Portugal avanza hacia la adopción formal de la Directiva NIS2 de la UE. Aunque la legislación aún no ha entrado en vigor, ya se han aprobado los borradores de las propuestas, que ahora avanzan en el Parlamento. Una vez promulgada, la ley afectará a una amplia gama de industrias y se aplicará tanto a organizaciones del sector público como del privado. Esto representa un hito importante en el fortalecimiento del marco de ciberseguridad de Portugal y su alineación con las normas de toda la UE, destacando la urgente necesidad de que las organizaciones comiencen a prepararse para el cumplimiento con suficiente antelación.
Esto es mucho más que una simple actualización de la normativa: es una clara llamada a la acción para que todas las organizaciones que operan en Portugal empiecen ya a prepararse para NIS2.
¿Qué es NIS2?
NIS2 (Network and Information Security Directive 2) es la directiva actualizada de la Unión Europea sobre ciberseguridad diseñada para mejorar la ciberresiliencia general de las infraestructuras críticas y los servicios esenciales. Sustituye a la Directiva NIS original con un ámbito de aplicación más amplio, requisitos más estrictos y una aplicación más rigurosa.
NIS2 se aplica a entidades esenciales e importantes de diversos sectores, como:
- Energía, transporte, banca, sanidad y agua
- Infraestructura digital y plataformas en línea
- Fabricación de productos críticos
- Administración pública
A diferencia de la directiva original, la NIS2 introduce la responsabilidad personal de los altos cargos, plazos más estrictos para la notificación de incidentes y un claro énfasis en las medidas de seguridad centradas en el ser humano, incluida la formación del personal, los procesos de gobernanza y la gestión de riesgos en toda la cadena de suministro.
Retrasos y riesgos en la aplicación de NIS2 en Portugal
Portugal debía transponer la NIS2 a su legislación nacional antes del 17 de octubre de 2024. Sin embargo, los retrasos políticos y legislativos han hecho que se incumpla este plazo.
Según PwC Portugal, la Comisión Europea envió un requerimiento formal a Portugal en mayo de 2025, fijando un plazo de dos meses para finalizar esta transposición, plazo que expiraba a principios de julio de 2025. A pesar de ello, aún no se ha concedido la aprobación parlamentaria formal.
Aunque todavía no se ha confirmado oficialmente que Portugal haya incumplido este plazo, la reducción de los plazos y el proceso legislativo en curso aumentan el riesgo de procedimientos de infracción de la UE y crean incertidumbre para las organizaciones que intentan cumplir las nuevas obligaciones.
Lo que las organizaciones portuguesas deben saber sobre el cumplimiento de NIS2
Aunque la ley aún no se ha promulgado formalmente, las organizaciones portuguesas, especialmente las de sectores críticos, deben actuar con urgencia para prepararse para el cumplimiento de la NIS2. Esperar a la legislación formal ya no es una opción viable.
Las áreas clave en las que centrarse son:
- Gobernanza y gestión de riesgos: Establecimiento de políticas y procedimientos claros de ciberseguridad que cumplan los requisitos ampliados de NIS2.
- Detección y notificación de incidentes: Implantar procesos más rápidos y completos para identificar y notificar a las autoridades los ciberincidentes.
- Formación y concienciación del personal: Dar prioridad a la ciberseguridad centrada en el ser humano, garantizando que los empleados estén equipados para reconocer y responder a las ciberamenazas con eficacia.
- Seguridad de la cadena de suministro: Evaluar y gestionar los riesgos en toda la cadena de suministro para evitar vulnerabilidades indirectas.
La importancia del cumplimiento oportuno de NIS2 para su organización
El incumplimiento de la Directiva NIS2 puede acarrear graves sanciones económicas, daños duraderos a la reputación e importantes trastornos operativos que afectan a todos los niveles de su organización. A medida que la Unión Europea endurece la normativa en materia de ciberseguridad, el listón de la protección de las infraestructuras críticas y los servicios digitales se ha elevado considerablemente. Esto hace que una preparación oportuna y exhaustiva no solo sea aconsejable, sino esencial para todas las organizaciones del sector público y privado que operan en la UE.
MetaCompliance está especializada en guiar a las organizaciones a través de estos complejos entornos normativos, ofreciendo una plataforma de ciberseguridad centrada en el ser humano que integra a la perfección una formación atractiva del personal, una gestión de riesgos automatizada y unos informes de cumplimiento optimizados. Nuestras soluciones garantizan que su organización esté totalmente protegida, cumpla la normativa y sea resistente frente a las ciberamenazas en constante evolución.
Descargue nuestra guía gratuita Navigating NIS2: Essential Insights for EU Organisations, o póngase en contacto con nosotros hoy mismo para saber cómo podemos ayudarle a recorrer con éxito el camino del cumplimiento de NIS2 con confianza y claridad.
