NIS2 in Portogallo

1. Panoramica rapida dell'applicabilità per le PMI in Portogallo

NIS2 si applica alle PMI in Portogallo?

Sì — a seconda del settore e delle dimensioni.

• Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
• Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
• Si applica alle entità stabilite in Portogallo e, in determinati casi, ai prestatori di servizi digitali stranieri che servono il mercato portoghese.

Le PMI dovrebbero valutare la propria qualificazione ai sensi del quadro nazionale di cibersicurezza del Portogallo in base alla classificazione settoriale e alle soglie legali.

2. Panoramica dell'attuazione della NIS2 in Portogallo

Il Portogallo sta attuando la Direttiva mediante modifiche al Quadro giuridico per la cibersicurezza (Regime Jurídico da Segurança do Ciberespaço), che disciplina gli obblighi nazionali di cibersicurezza.

La normativa aggiornata allinea il quadro del Portogallo alla Direttiva (UE) 2022/2555 e rafforza i requisiti relativi a governance, gestione dei rischi di cibersicurezza, notifica degli incidenti, vigilanza e sanzioni.

Il Portogallo fa leva sul proprio modello di vigilanza sulla cibersicurezza già consolidato, ampliando al contempo l'ambito di applicazione in conformità agli standard dell'UE.

3. Ambito di applicazione in Portogallo

L'ambito di applicazione in Portogallo rispecchia le categorie settoriali minime della direttiva, senza un'espansione strutturale confermata.

4. Soglie dimensionali e applicabilità alle PMI in Portogallo

Si applicano le soglie di base:

• ≥50 dipendenti, e
• ≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri all'interno dei settori coperti rientrano automaticamente nell'ambito di applicazione.

Le piccole e micro imprese possono essere designate se considerate critiche per la sicurezza nazionale, la stabilità economica o la continuità dei servizi essenziali.

Le autorità portoghesi mantengono poteri formali di designazione quando il rischio sistemico giustifica l'inclusione.

5. Quadro di classificazione delle entità in Portogallo

Le entità sono classificate come:

• Entità essenziali — Soggette a vigilanza proattiva, incluse ispezioni e monitoraggio strutturato della conformità.
• Entità importanti — Soggette principalmente a vigilanza reattiva attivata da incidenti significativi o da criticità di conformità.

La classificazione è determinata da settore e dimensione. Le autorità possono riclassificare le entità quando l'impatto operativo o l'esposizione al rischio giustificano un rafforzamento della vigilanza.

Il Portogallo segue la struttura di vigilanza a due livelli della Direttiva.

6. Requisiti di gestione del rischio di cibersicurezza in Portogallo

Il regime nazionale del Portogallo è allineato ai requisiti di base della Direttiva per la gestione del rischio di cibersicurezza. Le entità rientranti nell'ambito di applicazione devono attuare misure tecniche e organizzative proporzionate che affrontino:

• Analisi dei rischi e protezione dei sistemi
• Rilevamento e risposta agli incidenti
• Continuità operativa e gestione delle crisi
• Controlli dei rischi della catena di fornitura NIS2 in Portogallo
• Acquisizione e sviluppo in sicurezza dei sistemi TIC
• Controllo degli accessi e gestione delle identità
• Cifratura e misure di salvaguardia crittografiche
• Procedure di gestione delle vulnerabilità
• Formazione del personale sulla cibersicurezza

Le misure devono riflettere lo stato dell'arte e l'esposizione al rischio dell'organizzazione. È incoraggiato l'allineamento a ISO/IEC 27001 e agli orientamenti portoghesi in materia di cibersicurezza.

7. Responsabilità dell'organo di gestione e governance in Portogallo

Gli organi di gestione devono approvare formalmente le misure di gestione dei rischi di cibersicurezza e vigilare sulla loro attuazione.

Nel quadro normativo del Portogallo:

• Gli organi di gestione sono responsabili della sorveglianza della conformità.
• L'alta dirigenza deve garantire un livello sufficiente di competenza in materia di cibersicurezza.
• Le sanzioni amministrative possono essere comminate in caso di carenze di governance.
• La sospensione temporanea delle funzioni dirigenziali può essere prevista nell'ambito di meccanismi di applicazione conformi alla direttiva.

Le aspettative del Portogallo in materia di responsabilità degli organi di gestione ai sensi della NIS2 elevano la governance della cibersicurezza a una responsabilità a livello esecutivo.

8. Obblighi di notifica degli incidenti in Portogallo

9. Autorità di vigilanza e modello di applicazione in Portogallo

Autorità principale: National Cybersecurity Centre (CNCS).

Il Portogallo adotta un modello di vigilanza centralizzato, coordinato dal CNCS, con autorità di vigilanza settoriali coinvolte ove necessario.

I poteri di vigilanza includono:

• Richieste di documentazione e informazioni
• Audit di sicurezza
• Ispezioni in loco
• Istruzioni vincolanti in materia di conformità
• Partecipazione ai meccanismi di coordinamento dell'UE in materia di cibersicurezza

La struttura di applicazione è allineata ai requisiti di cooperazione previsti dalla Direttiva.

10. Sanzioni e multe NIS2 in Portogallo

Il Portogallo applica sanzioni amministrative allineate alla Direttiva.

L'applicazione delle sanzioni NIS2 in Portogallo può anche includere:

• Ordini vincolanti di adozione di misure correttive
• Identificazione pubblica delle entità non conformi
• Sospensione delle autorizzazioni o delle certificazioni
• Poteri di sospensione nei confronti dei dirigenti

Fino a €7 milioni o al 1,4% del fatturato mondiale annuo complessivo (a seconda di quale sia superiore)

11. Sicurezza della catena di fornitura e dei fornitori secondo la NIS2 in Portogallo

I soggetti devono gestire i rischi per la cybersicurezza derivanti da terze parti mediante:

• Valutazioni del rischio dei fornitori
• Clausole contrattuali di sicurezza a cascata
• Monitoraggio continuo dei fornitori TIC
• Analisi del rischio di concentrazione
• Mitigazione della propagazione degli incidenti

L'approccio del Portogallo è allineato alle aspettative di base della Direttiva NIS2 in materia di gestione del rischio dei fornitori.

12. Obblighi di registrazione e di autoidentificazione in Portogallo

I soggetti rientranti nel campo di applicazione devono:

• Registrarsi presso le autorità competenti
• Fornire i dati identificativi societari
• Comunicare la classificazione settoriale
• Mantenere aggiornati i contatti per le segnalazioni

Le scadenze procedurali seguono il quadro di attuazione del Portogallo. Allo stato attuale della trasposizione, il Portogallo segue il quadro di base della Direttiva NIS2. I dettagli nazionali di attuazione possono precisare obblighi specifici.

L'autoidentificazione è obbligatoria laddove i soggetti soddisfino le soglie previste dalla legge.

13. Interazione con il GDPR e altre leggi in Portogallo

Il Regolamento generale sulla protezione dei dati continua ad applicarsi in parallelo.

Le considerazioni sulle sovrapposizioni includono:

• Notifica di violazione dei dati personali entro 72 ore
• Coordinamento delle autorità di controllo

Un incidente informatico può attivare obblighi di notifica ai sensi di entrambi i regimi.

14. Applicabilità transfrontaliera

Le entità con stabilimento principale in Portogallo sono vigilate dalle autorità portoghesi per i servizi transfrontalieri.

I fornitori di servizi digitali stranieri che offrono servizi in Portogallo possono essere soggetti a obblighi nazionali a seconda della struttura dello stabilimento.

I requisiti di rappresentanza seguono gli standard della direttiva per i fornitori non UE che operano sul mercato portoghese.

15. Tempistica di attuazione in Portogallo

• Adozione della Direttiva: 2022
• Modifiche legislative nazionali: 2024–2025
• Entrata in vigore: Alla pubblicazione nazionale
• Notifica alla Commissione: In conformità alle procedure dell'UE
• Traguardo di conformità: Scadenze allineate alla direttiva

La tempistica di trasposizione del Portogallo è allineata ai requisiti di attuazione dell'UE.

16. Punti chiave per le PMI in Portogallo

• Le imprese di medie dimensioni nei settori coperti rientrano automaticamente nell'ambito di applicazione.
• Le piccole imprese possono essere designate se critiche per la stabilità nazionale o economica.
• La vigilanza sulla governance a livello di organo di gestione è obbligatoria.
• La segnalazione degli incidenti segue scadenze di 24 ore / 72 ore / 1 mese.
• Le sanzioni pecuniarie possono raggiungere €10 milioni o il 2% del fatturato globale.
• La gestione del rischio dei fornitori è obbligatoria.
• Una pianificazione anticipata della conformità riduce l'esposizione a interventi di vigilanza e sanzioni.

FAQ: Guida NIS2 per le PMI in Portogallo