Il Portogallo è sulla via dell'implementazione della NIS2 e sta procedendo verso l'adozione formale della direttiva NIS2 dell'UE nella legislazione nazionale. Sebbene la legislazione non sia ancora entrata in vigore, le bozze delle proposte sono già state approvate e stanno procedendo in Parlamento. Una volta promulgata, la legge avrà un impatto su un'ampia gamma di settori, applicandosi sia alle organizzazioni del settore pubblico che a quelle del settore privato. Si tratta di una pietra miliare nel rafforzamento del quadro normativo portoghese in materia di cybersicurezza e nel suo allineamento con gli standard dell'UE, che evidenzia l'urgente necessità per le organizzazioni di iniziare a prepararsi per la conformità con largo anticipo.
Questo è molto più di un semplice aggiornamento normativo da tenere d'occhio: è un chiaro invito all'azione per tutte le organizzazioni che operano in Portogallo, affinché inizino subito a prepararsi al NIS2.
Che cos'è il NIS2?
La NIS2 (Network and Information Security Directive 2) è la direttiva aggiornata dell'Unione Europea sulla sicurezza informatica, progettata per migliorare la resilienza informatica complessiva delle infrastrutture critiche e dei servizi essenziali. Sostituisce la direttiva NIS originale con un campo di applicazione più ampio, requisiti più severi e un'applicazione più rigorosa.
La NIS2 si applica a entità essenziali e importanti in tutti i settori, come ad esempio:
- Energia, trasporti, banche, sanità e acqua
- Infrastrutture digitali e piattaforme online
- Produzione di prodotti critici
- Amministrazione pubblica
A differenza della direttiva originale, la NIS2 introduce la responsabilità personale dei dirigenti, tempi più stretti per la segnalazione degli incidenti e una chiara enfasi sulle misure di sicurezza incentrate sulle persone, tra cui la formazione del personale, i processi di governance e la gestione del rischio lungo le catene di approvvigionamento.
Ritardi e rischi nell'attuazione del NIS2 in Portogallo
Inizialmente il Portogallo doveva recepire la NIS2 nella legislazione nazionale entro il 17 ottobre 2024. Tuttavia, i ritardi politici e legislativi hanno fatto sì che questa scadenza non venisse rispettata.
Secondo PwC Portugal, la Commissione europea ha inviato una comunicazione formale al Portogallo nel maggio 2025, fissando un termine di due mesi per completare il recepimento, termine che sarebbe dovuto scadere all'inizio di luglio 2025. Ciononostante, l'approvazione parlamentare formale non è ancora stata concessa.
Anche se non è ancora stato confermato ufficialmente che il Portogallo non ha rispettato questa scadenza, i tempi ristretti e il processo legislativo in corso aumentano il rischio di procedure di infrazione da parte dell'UE e creano incertezza per le organizzazioni che cercano di conformarsi ai nuovi obblighi.
Cosa devono sapere le organizzazioni portoghesi sulla conformità NIS2
Anche se la legge non è ancora stata formalmente promulgata, le organizzazioni portoghesi, soprattutto quelle che operano in settori critici, devono agire con urgenza per prepararsi alla conformità NIS2. Aspettare la legislazione formale non è più un'opzione praticabile.
Le aree chiave su cui concentrarsi includono:
- Governance e gestione del rischio: Stabilire politiche e procedure di cybersecurity chiare che soddisfino i requisiti estesi di NIS2.
- Rilevamento e segnalazione degli incidenti: Implementare processi più rapidi e completi per identificare e notificare alle autorità gli incidenti informatici.
- Formazione e sensibilizzazione del personale: Dare priorità alla cybersecurity incentrata sull'uomo, garantendo che i dipendenti siano in grado di riconoscere e rispondere efficacemente alle minacce informatiche.
- Sicurezza della catena di fornitura: Valutare e gestire i rischi lungo l'intera catena di fornitura per prevenire le vulnerabilità indirette.
L'importanza di una conformità NIS2 tempestiva per la vostra organizzazione
La mancata conformità alla Direttiva NIS2 può comportare gravi sanzioni finanziarie, danni alla reputazione di lunga durata e significative interruzioni operative che si ripercuotono a tutti i livelli dell'organizzazione. Con l'inasprimento delle normative sulla cybersecurity da parte dell'Unione Europea, l'asticella della protezione delle infrastrutture critiche e dei servizi digitali si è alzata notevolmente. Ciò rende la preparazione tempestiva e approfondita non solo consigliabile, ma essenziale per tutte le organizzazioni del settore pubblico e privato che operano nell'UE.
MetaCompliance è specializzata nel guidare le organizzazioni attraverso questi complessi paesaggi normativi, offrendo una piattaforma di cybersecurity incentrata sull'uomo che integra perfettamente una formazione coinvolgente del personale, una gestione automatizzata dei rischi e un reporting semplificato sulla conformità. Le nostre soluzioni assicurano che la vostra organizzazione rimanga completamente protetta, conforme e resiliente contro le minacce informatiche in evoluzione.
Scaricate la nostra guida gratuita Navigating NIS2: Essential Insights for EU Organisations, oppure contattateci oggi stesso per sapere come possiamo aiutarvi ad affrontare con successo il viaggio verso la conformità NIS2 con sicurezza e chiarezza.
