NIS2 en Irlanda

1. Vista rápida de aplicabilidad para pymes en Irlanda

¿Se aplica NIS2 a las pymes en 1. Vista rápida de aplicabilidad para pymes en Irlanda?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Se aplica a las entidades establecidas en Irlanda y, en determinados casos, a los proveedores digitales extranjeros que prestan servicios al mercado irlandés.

Las pymes deben evaluar si califican en virtud del marco nacional de ciberseguridad de Irlanda en función de la clasificación sectorial y de los umbrales legales.

2. Panorama de la implementación de NIS2 en Irlanda

Irlanda está implementando la Directiva mediante el National Cyber Security Bill 2024, cuyo esquema general se publicó el 30 de agosto de 2024. La ley no había sido promulgada a abril de 2026, lo que significa que Irlanda incumplió el plazo de transposición de la UE del 17 de octubre de 2024 y está sujeta a procedimientos de infracción de la Comisión Europea.

Una vez promulgada, la ley sustituirá las regulaciones NIS1 vigentes (S.I. 360 of 2018) y dotará por primera vez al National Cyber Security Centre (NCSC) de base estatutaria. Las elecciones generales de 2024 contribuyeron al retraso; la ley ha recibido estatus de redacción prioritaria, con promulgación prevista durante 2026.

El proyecto propone un modelo federado de supervisión multiautoridad liderado por NCSC Irlanda y respaldado por reguladores sectoriales (CRU, ComReg, Banco Central de Irlanda). NCSC recomienda el marco CyberFundamentals (CyFun) como método de cumplimiento preferido, aceptándose también ISO/IEC 27001.

3. Ámbito de aplicación en Irlanda

El ámbito de aplicación de Irlanda refleja las categorías sectoriales mínimas de la Directiva, sin expansión estructural confirmada.

4. Umbrales de tamaño y aplicabilidad a pymes en Irlanda

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios dentro de los sectores cubiertos quedan automáticamente dentro del ámbito de aplicación.

Las pequeñas y microempresas pueden ser designadas si se consideran críticas para la estabilidad económica, la seguridad pública o la continuidad de los servicios esenciales.

Las autoridades irlandesas conservan facultades formales de designación cuando el riesgo sistémico justifique la inclusión.

5. Marco de clasificación de entidades en Irlanda

Las entidades se clasifican como:

• Entidades esenciales — sometidas a supervisión proactiva, incluidas auditorías y un seguimiento estructurado del cumplimiento.
• Entidades importantes — principalmente sometidas a supervisión reactiva activada por incidentes significativos o preocupaciones de cumplimiento.

La clasificación se determina por el sector y el tamaño. Las autoridades pueden reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifiquen una supervisión reforzada.

Irlanda sigue la estructura de supervisión de dos niveles de la Directiva.

6. Requisitos de gestión de riesgos de ciberseguridad en Irlanda

El régimen nacional de Irlanda se alinea con el nivel de referencia de la Directiva para la gestión de riesgos de ciberseguridad. Las entidades incluidas en el ámbito de aplicación deben implementar medidas técnicas y organizativas proporcionales que aborden:

• Análisis de riesgos y protección de sistemas
• Detección y respuesta a incidentes
• Continuidad del negocio y gestión de crisis
• Controles de riesgo de la cadena de suministro de NIS2 en Irlanda
• Adquisición y desarrollo seguros de sistemas TIC
• Control de acceso y gestión de identidades
• Cifrado y salvaguardas criptográficas
• Procedimientos de gestión de vulnerabilidades
• Formación en ciberseguridad del personal

Las medidas deben reflejar normas de estado del arte y la exposición al riesgo de la organización. Se fomenta la alineación con ISO/IEC 27001 y las directrices irlandesas de ciberseguridad.

7. Responsabilidad de la dirección y gobernanza en Irlanda

Los órganos de administración deben aprobar formalmente las medidas de gestión de riesgos de ciberseguridad y supervisar su implantación.

En el marco de Irlanda:

• Los consejos de administración son responsables de la supervisión del cumplimiento.
• La alta dirección debe garantizar una competencia suficiente en ciberseguridad.
• Las sanciones administrativas pueden abordar fallos de gobernanza.
• La suspensión temporal de funciones directivas puede estar disponible en virtud de mecanismos de ejecución alineados con la Directiva.

Las expectativas de responsabilidad de la dirección en Irlanda bajo NIS2 elevan la gobernanza de la ciberseguridad a una responsabilidad a nivel ejecutivo.

8. Obligaciones de notificación de incidentes en Irlanda

9. Autoridades de supervisión y modelo de aplicación en Irlanda

Autoridad competente principal (propuesta en la ley, aún no promulgada): National Cyber Security Centre (NCSC Irlanda), también designado CSIRT nacional. NCSC opera actualmente sin base estatutaria a la espera de la promulgación.

Estructura federada multiautoridad propuesta para Irlanda: NCSC lidera la coordinación intersectorial; CRU (energía, agua, aguas residuales); ComReg (infraestructura digital, gestión de servicios TIC, espacio, proveedores digitales); Banco Central de Irlanda (banca, infraestructuras del mercado financiero).

Las facultades de supervisión incluyen:

• Requerimientos de documentación e información
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones vinculantes de cumplimiento
• Participación en los mecanismos de coordinación de ciberseguridad de la UE

La estructura de aplicación propuesta se alinea con los requisitos de cooperación de la Directiva; las facultades supervisoras aún no están legalmente operativas a la espera de la promulgación de la ley.

10. Multas y sanciones de NIS2 en Irlanda

Irlanda aplica sanciones administrativas alineadas con la Directiva.

La aplicación de NIS2 en Irlanda, además de multas, también puede incluir:

• Órdenes de subsanación vinculantes
• Identificación pública de entidades incumplidoras
• Suspensión de autorizaciones o certificaciones
• Facultades para suspender a los directivos

La responsabilidad penal se aplica únicamente cuando esté prevista explícitamente en la legislación irlandesa.

11. Seguridad de la cadena de suministro y de proveedores según NIS2 en Irlanda

Las entidades deben gestionar la exposición a riesgos de ciberseguridad de terceros mediante:

• Evaluaciones de riesgos de proveedores
• Disposiciones contractuales de traspaso de requisitos de seguridad
• Supervisión continua de proveedores de TIC
• Análisis del riesgo de concentración
• Mitigación de la propagación de incidentes

El enfoque de Irlanda se alinea con las expectativas básicas de la Directiva en materia de gestión del riesgo de proveedores.

12. Obligaciones de registro y autoidentificación en Irlanda

Las entidades dentro del alcance deben:

• Actualmente no existe obligación de registro NIS2 en Irlanda; el registro será obligatorio una vez promulgada la ley y lanzado el portal del NCSC (provisionalmente julio de 2026). Prepare ahora número de empresa, código NACE y un contacto designado de ciberseguridad.
• Proporcionar datos de identificación corporativa
• Divulgar la clasificación sectorial
• Mantener actualizados los contactos de notificación

No se aplican plazos de registro actuales. El esquema general propone autorregistro en un plazo de 3 meses desde el lanzamiento del portal; se espera que el portal de registro del NCSC esté operativo en torno a julio de 2026, aproximadamente 3 meses tras la promulgación.

La autoidentificación aún no es legalmente obligatoria. Las entidades deben realizar ahora una evaluación voluntaria del ámbito utilizando la herramienta de evaluación de alcance CyberFundamentals (CyFun) del NCSC para prepararse para las obligaciones estatutarias.

13. Interacción con el RGPD y otras leyes en Irlanda

El Reglamento General de Protección de Datos sigue siendo de aplicación en paralelo.

Las consideraciones de superposición incluyen:

• Notificación de brecha de datos personales en 72 horas
• Coordinación con la autoridad de control

14. Aplicabilidad transfronteriza

Las entidades con su establecimiento principal en Irlanda están supervisadas por las autoridades irlandesas para los servicios transfronterizos.

Los proveedores digitales extranjeros que ofrezcan servicios en Irlanda pueden estar sujetos a obligaciones nacionales dependiendo de su estructura de establecimiento.

Los requisitos de representación siguen las normas de la Directiva para los proveedores no pertenecientes a la UE que prestan servicios en el mercado irlandés.

15. Calendario de implementación en Irlanda

• Adopción de la Directiva: 2022
• Modificaciones legislativas nacionales: Esquema general del National Cyber Security Bill 2024 publicado el 30 de agosto de 2024; aprobado para redacción prioritaria el 24 de julio de 2024; escrutinio prelegislativo en curso; no promulgado a abril de 2026.
• Entrada en vigor: Pendiente de promulgación; prevista durante 2026.
• Notificación a la Comisión: Procedimientos de infracción de la UE activos — notificación formal emitida por el incumplimiento del plazo del 17 de octubre de 2024; la remisión al TJUE sigue siendo posible.
• Hito de cumplimiento: Portal de registro del NCSC previsto en torno a julio de 2026 (aproximadamente 3 meses tras la promulgación); las obligaciones de cumplimiento completas siguen a la promulgación.

Irlanda incumplió el plazo de transposición de la UE y permanece sujeta a procedimientos de infracción. NIS1 (S.I. 360 of 2018) sigue aplicándose en el ínterin. Se espera la promulgación y el lanzamiento del portal durante 2026; las entidades deben completar evaluaciones de alcance y preparación ahora.

16. Puntos clave para las pymes en Irlanda

• Las entidades medianas en sectores cubiertos quedarán automáticamente en el ámbito una vez promulgada la ley — utilice este periodo para realizar una evaluación de alcance.
• Las pequeñas entidades pueden ser designadas si son críticas para la estabilidad nacional o económica.
• La supervisión de gobernanza a nivel de consejo es obligatoria; el esquema general apunta a CEOs y consejeros con responsabilidad personal — informe ahora a los consejos.
• La notificación de incidentes sigue plazos de 24h / 72h / 1 mes.
• Las sanciones financieras pueden alcanzar 10 millones de euros o el 2 % de la facturación global.
• Se requiere gestión de riesgos de proveedores.
• La planificación temprana es crítica dada la promulgación prevista para julio de 2026 — NCSC recomienda el marco CyberFundamentals (CyFun) como método de cumplimiento preferido, aceptándose también ISO/IEC 27001; comience ahora el análisis de brechas.

Preguntas frecuentes: Guía NIS2 Irlanda para pymes