Portugal aprueba la transposición del NIS2
La ley sigue a la espera de la promulgaci�ón presidencial y de su publicación en el Diário da República, tras lo cual las nuevas normas de ciberseguridad serán de obligado cumplimiento.
Qué cambia en la práctica:
Ampliación del ámbito de aplicación
La ley abarca ahora sectores como la energía, el transporte, la banca, las infraestructuras financieras, la sanidad, el suministro de agua, la administración pública, el sector espacial y las infraestructuras digitales.
Proveedores de servicios digitales
También se incluyen los proveedores de servicios en la nube, los centros de datos, las redes de distribución de contenidos (CDN), los servicios DNS, los mercados en línea, los motores de búsqueda y las plataformas de medios sociales.
Responsabilidad personal - A partir de ahora, los administradores y directores podrán ser considerados personalmente responsables del incumplimiento de la normativa, una clara señal de que la ciberseguridad está ascendiendo al nivel C.
Figura obligatoria del CISO - Nombramiento de un director de seguridad de la información (o equivalente) como garante del cumplimiento y responsable de la aplicación de las medidas de seguridad.
Plazos estrictos para notificar incidentes
- 24 horas: alerta inicial
- 72 horas: informe detallado
- 30 días: análisis final
Sanciones por incumplimiento
Multas de hasta 10 millones de euros o el 2% de la facturación global.
Supervisión coordinada
La CNCS lidera el proceso, con el apoyo especializado del Banco de Portugal, la CMVM, la ASF y la ANACOM.
El mensaje es claro:
La ciberseguridad ya no es un "nice to have" sino una obligación estratégica y legal.
Para las empresas de los sectores cubiertos -incluidas muchas empresas tecnológicas y proveedores digitales- ahora es el momento de evaluar la madurez de sus programas de ciberseguridad.
