ensure the security of their network and information systems. These measures include at least risk analysis and information system security, incident management, business continuity and crisis management, supply chain security, secure development and maintenance including vulnerability handling, effectiveness assessment, cyber hygiene and training, cryptography/encryption where applicable, personnel/access/asset security, and multi-factor or continuous authentication and secure communications where applicable.

How do I report a significant incident in Ireland?

Significant incidents must be reported to the national CSIRT (CSIRT-IE). Reporting can be done by email to info@ncsc.gov.ie or incident@ncsc.gov.ie (for incidents involving government), following the prescribed procedure (including early warning within 24 hours and incident report within 72 hours).

How can an organisation demonstrate NIS2 compliance?

Based on an independent conformity assessment by an accredited Conformity Assessment Body (CAB), an entity can obtain a certificate demonstrating compliance with the Irish NIS2 Act. The NCSC also provides information about frameworks such as CyberFundamentals (CyFun) and ISO/IEC 27001.

What penalties can apply for non-compliance?

The Irish NIS2 Act provides for administrative measures and administrative fines. Fines can amount to up to 10,000,000 euros or 2% of total worldwide annual turnover for essential entities and up to 7,000,000 euros or 1.4% for important entities.

NIS2 Ierland: Wat betekent dit voor uw organisatie en hoe voldoet u?

De oorspronkelijke NIS1-richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 werd ingevoerd om de cyberveiligheid binnen de Europese Unie te versterken. Omwille van de toenemende dreiging van cyberaanvallen werd deze richtlijn vervangen door de NIS2-richtlijn (EU) 2022/2555 van 14 december 2022. Deze nieuwe richtlijn legt strengere cybersecurity-eisen op en hanteert een breder toepassingsgebied om de weerbaarheid van kritieke en essentiële infrastructuren tegen cyberdreigingen te vergroten.

De uiterste deadline van 17 oktober 2024 om de NIS2-richtlijn om te zetten in nationale wetgeving werd door Ierland niet gehaald. Wel is inmiddels een wetsontwerp beschikbaar, hierna aangeduid als de Ierse NIS2-wet. Dit wetsontwerp vormt de basis voor de toekomstige NIS2-wetgeving in Ierland en geeft richting aan de verwachte verplichtingen voor organisaties die onder het toepassingsgebied vallen.

Op deze pagina vindt u een volledig overzicht van wat NIS2 in Ierland betekent voor uw organisatie. U leest hier meer over het toepassingsgebied (scope), de verplichtingen voor essentiële en belangrijke entiteiten, de rol van de bevoegde autoriteiten en de manieren waarop u NIS2-compliance in Ierland kunt aantonen.

Wilt u weten of uw organisatie mogelijk onder de NIS2-wetgeving in Ierland valt en welke stappen u nu al kunt zetten? Raadpleeg dan de vervolgsecties op deze pagina of neem contact op met een onafhankelijke certificerende instelling voor nadere toelichting.

De inhoud van deze pagina is onder voorbehoud van wijzigingen en wordt geactualiseerd zodra er nieuwe informatie beschikbaar komt over de implementatie van NIS2 in Ierland.

NIS2 Ierland: Toepassingsgebied en NIS2-entiteiten

Welke organisaties vallen onder NIS2 in Ierland?

De Ierse NIS2-wet is van toepassing op zowel rechtspersonen als natuurlijke personen (hierna gezamenlijk aangeduid als NIS2-entiteiten) die in Ierland geregistreerd zijn en producten en/of diensten leveren binnen een EU-lidstaat.

De NIS2-wet bepaalt expliciet welke publieke en private organisaties onder de cyberbeveiligingsverplichtingen vallen. Daarbij wordt een onderscheid gemaakt tussen essentiële entiteiten en belangrijke entiteiten.

Bij deze classificatie wordt rekening gehouden met:

de aard van de geleverde diensten;
de omvang van de entiteit;
en de vestiging of aanwezigheid in Ierland.

In principe valt uw organisatie onder het toepassingsgebied van NIS2 in Ierland wanneer aan alle onderstaande criteria wordt voldaan.

Criteria 1: Geleverde diensten (sectoren NIS2)

In bijlage I en bijlage II van de Ierse NIS2-wet zijn de sectoren opgenomen die binnen het toepassingsgebied vallen. Het is daarom essentieel om uw geleverde diensten grondig te analyseren per (sub)sector.

De sectorindeling in de Ierse NIS2-wet komt volledig overeen met de Europese NIS2-richtlijn.

Bijlage I: Zeer kritieke sectoren	Bijlage II: Andere kritieke sectoren
Energie • Elektriciteit • Stadsverwarming en -koeling • Aardolie • Aardgas • Waterstof	Post- en koeriersdiensten
Vervoer • Lucht • Spoor • Water • Weg	Afvalbeheer
Bankwezen	Vervaardiging, productie en distributie van chemische stoffen
Infrastructuur voor de financiële markt	Productie, verwerking en distributie van levensmiddelen
Gezondheidszorg	Vervaardiging • Medische hulpmiddelen en in-vitrodiagnostiek • Informatica- en elektronische producten • Elektrische apparatuur • Machines en werktuigen, n.e.g. • Motorvoertuigen en aanhangers • Andere transportmiddelen
Drinkwater	Digitale aanbieders
Afvalwater	Onderzoek
Digitale infrastructuur
Beheer van ICT-diensten (B2B)
Overheid
Ruimtevaart

Levert uw organisatie één of meerdere diensten uit bovenstaande sectoren, dan kan zij onder het toepassingsgebied van NIS2 in Ierland vallen.

Wilt u zekerheid? Gebruik dan de officiële NIS2-scope tool van het NCSC.

Criteria 2: Bedrijfsgrootte van de entiteit

Naast de aard van de diensten speelt ook de bedrijfsgrootte een belangrijke rol. In principe dienen middelgrote en grote ondernemingen te voldoen aan de verplichtingen uit de Ierse NIS2-wet.

Controleer hier of uw organisatie als klein, middelgroot of groot wordt geclassificeerd.

Daarnaast geldt de wet, ongeacht de omvang, voor specifieke aanbieders zoals:

openbare elektronische communicatienetwerken of -diensten;
vertrouwensdiensten;
TLD-registers;
DNS-dienstverleners.

Criteria 3: Vestiging of aanwezigheid in Ierland

De Ierse NIS2-wet is in beginsel van toepassing op entiteiten met een vestiging in Ierland. Daarnaast vallen ook bepaalde buitenlandse entiteiten onder de wet wanneer zij hun hoofdvestiging of EU-vertegenwoordiger in Ierland hebben.

Ook organisaties in de toeleveringsketen van een NIS2-entiteit kunnen indirect door NIS2 worden geraakt.

Verplichtingen onder NIS2 in Ierland

Wat betekent NIS2 in Ierland concreet voor uw organisatie? Als u als essentiële entiteit of belangrijke entiteit wordt aangemerkt, krijgt u te maken met registratie, cyberbeveiligingsmaatregelen, meldplichten en bestuurlijke verantwoordelijkheden.

Wilt u eerst toetsen of u mogelijk binnen het toepassingsgebied van NIS2 Ierland valt? Gebruik dan de officiële online zelfevaluatietool van het NCSC.

1. Registratie van NIS2-entiteiten

In Ierland zullen organisaties die onder de NIS2-wetgeving vallen als essentiële of belangrijke entiteit zich moeten registreren. De NIS2-richtlijn is op dit moment nog niet volledig omgezet in nationale wetgeving. Zodra dit proces is afgerond, zal het National Cyber Security Centre (NCSC) een officieel registratieportaal beschikbaar stellen.

Als uw organisatie wordt aangemerkt als een essentiële of belangrijke entiteit (op basis van de criteria in het hoofdstuk NIS2-entiteiten), moet u de volgende informatie aanleveren bij het NCSC:

Naam van de organisatie
Adres en actuele contactgegevens van de entiteit, inclusief e-mailadressen en telefoonnummers
IP-adresreeksen
Sector en subsector
Overzicht van EU-lidstaten waar de diensten worden geleverd die binnen het toepassingsgebied van de NIS2-wet vallen

Wijzigingen in deze gegevens moeten binnen twee weken worden doorgegeven.

Hoewel het registratieportaal nog niet beschikbaar is, biedt het NCSC wel een online zelfevaluatietool aan. Hiermee kunnen organisaties een eerste inschatting maken of zij binnen het toepassingsgebied van de NIS2-wet vallen. Deze tool is puur informatief en vervangt niet de officiële registratieprocedure.

Organisaties werden gevraagd om bovenstaande informatie uiterlijk op 17 januari 2025 aan te leveren. Aangezien de NIS2-richtlijn nog niet is omgezet in nationale wetgeving en het registratieportaal nog niet operationeel is, hoeven entiteiten zich voorlopig nog niet te registreren. Zodra de wetgeving is aangenomen, worden nieuwe deadlines en instructies gepubliceerd. Het registratieportaal zal pas beschikbaar zijn nadat de richtlijn officieel is omgezet in Ierse wetgeving.

CTA: Wilt u voorbereid zijn zodra registratie verplicht wordt? Plan dan een gesprek via onze contactpagina.

2. Cyberbeveiligingsmaatregelen

Als uw organisatie gecategoriseerd is als essentiële of belangrijke entiteit, betekent dit dat u verantwoordelijk bent voor het implementeren van passende technische en organisatorische maatregelen om de beveiliging van uw netwerk- en informatiesystemen te waarborgen. Deze cybersecuritybeheersmaatregelen betreffen minstens:

Beleid voor risicoanalyse en beveiliging van informatiesystemen
Incidentenbeheer
Bedrijfscontinuïteit, zoals back-upbeheer en noodherstel, en crisisbeheer
Beveiliging van toeleveringsketen
Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden
Beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen
Cyberhygiëne en opleiding op het gebied van cyberbeveiliging
Beleid en procedures over cryptografie en in voorkomend geval encryptie
Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa
Gebruik van multifactorauthenticatie of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit, indien van toepassing

De Europese Commissie heeft in de uitvoeringsverordening 2024/2690 de bovenstaande minimummaatregelen voor cyberbeveiliging uitgewerkt voor DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, onlinezoekmachines, platforms voor socialenetwerkdiensten en verleners van vertrouwensdiensten.

3. Meldplicht bij significante incidenten

Belangrijke en essentiële entiteiten zijn verplicht het nationale Computer Security Incident Response Team (CSIRT), zijnde CSIRT-IE, in kennis te stellen wanneer zich een significant incident voordoet. Daarnaast dienen zij ook de ontvangers van hun diensten op de hoogte te brengen indien het significant incident de verlening van de diensten betreffende de (sub)sectoren van bijlage I en II affecteert.

Een incident wordt als significant beschouwd wanneer:

het incident heeft geleid of kan leiden tot ernstige verstoring van de dienstverlening of financiële verliezen voor de getroffen entiteit; of
het incident andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door het veroorzaken van aanzienlijke materiële of immateriële schade.

Het significante incident wordt door de essentiële en belangrijke entiteit gemeld per e-mail aan info@ncsc.gov.ie of aan incident@ncsc.gov.ie in het geval van een cyber security incident bij de overheid, volgens de volgende procedure:

Binnen 24 uur: de entiteit dient een vroegtijdige waarschuwing in, met melding van vermoedelijke oorzaak en eventuele grensoverschrijdende gevolgen;
Binnen 72 uur: de entiteit communiceert een incidentenmelding die een informatie-update bevat en een initiële beoordeling van het incident. Voor aanbieders van vertrouwensdiensten geldt een termijn van 24 uur voor het indienen van een incidentenrapport;
Op verzoek van het bevoegde CSIRT dient de entiteit een tussentijds verslag in;
Uiterlijk 1 maand na de incidentenmelding dient de entiteit een eindverslag in met vermelding van:
1. Een gedetailleerde beschrijving van het incident, alsook de ernst en de gevolgen ervan;
2. Het soort bedreiging of de grondoorzaak die waarschijnlijk tot het incident heeft geleid;
3. Toegepaste en lopende risicobeperkende maatregelen;
4. De grensoverschrijdende gevolgen van het incident, indien van toepassing.
Indien het incident nog lopende is één maand na de incidentenmelding, dient de entiteit een voorgangsverslag in en binnen de maand na de afhandeling van het incident wordt een eindverslag ingediend.

De Europese Commissie heeft in de uitvoeringsverordening 2024/2690 de criteria voor een significant incident bepaald voor DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, onlinezoekmachines, platforms voor sociale netwerkdiensten en verleners van vertrouwensdiensten. Deze bijzondere regels hebben voorrang op de nationale regels in het geval van tegenstrijdigheden.

Tot slot kunnen alle entiteiten, ongeacht of zij vallen binnen het toepassingsgebied van de NIS2-wet, vrijwillig (significante) incidenten, cyberdreigingen en bijna-incidenten melden bij het CSIRT-IE.

Meer informatie omtrent het melden van significante cyberincidenten vindt u hier.

4. Verantwoordelijkheden van het management

De bestuursorganen van essentiële en belangrijke entiteiten zijn verantwoordelijk voor de naleving van de NIS2-wet en dienen verschillende verplichtingen na te komen, waaronder:

Goedkeuren van de beheersmaatregelen voor cyberbeveiliging en toezicht houden op de naleving ervan
Volgen van training om over voldoende kennis en vaardigheden te beschikken om risico’s te kunnen identificeren en beheersmaatregelen en de impact ervan op hun diensten te kunnen beoordelen
Voortdurend bijscholen van de werknemers van de cyber security entiteit op het gebied van cyber security

De bestuursorganen zijn aansprakelijk bij niet-naleving van de NIS2-wet.

5. Samenwerking met autoriteiten

Essentiële en belangrijke entiteiten dienen samen te werken met de nationale autoriteiten. Dit betreft het uitwisselen van informatie over de beveiliging van netwerk- en informatiesystemen, het rapporteren van incidenten en samenwerking met de inspectiedienst, enzovoort.

CTA: Wilt u gericht werken aan aantoonbare NIS2-compliance (zoals ISO/IEC 27001 of CyberFundamentals)? Neem contact op via de contactpagina.

Hoe kan ik aantonen dat mijn bedrijf in regel is met de NIS2-wetgeving in Ierland?

Essentiële en belangrijke entiteiten dienen op frequente basis een compliance audit te laten uitvoeren. Op basis van een onafhankelijke conformiteitsbeoordeling door een
geaccrediteerde Conformity Assessment Body (CAB),
kan de entiteit een certificaat behalen waarmee de naleving van de NIS2-wet kan worden aangetoond aan stakeholders.

Via de website van het NCSC wordt gecommuniceerd over specifieke normenkaders die een entiteit kan hanteren, waaronder het CyberFundamentals framework (CyFun) en ISO/IEC 27001.

CyberFundamentals label

Het CCB heeft een kader ontwikkeld, bestaande uit concrete maatregelen met als doel gegevens beter te beschermen, het risico op de meest voorkomende cyberaanvallen te verkleinen en de cyberweerbaarheid van een organisatie te vergroten.

Op basis van de ernst van de dreiging waaraan een organisatie is blootgesteld, wordt een onderscheid gemaakt tussen het startersniveau Small en drie zekerheidsniveaus: Basic, Important en Essential. Het
CyFun Framework
bevat voor ieder niveau een set aan beheersmaatregelen.

Om het CyFun label te kunnen bekomen dienen volgende stappen door u ondernomen te worden:

Bepaal het CyFun zekerheidsniveau door een risicobeoordeling uit te voeren. Hiervoor kan u gebruik maken van de
CyFun Selection Tool.
Vervolledig een
Self Assessment
en implementeer corrigerende maatregelen.
Laat de Self Assessment en de geïmplementeerde maatregelen verifiëren of certificeren door een
CAB.
Vraag het CyFun label aan via het
Safeonweb@work portaal.

ISO/IEC 27001 certificering

Een andere mogelijkheid om aan te tonen in regel te zijn met de NIS2 is het ISO/IEC 27001-certificaat. ISO/IEC 27001 is de wereldwijd erkende standaard voor informatiebeveiliging en beschrijft de eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS).

Om een ISO 27001-certificering te kunnen behalen dienen volgende stappen ondernomen te worden:

Verwerf de nodige kennis over ISO/IEC 27001, door middel van bijvoorbeeld
training.
Implementeer het ISO 27001-managementsysteem conform de normeisen in uw organisatie.
Voer interne audits uit.
Laat het management de resultaten van de interne audit beoordelen en neem indien nodig corrigerende maatregelen. Leg de conclusie over het voldoen aan de eisen vast in de directiebeoordeling.
Contacteer een geaccrediteerde
CAB
voor het uitvoeren van een externe audit.

HowTo: NIS2-compliance aantonen in Ierland

Wilt u aantoonbaar voldoen aan de NIS2-wetgeving in Ierland? Dan is het essentieel om uw compliance gestructureerd en controleerbaar op te bouwen. Onderstaand stappenplan laat zien hoe u dit op een praktische en conforme manier aanpakt.

Stap 1: Bepaal of uw organisatie onder de Ierse NIS2-wet valt

Start met het vaststellen of uw organisatie is aangemerkt als essentiële of belangrijke entiteit. Dit gebeurt op basis van de geleverde diensten, de bedrijfsgrootte en de vestiging van uw organisatie. In twijfelgevallen kan de nationale autoriteit alsnog een aanwijzing doen.

Stap 2: Kies een geschikt conformiteitskader

Afhankelijk van uw risicoprofiel en organisatorische context kiest u een passend kader om NIS2-compliance aan te tonen. In Ierland wordt onder meer gewerkt met:

CyberFundamentals (CyFun) – een risicogebaseerd kader met verschillende zekerheidsniveaus
ISO/IEC 27001 – een internationaal erkende norm voor informatiebeveiligingsmanagement

Stap 3: Voer een risicoanalyse uit en implementeer beheersmaatregelen

Op basis van het gekozen kader voert u een risicoanalyse uit en implementeert u passende technische en organisatorische maatregelen. Deze maatregelen moeten aansluiten bij de aard, omvang en complexiteit van uw organisatie en aantoonbaar worden vastgelegd.

Stap 4: Laat een onafhankelijke conformiteitsbeoordeling uitvoeren

Vervolgens laat u uw organisatie beoordelen door een geaccrediteerde Conformity Assessment Body (CAB). Deze onafhankelijke partij verifieert of de geïmplementeerde maatregelen voldoen aan de gekozen norm en aan de NIS2-vereisten.

Stap 5: Borg en onderhoud uw NIS2-compliance

NIS2-compliance is geen eenmalige inspanning. U dient periodiek audits uit te voeren, risico’s te herbeoordelen en maatregelen te actualiseren. Zo blijft uw organisatie aantoonbaar in regel met de Ierse NIS2-wetgeving.

Wilt u weten welke aanpak het beste past bij uw organisatie of hoe u een conformiteitsbeoordeling voorbereidt? Raadpleeg dan een expert via onze contactpagina.

Wenst u meer informatie over certificering?

Neem dan contact op met een expert.

Handhaving en sancties in Ierland

De bevoegde autoriteit kan inspecties uitvoeren om te controleren of cyberbeveiligingsentiteiten voldoen aan de vereisten uit de Ierse NIS2-wet. Daarbij wordt een belangrijk onderscheid gemaakt tussen essentiële entiteiten en belangrijke entiteiten:

Essentiële entiteiten worden zowel proactief (ex-ante) als reactief (ex-post) gecontroleerd en zijn verplicht om regelmatige conformiteitsbeoordelingen te laten uitvoeren.
Belangrijke entiteiten worden in principe enkel reactief gecontroleerd, na een incident of bij een vermoeden van niet-naleving.

Wanneer een entiteit de wettelijke bepalingen niet naleeft, voorziet de Ierse NIS2-wet in sancties. Deze kunnen variëren naargelang de aard en ernst van de overtreding en vallen doorgaans uiteen in administratieve maatregelen en administratieve boetes.

Administratieve maatregelen

Voorbeelden van administratieve maatregelen zijn onder meer:

het geven van waarschuwingen;
het verplichten van de entiteit om specifieke verbetermaatregelen te treffen;
het aanstellen van een toezichthouder die toezicht houdt op de naleving van de NIS2-wet.

Administratieve boetes

Administratieve boetes zijn wettelijk vastgelegd en kunnen oplopen tot:

10.000.000 euro of 2% van de totale wereldwijde jaaromzet van een essentiële entiteit; of
7.000.000 euro of 1,4% van de totale wereldwijde jaaromzet van een belangrijke entiteit.

Wilt u snel weten wat dit betekent voor uw organisatie? Bekijk dan ook het tabblad Verplichtingen en het tabblad Bewijs om te bepalen welke stappen u nu al kunt nemen.

Stel uw vraag aan een expert via onze contactpagina.

Tijdlijn NIS2 Ierland

17 oktober 2024 was de initiële deadline voor EU-lidstaten om de NIS2-richtlijn om te zetten in nationale wetgeving. Ierland heeft deze deadline niet gehaald; de NIS2-wetgeving bevindt zich nog in het wetgevend traject.

Zodra de Ierse NIS2-wet formeel is aangenomen, worden concrete verplichtingen en bindende deadlines vastgesteld voor essentiële en belangrijke entiteiten, onder meer op het vlak van registratie, beheersmaatregelen, rapportage en conformiteitsbeoordeling.

Deze pagina wordt bijgewerkt zodra er meer duidelijkheid is over:

de inwerkingtreding van de Ierse NIS2-wet;
de registratieverplichtingen en bijhorende termijnen;
de deadlines voor compliance- en conformiteitsbeoordelingen.

Wilt u nu al voorbereid zijn op NIS2 in Ierland? Bekijk dan ook het tabblad Verplichtingen om te zien welke maatregelen u vandaag al kunt nemen, of stel uw vraag via de contactpagina.

Bevoegde autoriteiten NIS2 in Ierland

Voor de uitvoering, het toezicht en de handhaving van de NIS2-wetgeving in Ierland zijn meerdere bevoegde autoriteiten aangewezen. Deze autoriteiten spelen een centrale rol bij cyberbeveiliging, incidentrespons en naleving van de NIS2-verplichtingen.

Centrale nationale autoriteit

Het National Cyber Security Centre (NCSC) is de centrale nationale autoriteit voor cyberbeveiliging in Ierland en verantwoordelijk voor de coördinatie en implementatie van de NIS2-wet. Het NCSC richt zich met name op de bescherming van overheidsnetwerken en kritieke nationale infrastructuur.

Binnen het NCSC is het Computer Security Incident Response Team (CSIRT-IE) actief. Dit team is verantwoordelijk voor:

het reageren op significante cyberincidenten;
het verlenen van technische ondersteuning bij beveiligingsincidenten;
het monitoren en analyseren van cyberdreigingen;
het delen van informatie met nationale en internationale partners.

Sectorale toezichthouders

Naast het NCSC zijn in Ierland ook sectorale bevoegde autoriteiten aangewezen. Zij zijn verantwoordelijk voor toezicht en handhaving binnen hun specifieke sectoren.

Bevoegde autoriteit	Sector(en)
Commission for the Regulation of Utilities (CRU)	Energie, drinkwater en afvalwater
Commission for Communications Regulation (ComReg)	Digitale infrastructuur, ICT-diensten, ruimtevaart en digitale aanbieders
Central Bank of Ireland (CBI)	Banken en financiële markten
Irish Aviation Authority (IAA)	Luchtvaart
Commission for Rail Regulation (CRR)	Spoorvervoer
Minister for Transport	Scheepvaart
National Transport Authority (NTA)	Wegvervoer
Agentschappen onder de Minister van Volksgezondheid	Gezondheidszorg

Deze bevoegde autoriteiten werken samen binnen een nationaal forum van toezichthouders. Binnen hun respectieve sectoren zijn zij verantwoordelijk voor toezicht, handhaving, incidentafhandeling en ondersteuning in het kader van de NIS2-wetgeving.

Veelgestelde vragen over NIS2 in Ierland

Wat is NIS2 en waarom is deze wetgeving van toepassing in Ierland?

De NIS2-richtlijn (EU) 2022/2555 is ingevoerd om de cyberveiligheid binnen de Europese Unie te versterken. De richtlijn legt strengere eisen op aan cyberbeveiliging en heeft een breder toepassingsgebied dan de eerdere NIS1-richtlijn. Ierland werkt aan de omzetting van deze richtlijn in nationale wetgeving via de Ierse NIS2-wet.

Welke organisaties vallen onder de Ierse NIS2-wet?

De Ierse NIS2-wet is van toepassing op zowel publieke als private entiteiten die in Ierland gevestigd zijn en producten of diensten leveren binnen sectoren die zijn opgenomen in bijlage I en II van de NIS2-wet. Daarbij wordt gekeken naar de geleverde diensten, de grootte van de organisatie en de vestiging van de entiteit.

Wat is het verschil tussen essentiële en belangrijke entiteiten?

De NIS2-wet maakt een onderscheid tussen essentiële en belangrijke entiteiten. Deze classificatie is gebaseerd op de sector waarin de organisatie actief is, de aard van de dienstverlening en de omvang van de organisatie. Essentiële entiteiten vallen onder strenger toezicht dan belangrijke entiteiten.

Welke sectoren vallen onder het toepassingsgebied van NIS2 in Ierland?

De sectoren die onder de Ierse NIS2-wet vallen, zijn opgenomen in bijlage I (zeer kritieke sectoren) en bijlage II (andere kritieke sectoren). Deze sectoren komen overeen met de sectoren zoals vastgelegd in de Europese NIS2-richtlijn.

Moet mijn organisatie geregistreerd zijn onder NIS2 in Ierland?

Organisaties die als essentiële of belangrijke entiteit worden aangemerkt, moeten zich registreren bij de National Cyber Security Centre (NCSC). Op dit moment is het officiële registratieportaal nog niet beschikbaar, omdat de NIS2-richtlijn nog niet volledig is omgezet in Ierse wetgeving.

Welke cyberbeveiligingsmaatregelen zijn verplicht onder NIS2?

Essentiële en belangrijke entiteiten zijn verplicht passende technische en organisatorische maatregelen te implementeren om hun netwerk- en informatiesystemen te beveiligen. Deze maatregelen omvatten onder andere risicoanalyse, incidentenbeheer, bedrijfscontinuïteit, beveiliging van de toeleveringsketen en cyberhygiëne.

Wanneer moet een cyberincident worden gemeld?

Wanneer zich een significant cyberincident voordoet, zijn essentiële en belangrijke entiteiten verplicht dit te melden bij het nationale Computer Security Incident Response Team (CSIRT-IE). Ook moeten zij, indien van toepassing, de afnemers van hun diensten informeren.

Wat wordt beschouwd als een significant incident?

Een incident wordt als significant beschouwd wanneer het heeft geleid of kan leiden tot ernstige verstoring van de dienstverlening of financiële schade, of wanneer het aanzienlijke materiële of immateriële schade kan veroorzaken voor andere natuurlijke of rechtspersonen.

Wie houdt toezicht op de naleving van NIS2 in Ierland?

Het National Cyber Security Centre (NCSC) is de centrale bevoegde autoriteit voor NIS2 in Ierland. Daarnaast zijn sectorale toezichthouders aangewezen die verantwoordelijk zijn voor toezicht en handhaving binnen hun specifieke sectoren.

Welke sancties kunnen worden opgelegd bij niet-naleving van NIS2?

Bij niet-naleving van de Ierse NIS2-wet kunnen administratieve maatregelen en administratieve boetes worden opgelegd. Deze boetes kunnen oplopen tot 10.000.000 euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten en tot 7.000.000 euro of 1,4% voor belangrijke entiteiten.