NIS2 en Portugal

1. Aperçu rapide de l’applicabilité des SMEs au Portugal

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l’applicabilité des SMEs au Portugal ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S’applique aux entités établies au Portugal et, dans certains cas, aux fournisseurs numériques étrangers desservant le marché portugais.

Les SMEs devraient évaluer leur qualification au titre du cadre national portugais de cybersécurité en fonction de la classification sectorielle et des seuils légaux.

2. Aperçu de la mise en œuvre de NIS2 au Portugal

Le Portugal a achevé la transposition de NIS2 par le décret-loi n° 125/2025 (Regime Jurídico da Cibersegurança), publié le 4 décembre 2025 et en vigueur depuis le 3 avril 2026, remplaçant intégralement la loi 46/2018 et le décret-loi 65/2021.

Le nouveau cadre aligne le Portugal sur la directive (UE) 2022/2555 et renforce les exigences en matière de gouvernance, de gestion des risques de cybersécurité, de notification d'incidents, de surveillance et de sanctions. Le Portugal a manqué l'échéance de transposition du 17 octobre 2024 ; la Commission européenne a émis un avis motivé en mai 2025, résolu lors de la publication du décret-loi.

Le décret-loi introduit un responsable de la cybersécurité obligatoire (membre de l'organe de direction ou rapporteur direct) et un point de contact permanent 24/7 avec le CNCS, tous deux à notifier au CNCS dans les 20 jours ouvrés suivant l'entrée en vigueur (soit au plus tard le 4 mai 2026). Les obligations majeures relatives à la gestion des risques, à la sécurité de la chaîne d'approvisionnement et au reporting annuel s'appliqueront 24 mois après la publication des règlements d'application du CNCS. Les organismes publics sont classés en entités publiques pertinentes de Groupe A ou Groupe B.

3. Champ d'application au Portugal

Le champ d'application du Portugal reflète les catégories sectorielles minimales de la directive, sans expansion structurelle confirmée.

4. Seuils de taille et applicabilité aux SME au Portugal

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités qui satisfont aux deux critères dans les secteurs couverts entrent automatiquement dans le champ d'application.

Les petites et micro-entreprises peuvent être désignées si elles sont jugées critiques pour la sécurité nationale, la stabilité économique ou la continuité des services essentiels.

Les autorités portugaises conservent des pouvoirs formels de désignation lorsque le risque systémique justifie l'inclusion.

5. Cadre de classification des entités au Portugal

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive, comprenant des inspections et un suivi structuré de la conformité.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations de conformité.

La classification est déterminée par le secteur et la taille. Les autorités peuvent reclasser des entités lorsque l’impact opérationnel ou l’exposition au risque justifient un contrôle renforcé.

Portugal applique la structure de supervision à deux niveaux de la Directive.

6. Exigences de gestion des risques en cybersécurité au Portugal

Le régime national du Portugal est aligné sur le socle de la Directive en matière de gestion des risques de cybersécurité. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

• Analyse des risques et protection des systèmes
• Détection et réponse aux incidents
• Continuité d’activité et gestion de crise
• Contrôles des risques de la chaîne d’approvisionnement NIS2 au Portugal
• Acquisition sécurisée et développement des systèmes TIC
• Contrôle d’accès et gestion des identités
• Chiffrement et protections cryptographiques
• Procédures de gestion des vulnérabilités
• Formation du personnel à la cybersécurité

Les mesures doivent refléter l’état de l’art et l’exposition au risque de l’organisation. L’alignement sur ISO/IEC 27001 et les orientations portugaises en matière de cybersécurité est encouragé.

7. Responsabilité de la direction et gouvernance au Portugal

Les organes de direction doivent approuver formellement les mesures de gestion des risques en matière de cybersécurité et en superviser la mise en œuvre.

Selon le cadre portugais :

• Les conseils d'administration sont responsables de la supervision de la conformité.
• La direction générale doit garantir des compétences suffisantes en cybersécurité. Le Portugal exige en outre la nomination d'un responsable de la cybersécurité obligatoire (membre de l'organe de direction ou rapporteur direct), notifié au CNCS au plus tard le 4 mai 2026.
• Des sanctions administratives peuvent traiter les manquements de gouvernance.
• Une suspension temporaire des fonctions de direction peut être prévue dans le cadre des mécanismes d'exécution alignés sur la directive.

Les attentes du Portugal en matière de responsabilité de la direction au titre de NIS2 élèvent la gouvernance de la cybersécurité au rang de responsabilité au niveau exécutif.

8. Obligations de notification des incidents au Portugal

9. Autorités de supervision et modèle d’application au Portugal

National Cybersecurity Centre (CNCS) (Centro Nacional de Cibersegurança) avec des pouvoirs renforcés en vertu du décret-loi 125/2025 ; autorités sectorielles et autorités de supervision spéciales supervisent des secteurs spécifiques aux côtés du CNCS ; un nouveau Bureau de crise coordonne les entités ayant des responsabilités en matière de sécurité intérieure, de défense et d'enquêtes pénales.

Le Portugal applique un modèle de supervision à plusieurs niveaux : le CNCS est l'autorité nationale principale ; les autorités sectorielles de supervision contrôlent leurs secteurs respectifs ; les autorités de supervision spéciales traitent des domaines réglementés spécifiques. Le CNCS coordonne l'ensemble des niveaux, peut émettre des instructions contraignantes et réaliser des audits.

Les pouvoirs de supervision comprennent :

• Demandes de documentation et d'informations
• Audits de sécurité
• Inspections sur site
• Injonctions de conformité contraignantes
• Participation aux mécanismes de coordination de la cybersécurité de l'UE

La structure d'application s'aligne sur les exigences de coopération au niveau de la directive.

10. Amendes et sanctions NIS2 au Portugal

Le Portugal applique des sanctions administratives alignées sur la directive.

L'application au Portugal des amendes NIS2 peut également inclure :

• Ordonnances contraignantes de remédiation
• Identification publique des entités non conformes
• Suspension d'autorisations ou de certifications
• Pouvoirs de suspension des dirigeants
• Des fourchettes d'amendes distinctes s'appliquent aux entités publiques de Groupe A et Groupe B en vertu du décret-loi

11. Sécurité de la chaîne d’approvisionnement et des fournisseurs au titre de NIS2 au Portugal

Les entités doivent gérer l’exposition aux risques de cybersécurité des tiers au moyen de :

• Évaluations des risques fournisseurs
• Clauses contractuelles de sécurité en cascade
• Surveillance continue des fournisseurs ICT
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

L’approche du Portugal est alignée sur les attentes de base de la Directive concernant la gestion des risques liés aux fournisseurs.

12. Obligations d’enregistrement et d’auto-identification au Portugal

Les entités relevant du champ d'application doivent :

• S'auto-identifier et s'enregistrer via la plateforme électronique mise à disposition par le CNCS — les entités existantes disposent de 60 jours à compter du lancement de la plateforme ; les nouvelles entités, de 30 jours à compter du début d'activité ; les inscriptions doivent être tenues à jour
• Fournir les données d'identification de l'entreprise
• Déclarer la classification sectorielle — les entités doivent se classer comme essentielles, importantes ou (pour les organismes publics) entités publiques pertinentes de Groupe A ou Groupe B
• Maintenir à jour les contacts de notification — un point de contact permanent 24/7 doit être désigné et notifié au CNCS au plus tard le 4 mai 2026

La plateforme d'enregistrement du CNCS n'était pas encore lancée en avril 2026. Les obligations majeures relatives à la gestion des risques, à la chaîne d'approvisionnement, à la continuité d'activité et au reporting annuel s'appliquent 24 mois après la publication des règlements d'application du CNCS. Les entités doivent achever dès maintenant l'auto-classification et nommer un responsable de la cybersécurité en préparation.

L'auto-identification est obligatoire lorsque les entités atteignent les seuils légaux. La nomination du responsable de la cybersécurité et la désignation du contact 24/7 sont les deux obligations les plus immédiatement actionnables, échéant toutes deux au 4 mai 2026.

13. Interaction avec le GDPR et d'autres lois au Portugal

Le General Data Protection Regulation continue de s'appliquer en parallèle.

Les considérations de chevauchement comprennent :

• Notification de violation de données à caractère personnel dans les 72 heures
• Coordination avec l'autorité de contrôle

Un incident de cybersécurité peut déclencher des obligations de notification au titre des deux régimes.

14. Applicabilité transfrontalière

Les entités ayant leur établissement principal au Portugal sont supervisées par les autorités portugaises pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services au Portugal peuvent être soumis à des obligations nationales selon la structure de leur établissement.

Les exigences en matière de représentation suivent les normes de la directive pour les prestataires non-EU desservant le marché portugais.

15. Calendrier de mise en œuvre au Portugal

• Adoption de la Directive : 2022
• Adoption de la directive : 2022
• Étapes législatives nationales : Loi n° 59/2025 autorisant le gouvernement à transposer, publiée le 22 octobre 2025 ; décret-loi n° 125/2025 (Regime Jurídico da Cibersegurança), publié le 4 décembre 2025, remplaçant la loi 46/2018 et le décret-loi 65/2021
• Entrée en vigueur : 3 avril 2026 (120 jours après publication)
• Notification à la Commission : Avis motivé de la CE du 7 mai 2025, résolu après la publication du décret-loi le 4 décembre 2025
• Jalons de conformité : Responsable de la cybersécurité et contact 24/7 au plus tard le 4 mai 2026 ; enregistrement sur la plateforme du CNCS dans les 60 jours suivant le lancement (date à confirmer) ; obligations majeures 24 mois après les règlements d'application du CNCS

Le Portugal a achevé la transposition le 3 avril 2026 via le décret-loi 125/2025. Les obligations les plus immédiates (responsable de la cybersécurité et contact 24/7) sont dues au 4 mai 2026 ; la mise en œuvre complète des principales obligations de gestion des risques et de reporting dépend des règlements d'application du CNCS, qui ouvriront une nouvelle fenêtre de conformité de 24 mois.

16. Points clés pour les SMEs au Portugal

• Les entités de taille moyenne dans les secteurs couverts sont automatiquement dans le champ d'application. Le décret-loi 125/2025 est en vigueur depuis le 3 avril 2026 — réalisez dès maintenant l'auto-classification comme essentielle ou importante.
• Les petites entités peuvent être désignées si elles sont critiques pour la stabilité nationale ou économique.
• La supervision de gouvernance au niveau du conseil est obligatoire. Le Portugal exige la nomination d'un responsable de la cybersécurité (membre de l'organe de direction ou rapporteur direct), notifié au CNCS au plus tard le 4 mai 2026.
• La notification d'incidents suit les délais de 24h / 72h / 1 mois.
• Les sanctions financières peuvent atteindre 10 millions € ou 2 % du chiffre d'affaires mondial.
• La gestion des risques fournisseurs est requise.
• Les deux obligations les plus urgentes sont dues au 4 mai 2026 (responsable de la cybersécurité et contact permanent 24/7 avec le CNCS) ; enregistrement sur la plateforme du CNCS dans les 60 jours suivant le lancement ; les obligations majeures de gestion des risques et de reporting s'appliquent 24 mois après la publication des règlements d'application du CNCS — la préparation doit commencer dès maintenant.

FAQ : Guide NIS2 Portugal pour les SMEs