NIS2 in Portugal

1. Schneller Überblick zur Anwendbarkeit für KMU in Portugal

Gilt NIS2 für KMU in Portugal?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in Portugal ansässige Einrichtungen und in bestimmten Fällen für ausländische digitale Anbieter, die den portugiesischen Markt bedienen.

KMU sollten ihre Einstufung nach dem nationalen Cybersicherheitsrahmen Portugals anhand der Sektorzuordnung und gesetzlicher Schwellenwerte prüfen.

2. Überblick zur Umsetzung der NIS2 in Portugal

Portugal hat die NIS2-Umsetzung durch das Dekretgesetz Nr. 125/2025 (Regime Jurídico da Cibersegurança) abgeschlossen, das am 4. Dezember 2025 veröffentlicht wurde und seit dem 3. April 2026 in Kraft ist und das Gesetz 46/2018 sowie das Dekretgesetz 65/2021 vollständig ersetzt.

Der neue Rahmen bringt Portugal in Einklang mit der Richtlinie (EU) 2022/2555 und verschärft Anforderungen an Governance, Cybersicherheits-Risikomanagement, Vorfallmeldung, Aufsicht und Sanktionen. Portugal hat die Umsetzungsfrist vom 17. Oktober 2024 versäumt; die Europäische Kommission gab im Mai 2025 eine mit Gründen versehene Stellungnahme ab, die mit Veröffentlichung des Dekretgesetzes erledigt war.

Das Dekretgesetz führt einen verpflichtenden Cybersicherheitsbeauftragten (Mitglied des Leitungsorgans oder direkt unterstellt) sowie einen ständigen 24/7-CNCS-Kontaktpunkt ein, die beide innerhalb von 20 Arbeitstagen nach Inkrafttreten (d. h. bis zum 4. Mai 2026) an das CNCS gemeldet werden müssen. Wesentliche Pflichten zu Risikomanagement, Lieferkettensicherheit und Jahresberichten gelten 24 Monate nach Veröffentlichung der CNCS-Durchführungsverordnungen. Öffentliche Stellen werden als relevante öffentliche Einrichtungen der Gruppe A oder B klassifiziert.

3. Anwendungsbereich in Portugal

Der Anwendungsbereich Portugals spiegelt die Mindestsektorkategorien der Richtlinie wider, ohne bestätigte strukturelle Erweiterung.

4. Größenschwellen und Anwendbarkeit auf KMU in Portugal

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die beide Kriterien in den erfassten Sektoren erfüllen, fallen automatisch in den Anwendungsbereich.

Kleine und Kleinstunternehmen können benannt werden, wenn sie als kritisch für die nationale Sicherheit, die wirtschaftliche Stabilität oder die Kontinuität wesentlicher Dienste angesehen werden.

Die portugiesischen Behörden behalten formelle Benennungsbefugnisse, wenn systemische Risiken eine Einbeziehung rechtfertigen.

5. Klassifizierungsrahmen für Einrichtungen in Portugal

Einrichtungen werden eingeteilt in:

• Wesentliche Einrichtungen — Unterliegen einer proaktiven Aufsicht, einschließlich Inspektionen und strukturiertem Compliance-Monitoring.
• Wichtige Einrichtungen — Unterliegen in erster Linie einer reaktiven Aufsicht, die durch erhebliche Vorfälle oder Compliance-Bedenken ausgelöst wird.

Die Einstufung richtet sich nach Sektor und Größe. Behörden können Einrichtungen neu einstufen, wenn betriebliche Auswirkungen oder das Risikoprofil eine verstärkte Aufsicht rechtfertigen.

Portugal folgt der zweistufigen Aufsichtsstruktur der Richtlinie.

6. Anforderungen an das Cybersicherheits-Risikomanagement in Portugal

Das nationale Regelwerk Portugals entspricht den Basisanforderungen der Richtlinie für das Cybersicherheits-Risikomanagement. Erfasste Einrichtungen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes abdecken:

• Risikoanalyse und Systemschutz
• Vorfallserkennung und -reaktion
• Geschäftskontinuität und Krisenmanagement
• NIS2-Lieferketten-Risikokontrollen (Portugal)
• Sichere Beschaffung und Entwicklung von IKT-Systemen
• Zugriffskontrolle und Identitätsmanagement
• Verschlüsselung und kryptografische Schutzmaßnahmen
• Verfahren zum Schwachstellenmanagement
• Schulungen zur Cybersicherheit für Mitarbeitende

Maßnahmen müssen dem Stand der Technik und dem organisatorischen Risikoprofil entsprechen. Eine Ausrichtung an ISO/IEC 27001 und portugiesischen Leitlinien zur Cybersicherheit wird empfohlen.

7. Managementhaftung und Governance in Portugal

Leitungsorgane müssen Maßnahmen zum Management von Cybersicherheitsrisiken formell genehmigen und deren Umsetzung überwachen.

Nach dem portugiesischen Rahmenwerk:

• Leitungs- und Aufsichtsorgane sind für die Überwachung der Compliance verantwortlich.
• Das obere Management muss ausreichende Cybersicherheitskompetenzen sicherstellen. Portugal verlangt zusätzlich die Benennung eines verpflichtenden Cybersicherheitsbeauftragten (Mitglied des Leitungsorgans oder direkt unterstellt), der dem CNCS bis zum 4. Mai 2026 zu melden ist.
• Verwaltungssanktionen können Governance-Versäumnisse ahnden.
• Eine vorübergehende Aussetzung von Leitungsfunktionen kann im Rahmen an der Directive ausgerichteter Durchsetzungsmechanismen vorgesehen sein.

Die portugiesischen Erwartungen zur NIS2-Managementhaftung heben die Cybersicherheits-Governance auf eine Verantwortung auf Führungsebene.

8. Meldepflichten für Sicherheitsvorfälle in Portugal

9. Aufsichtsbehörden und Durchsetzungsmodell in Portugal

National Cybersecurity Centre (CNCS) (Centro Nacional de Cibersegurança) mit verstärkten Befugnissen nach Dekretgesetz 125/2025; Sektor- und Sonderaufsichtsbehörden beaufsichtigen bestimmte Sektoren neben dem CNCS; ein neues Crisis Office koordiniert Einrichtungen mit Zuständigkeiten in den Bereichen innere Sicherheit, Verteidigung und Strafverfolgung.

Portugal betreibt ein mehrschichtiges Aufsichtsmodell: Das CNCS ist die primäre nationale Behörde; Sektoraufsichtsbehörden überwachen ihre jeweiligen Sektoren; Sonderaufsichtsbehörden sind für bestimmte regulierte Bereiche zuständig. Das CNCS koordiniert über alle Ebenen hinweg, kann verbindliche Anweisungen erteilen und Audits durchführen.

Zu den Aufsichtsbefugnissen gehören:

• Anforderungen von Unterlagen und Auskünften
• Sicherheitsaudits
• Vor-Ort-Inspektionen
• Verbindliche Anordnungen zur Einhaltung
• Mitwirkung an EU-Koordinierungsmechanismen für Cybersicherheit

Die Durchsetzungsstruktur steht im Einklang mit den Kooperationsanforderungen auf Richtlinienebene.

10. NIS2-Bußgelder und Sanktionen in Portugal

Portugal wendet richtlinienkonforme Verwaltungssanktionen an.

NIS2-Geldbußen: Die Durchsetzung in Portugal kann außerdem Folgendes umfassen:

• Verbindliche Abhilfeanordnungen
• Öffentliche Identifizierung nicht konformer Einrichtungen
• Aussetzung von Genehmigungen oder Zertifizierungen
• Befugnisse zur Suspendierung von Leitungsorganen
• Für öffentliche Einrichtungen der Gruppe A und Gruppe B gelten nach dem Dekretgesetz gesonderte Bußgeldrahmen

11. NIS2-Lieferkette und Lieferantensicherheit in Portugal

Einrichtungen müssen die Cybersicherheitsrisiken durch Dritte mittels:

• Risikobewertungen von Lieferanten
• Vertragliche Weitergabeklauseln für Sicherheitsanforderungen
• Kontinuierliche Überwachung von IKT-Lieferanten
• Konzentrationsrisikoanalyse
• Eindämmung der Ausbreitung von Vorfällen

Der Ansatz Portugals entspricht den grundlegenden Erwartungen der Richtlinie hinsichtlich des Lieferantenrisikomanagements.

12. Registrierungs- und Selbstidentifizierungspflichten in Portugal

Einrichtungen im Geltungsbereich müssen:

• Selbstidentifizierung und Registrierung über die vom CNCS bereitzustellende elektronische Plattform — bestehende Einrichtungen haben 60 Tage ab Plattformstart, neue Einrichtungen 30 Tage ab Aufnahme der Tätigkeit; Registrierungen sind aktuell zu halten
• Unternehmensidentifikationsdaten bereitstellen
• Sektorklassifizierung offenlegen — Einrichtungen müssen sich als wesentlich, wichtig oder (bei öffentlichen Stellen) als relevante öffentliche Einrichtung der Gruppe A oder Gruppe B einstufen
• Meldekontakte aktuell halten — ein ständiger 24/7-Kontaktpunkt muss benannt und dem CNCS bis zum 4. Mai 2026 mitgeteilt werden

Die CNCS-Registrierungsplattform war im April 2026 noch nicht gestartet. Wesentliche Pflichten zu Risikomanagement, Lieferkette, Geschäftskontinuität und Jahresberichten gelten 24 Monate nach Veröffentlichung der CNCS-Durchführungsverordnungen. Einrichtungen sollten die Selbstklassifizierung jetzt abschließen und den Cybersicherheitsbeauftragten zur Vorbereitung benennen.

Selbstidentifizierung ist verpflichtend, wenn Einrichtungen die gesetzlichen Schwellenwerte erfüllen. Die Benennung des Cybersicherheitsbeauftragten und des 24/7-Kontaktpunkts sind die beiden unmittelbar umzusetzenden Pflichten, die jeweils bis zum 4. Mai 2026 erfüllt sein müssen.

13. Interaktion mit GDPR und anderen Gesetzen in Portugal

Die General Data Protection Regulation findet weiterhin parallel Anwendung.

Überschneidungen umfassen:

• 72-Stunden-Meldung bei Verletzungen des Schutzes personenbezogener Daten
• Koordinierung der Aufsichtsbehörden

Ein Cybervorfall kann Meldepflichten unter beiden Regimen auslösen.

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Portugal werden für grenzüberschreitende Dienste von den portugiesischen Behörden beaufsichtigt.

Ausländische digitale Anbieter, die in Portugal Dienste erbringen, können je nach Niederlassungsstruktur nationalen Verpflichtungen unterliegen.

Vertretungspflichten folgen den Directive-Standards für non-EU-Anbieter, die den portugiesischen Markt bedienen.

15. Umsetzungszeitplan in Portugal

• Annahme der Richtlinie: 2022
• Annahme der Richtlinie: 2022
• Nationale Gesetzgebungsschritte: Gesetz Nr. 59/2025 zur Ermächtigung der Regierung zur Umsetzung, veröffentlicht am 22. Oktober 2025; Dekretgesetz Nr. 125/2025 (Regime Jurídico da Cibersegurança), veröffentlicht am 4. Dezember 2025, ersetzt Gesetz 46/2018 und Dekretgesetz 65/2021
• Inkrafttreten: 3. April 2026 (120 Tage nach Veröffentlichung)
• Mitteilung an die Kommission: Mit Gründen versehene Stellungnahme der EK vom 7. Mai 2025, erledigt nach Veröffentlichung des Dekretgesetzes am 4. Dezember 2025
• Compliance-Meilensteine: Cybersicherheitsbeauftragter und 24/7-Kontakt bis 4. Mai 2026; CNCS-Plattformregistrierung innerhalb von 60 Tagen nach Plattformstart (Datum noch offen); wesentliche Pflichten 24 Monate nach CNCS-Durchführungsverordnungen

Portugal hat die Umsetzung am 3. April 2026 mit dem Dekretgesetz 125/2025 abgeschlossen. Die unmittelbaren Pflichten (Cybersicherheitsbeauftragter und 24/7-Kontakt) sind bis 4. Mai 2026 zu erfüllen; die vollständige Umsetzung der wesentlichen Risikomanagement- und Berichtspflichten hängt von den CNCS-Durchführungsverordnungen ab, die ein weiteres 24-monatiges Compliance-Fenster auslösen.

16. Zentrale Erkenntnisse für KMU in Portugal

• Mittlere Unternehmen in erfassten Sektoren fallen automatisch in den Anwendungsbereich. Das Dekretgesetz 125/2025 ist seit dem 3. April 2026 in Kraft — die Selbstklassifizierung als wesentlich oder wichtig sollte jetzt erfolgen.
• Kleine Unternehmen können benannt werden, wenn sie für die nationale oder wirtschaftliche Stabilität kritisch sind.
• Governance-Aufsicht auf Board-Level ist verpflichtend. Portugal verlangt die Benennung eines Cybersicherheitsbeauftragten (Mitglied des Leitungsorgans oder direkt unterstellt), der dem CNCS bis 4. Mai 2026 zu melden ist.
• Incident Reporting folgt Fristen von 24h / 72h / 1 Monat.
• Finanzielle Sanktionen können bis zu €10 Millionen oder 2 % des weltweiten Umsatzes betragen.
• Vendor Risk Management ist erforderlich.
• Die beiden dringendsten Pflichten sind bis 4. Mai 2026 zu erfüllen (Cybersicherheitsbeauftragter und ständiger 24/7-CNCS-Kontakt); Registrierung auf der CNCS-Plattform innerhalb von 60 Tagen nach Start; wesentliche Risikomanagement- und Berichtspflichten gelten 24 Monate nach Veröffentlichung der CNCS-Durchführungsverordnungen — die Vorbereitung sollte jetzt beginnen.

FAQ: NIS2 Portugal KMU-Leitfaden