NIS2 in Portogallo

1. Panoramica rapida dell'applicabilità per le PMI in Portogallo

NIS2 si applica alle PMI in Portogallo?

Sì — a seconda del settore e delle dimensioni.

• Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
• Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
• Si applica alle entità stabilite in Portogallo e, in determinati casi, ai prestatori di servizi digitali stranieri che servono il mercato portoghese.

Le PMI dovrebbero valutare la propria qualificazione ai sensi del quadro nazionale di cibersicurezza del Portogallo in base alla classificazione settoriale e alle soglie legali.

2. Panoramica dell'attuazione della NIS2 in Portogallo

Il Portogallo ha completato il recepimento della NIS2 con il Decreto-Legge n. 125/2025 (Regime Jurídico da Cibersegurança), pubblicato il 4 dicembre 2025 e in vigore dal 3 aprile 2026, che sostituisce integralmente la Legge 46/2018 e il Decreto-Legge 65/2021.

Il nuovo quadro allinea il Portogallo alla Direttiva (UE) 2022/2555 e rafforza i requisiti in materia di governance, gestione del rischio di cybersicurezza, segnalazione degli incidenti, vigilanza e sanzioni. Il Portogallo ha mancato il termine di recepimento del 17 ottobre 2024; la Commissione europea ha emesso un parere motivato a maggio 2025, risolto con la pubblicazione del Decreto-Legge.

Il Decreto-Legge introduce un responsabile della cybersicurezza obbligatorio (componente dell'organo di gestione o suo diretto referente) e un punto di contatto permanente 24/7 con il CNCS, entrambi da notificare al CNCS entro 20 giorni lavorativi dall'entrata in vigore (cioè entro il 4 maggio 2026). Gli obblighi principali in materia di gestione del rischio, sicurezza della catena di approvvigionamento e rendicontazione annuale si applicheranno 24 mesi dopo la pubblicazione dei regolamenti attuativi del CNCS. Gli enti pubblici sono classificati come enti pubblici rilevanti di Gruppo A o Gruppo B.

3. Ambito di applicazione in Portogallo

L'ambito di applicazione in Portogallo rispecchia le categorie settoriali minime della direttiva, senza un'espansione strutturale confermata.

4. Soglie dimensionali e applicabilità alle PMI in Portogallo

Si applicano le soglie di base:

• ≥50 dipendenti, e
• ≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri all'interno dei settori coperti rientrano automaticamente nell'ambito di applicazione.

Le piccole e micro imprese possono essere designate se considerate critiche per la sicurezza nazionale, la stabilità economica o la continuità dei servizi essenziali.

Le autorità portoghesi mantengono poteri formali di designazione quando il rischio sistemico giustifica l'inclusione.

5. Quadro di classificazione delle entità in Portogallo

Le entità sono classificate come:

• Entità essenziali — Soggette a vigilanza proattiva, incluse ispezioni e monitoraggio strutturato della conformità.
• Entità importanti — Soggette principalmente a vigilanza reattiva attivata da incidenti significativi o da criticità di conformità.

La classificazione è determinata da settore e dimensione. Le autorità possono riclassificare le entità quando l'impatto operativo o l'esposizione al rischio giustificano un rafforzamento della vigilanza.

Il Portogallo segue la struttura di vigilanza a due livelli della Direttiva.

6. Requisiti di gestione del rischio di cibersicurezza in Portogallo

Il regime nazionale del Portogallo è allineato ai requisiti di base della Direttiva per la gestione del rischio di cibersicurezza. Le entità rientranti nell'ambito di applicazione devono attuare misure tecniche e organizzative proporzionate che affrontino:

• Analisi dei rischi e protezione dei sistemi
• Rilevamento e risposta agli incidenti
• Continuità operativa e gestione delle crisi
• Controlli dei rischi della catena di fornitura NIS2 in Portogallo
• Acquisizione e sviluppo in sicurezza dei sistemi TIC
• Controllo degli accessi e gestione delle identità
• Cifratura e misure di salvaguardia crittografiche
• Procedure di gestione delle vulnerabilità
• Formazione del personale sulla cibersicurezza

Le misure devono riflettere lo stato dell'arte e l'esposizione al rischio dell'organizzazione. È incoraggiato l'allineamento a ISO/IEC 27001 e agli orientamenti portoghesi in materia di cibersicurezza.

7. Responsabilità dell'organo di gestione e governance in Portogallo

Gli organi di gestione devono approvare formalmente le misure di gestione dei rischi di cibersicurezza e vigilare sulla loro attuazione.

Nel quadro normativo del Portogallo:

• I consigli di amministrazione sono responsabili della supervisione della compliance.
• Il senior management deve garantire competenze di cybersicurezza sufficienti. Il Portogallo richiede inoltre la nomina di un responsabile della cybersicurezza obbligatorio (componente dell'organo di gestione o suo diretto referente), notificato al CNCS entro il 4 maggio 2026.
• Sanzioni amministrative possono colpire le carenze di governance.
• La sospensione temporanea delle funzioni dirigenziali può essere prevista nell'ambito dei meccanismi di esecuzione allineati alla Direttiva.

Le aspettative del Portogallo in materia di responsabilità degli organi di gestione ai sensi della NIS2 elevano la governance della cibersicurezza a una responsabilità a livello esecutivo.

8. Obblighi di notifica degli incidenti in Portogallo

9. Autorità di vigilanza e modello di applicazione in Portogallo

National Cybersecurity Centre (CNCS) (Centro Nacional de Cibersegurança) con poteri rafforzati ai sensi del Decreto-Legge 125/2025; autorità settoriali e autorità di vigilanza speciali sovrintendono a settori specifici accanto al CNCS; un nuovo Ufficio di Crisi coordina gli enti con responsabilità in materia di sicurezza interna, difesa e indagini penali.

Il Portogallo adotta un modello di vigilanza multilivello: il CNCS è l'autorità nazionale primaria; le autorità settoriali di vigilanza sovrintendono ai rispettivi settori; le autorità di vigilanza speciali si occupano di specifiche aree regolamentate. Il CNCS coordina tutti i livelli, può emettere istruzioni vincolanti e svolgere audit.

I poteri di vigilanza includono:

• Richieste di documentazione e informazioni
• Audit di sicurezza
• Ispezioni in loco
• Istruzioni vincolanti in materia di conformità
• Partecipazione ai meccanismi di coordinamento dell'UE in materia di cibersicurezza

La struttura di applicazione è allineata ai requisiti di cooperazione previsti dalla Direttiva.

10. Sanzioni e multe NIS2 in Portogallo

Il Portogallo applica sanzioni amministrative allineate alla Direttiva.

L'applicazione delle sanzioni NIS2 in Portogallo può anche includere:

• Ordini vincolanti di rimedio
• Identificazione pubblica degli enti non conformi
• Sospensione di autorizzazioni o certificazioni
• Poteri di sospensione dei dirigenti
• Si applicano fasce di sanzioni separate agli enti pubblici di Gruppo A e Gruppo B ai sensi del Decreto-Legge

11. Sicurezza della catena di fornitura e dei fornitori secondo la NIS2 in Portogallo

I soggetti devono gestire i rischi per la cybersicurezza derivanti da terze parti mediante:

• Valutazioni del rischio dei fornitori
• Clausole contrattuali di sicurezza a cascata
• Monitoraggio continuo dei fornitori TIC
• Analisi del rischio di concentrazione
• Mitigazione della propagazione degli incidenti

L'approccio del Portogallo è allineato alle aspettative di base della Direttiva NIS2 in materia di gestione del rischio dei fornitori.

12. Obblighi di registrazione e di autoidentificazione in Portogallo

I soggetti rientranti nel campo di applicazione devono:

• Auto-identificarsi e registrarsi tramite la piattaforma elettronica che sarà resa disponibile dal CNCS — gli enti esistenti hanno 60 giorni dal lancio della piattaforma; i nuovi enti, 30 giorni dall'inizio delle attività; le registrazioni devono essere mantenute aggiornate
• Fornire i dati di identificazione aziendale
• Dichiarare la classificazione settoriale — gli enti devono classificarsi come essenziali, importanti o (per gli enti pubblici) enti pubblici rilevanti di Gruppo A o Gruppo B
• Mantenere aggiornati i contatti di segnalazione — un punto di contatto permanente 24/7 deve essere designato e notificato al CNCS entro il 4 maggio 2026

La piattaforma di registrazione del CNCS non era ancora attiva ad aprile 2026. Gli obblighi principali in materia di gestione del rischio, catena di approvvigionamento, continuità operativa e rendicontazione annuale si applicano 24 mesi dopo la pubblicazione dei regolamenti attuativi del CNCS. Gli enti dovrebbero completare ora l'auto-classificazione e nominare il responsabile della cybersicurezza in preparazione.

L'auto-identificazione è obbligatoria quando gli enti raggiungono le soglie di legge. La nomina del responsabile della cybersicurezza e la designazione del contatto 24/7 sono i due obblighi di più immediata attuazione, entrambi con scadenza al 4 maggio 2026.

13. Interazione con il GDPR e altre leggi in Portogallo

Il Regolamento generale sulla protezione dei dati continua ad applicarsi in parallelo.

Le considerazioni sulle sovrapposizioni includono:

• Notifica di violazione dei dati personali entro 72 ore
• Coordinamento delle autorità di controllo

Un incidente informatico può attivare obblighi di notifica ai sensi di entrambi i regimi.

14. Applicabilità transfrontaliera

Le entità con stabilimento principale in Portogallo sono vigilate dalle autorità portoghesi per i servizi transfrontalieri.

I fornitori di servizi digitali stranieri che offrono servizi in Portogallo possono essere soggetti a obblighi nazionali a seconda della struttura dello stabilimento.

I requisiti di rappresentanza seguono gli standard della direttiva per i fornitori non UE che operano sul mercato portoghese.

15. Tempistica di attuazione in Portogallo

• Adozione della Direttiva: 2022
• Adozione della Direttiva: 2022
• Tappe legislative nazionali: Legge n. 59/2025 di delega al Governo per il recepimento, pubblicata il 22 ottobre 2025; Decreto-Legge n. 125/2025 (Regime Jurídico da Cibersegurança), pubblicato il 4 dicembre 2025, sostituisce la Legge 46/2018 e il Decreto-Legge 65/2021
• Entrata in vigore: 3 aprile 2026 (120 giorni dopo la pubblicazione)
• Notifica alla Commissione: Parere motivato della CE del 7 maggio 2025, risolto a seguito della pubblicazione del Decreto-Legge il 4 dicembre 2025
• Tappe di conformità: Responsabile della cybersicurezza e contatto 24/7 entro il 4 maggio 2026; registrazione sulla piattaforma CNCS entro 60 giorni dal lancio (data da confermare); obblighi principali 24 mesi dopo i regolamenti attuativi del CNCS

Il Portogallo ha completato il recepimento il 3 aprile 2026 con il Decreto-Legge 125/2025. Gli obblighi più immediati (responsabile della cybersicurezza e contatto 24/7) scadono il 4 maggio 2026; la piena attuazione dei principali obblighi di gestione del rischio e rendicontazione dipende dai regolamenti attuativi del CNCS, che apriranno una nuova finestra di conformità di 24 mesi.

16. Punti chiave per le PMI in Portogallo

• Gli enti di medie dimensioni nei settori coperti rientrano automaticamente nell'ambito di applicazione. Il Decreto-Legge 125/2025 è in vigore dal 3 aprile 2026 — completa ora l'auto-classificazione come essenziale o importante.
• Gli enti di piccole dimensioni possono essere designati se critici per la stabilità nazionale o economica.
• La supervisione di governance a livello di consiglio è obbligatoria. Il Portogallo richiede la nomina di un responsabile della cybersicurezza (componente dell'organo di gestione o suo diretto referente), notificato al CNCS entro il 4 maggio 2026.
• La segnalazione degli incidenti segue le scadenze di 24h / 72h / 1 mese.
• Le sanzioni finanziarie possono raggiungere €10 milioni o il 2% del fatturato globale.
• La gestione del rischio fornitori è richiesta.
• I due obblighi più urgenti scadono il 4 maggio 2026 (responsabile della cybersicurezza e contatto permanente 24/7 con il CNCS); registrazione sulla piattaforma CNCS entro 60 giorni dal lancio; gli obblighi principali di gestione del rischio e rendicontazione si applicano 24 mesi dopo la pubblicazione dei regolamenti attuativi del CNCS — la preparazione deve iniziare subito.

FAQ: Guida NIS2 per le PMI in Portogallo