Le Portugal est sur la voie de la mise en œuvre du NIS2, s’acheminant vers l’adoption formelle de la directive NIS2 de l’UE dans le droit national. La législation n’est pas encore entrée en vigueur, mais des projets de propositions ont déjà été approuvés et sont en cours d’examen par le Parlement. Une fois promulguée, la loi aura un impact sur un large éventail d’industries et s’appliquera aux organisations des secteurs public et privé. Il s’agit d’une étape importante dans le renforcement du cadre de cybersécurité du Portugal et de son alignement sur les normes européennes, ce qui souligne la nécessité urgente pour les organisations de commencer à se préparer à la mise en conformité bien à l’avance.

Bien plus qu’une simple mise à jour réglementaire à surveiller, il s’agit d’un appel clair à l’action pour toutes les organisations opérant au Portugal, afin qu’elles entament dès maintenant leurs efforts de préparation au NIS2.

Qu’est-ce que le NIS2 ?

La directive NIS2 (Network and Information Security Directive 2) est la nouvelle directive de l’Union européenne sur la cybersécurité, conçue pour améliorer la cyber-résilience globale des infrastructures critiques et des services essentiels. Elle remplace la directive NIS initiale en élargissant son champ d’application, en imposant des exigences plus strictes et en renforçant sa mise en œuvre.

Le NIS2 s’applique à des entités essentielles et importantes dans tous les secteurs, telles que

    • Énergie, transports, banques, santé et eau

    • Infrastructure numérique et plateformes en ligne

    • Fabrication de produits critiques

    • Administration publique

Contrairement à la directive initiale, la NIS2 introduit la responsabilité personnelle des dirigeants, des délais plus stricts pour le signalement des incidents et met clairement l’accent sur les mesures de sécurité centrées sur l’homme, notamment la formation du personnel, les processus de gouvernance et la gestion des risques tout au long des chaînes d’approvisionnement.

Retards et risques liés à la mise en œuvre du NIS2 au Portugal

À l’origine, le Portugal devait transposer le NIS2 en droit national avant le 17 octobre 2024. Cependant, des retards politiques et législatifs ont fait que cette échéance n’a pas été respectée.

Selon PwC Portugal, la Commission européenne a adressé une mise en demeure au Portugal en mai 2025, lui fixant un délai de deux mois pour finaliser cette transposition – délai qui devait expirer début juillet 2025. Malgré cela, l’approbation parlementaire formelle n’a pas encore été accordée.

Bien qu’il ne soit pas encore officiellement confirmé que le Portugal a dépassé ce délai, le calendrier serré et le processus législatif en cours augmentent le risque de procédures d’infraction de l’UE et créent de l’incertitude pour les organisations qui tentent de se conformer aux nouvelles obligations.

Ce que les organisations portugaises doivent savoir sur la conformité NIS2

Même si la loi n’est pas encore officiellement promulguée, les organisations portugaises, en particulier celles des secteurs critiques, doivent agir de toute urgence pour se préparer à la conformité au NIS2. L’attente d’une législation formelle n’est plus une option viable.

Les domaines clés sur lesquels il convient de se concentrer sont les suivants :

    • Détection et notification des incidents : Mise en œuvre de processus plus rapides et plus complets pour identifier et notifier les autorités en cas de cyberincidents.

    • Formation et sensibilisation du personnel : Donner la priorité à la cybersécurité centrée sur l’humain, en veillant à ce que les employés soient équipés pour reconnaître les cybermenaces et y répondre efficacement.

L’importance d’une mise en conformité NIS2 en temps utile pour votre organisation

Le non-respect de la directive NIS2 peut entraîner de lourdes sanctions financières, une atteinte durable à la réputation et d’importantes perturbations opérationnelles à tous les niveaux de votre organisation. Alors que l’Union européenne renforce les réglementations en matière de cybersécurité, la barre de la protection des infrastructures critiques et des services numériques a été considérablement relevée. Une préparation minutieuse et opportune est donc non seulement conseillée, mais aussi essentielle pour toutes les organisations des secteurs public et privé opérant au sein de l’UE.

MetaCompliance se spécialise dans l’accompagnement des organisations à travers ces paysages réglementaires complexes, en offrant une plateforme de cybersécurité centrée sur l’humain qui intègre de manière transparente une formation engageante du personnel, une gestion automatisée des risques et une rationalisation des rapports de conformité. Nos solutions garantissent que votre organisation reste entièrement protégée, conforme et résiliente face à l’évolution des cybermenaces.

Téléchargez notre guide gratuit Navigating NIS2 : Essential Insights for EU Organisations, ou contactez-nous dès aujourd’hui pour savoir comment nous pouvons vous aider à naviguer avec succès sur le chemin de la conformité NIS2 en toute confiance.