Portugal är på väg att genomföra NIS2 och formellt anta EU:s NIS2-direktiv i nationell lagstiftning. Lagstiftningen har ännu inte trätt i kraft, men utkast till förslag har redan godkänts och behandlas nu i parlamentet. När lagen har antagits kommer den att påverka ett stort antal branscher och gälla för organisationer inom både den offentliga och den privata sektorn. Detta är en viktig milstolpe i arbetet med att stärka Portugals ramverk för cybersäkerhet och anpassa det till EU-standarder, vilket understryker det akuta behovet av att organisationer börjar förbereda sig för efterlevnad i god tid.
Det här är mycket mer än bara en uppdatering av regelverket att hålla koll på - det är en tydlig uppmaning till alla organisationer som är verksamma i Portugal att börja förbereda sig för NIS2 nu.
Vad är NIS2?
NIS2 (Network and Information Security Directive 2) är EU:s uppdaterade cybersäkerhetsdirektiv som syftar till att förbättra den övergripande cyberresiliensen för kritisk infrastruktur och samhällsviktiga tjänster. Det ersätter det ursprungliga NIS-direktivet med bredare tillämpningsområde, strängare krav och starkare efterlevnad.
NIS2 gäller för både väsentliga och viktiga enheter inom olika sektorer, t.ex:
- Energi, transport, bank, hälsa och vatten
- Digital infrastruktur och onlineplattformar
- Tillverkning av kritiska produkter
- Offentlig förvaltning
Till skillnad från det ursprungliga direktivet inför NIS2 personligt ansvar för högre chefer, snävare tidsramar för incidentrapportering och en tydlig betoning på säkerhetsåtgärder med människan i centrum, inklusive personalutbildning, styrningsprocesser och riskhantering i hela leveranskedjan.
Förseningar och risker med tidsfristen för genomförandet av NIS2 i Portugal
Portugal var ursprungligen skyldigt att införliva NIS2 i nationell lagstiftning senast den 17 oktober 2024. Politiska och lagstiftningsmässiga förseningar har dock inneburit att denna tidsfrist har överskridits.
Enligt PwC Portugal utfärdade Europeiska kommissionen ett formellt meddelande till Portugal i maj 2025, med en tidsfrist på två månader för att slutföra detta införlivande - en tidsfrist som skulle löpa ut i början av juli 2025. Trots detta har det formella parlamentariska godkännandet ännu inte beviljats.
Även om det ännu inte är officiellt bekräftat att Portugal har missat denna tidsfrist, ökar den komprimerade tidsplanen och den pågående lagstiftningsprocessen risken för överträdelseförfaranden från EU och skapar osäkerhet för organisationer som försöker uppfylla nya skyldigheter.
Vad portugisiska organisationer behöver veta om NIS2-överensstämmelse
Även om lagen ännu inte är formellt antagen måste portugisiska organisationer, särskilt de inom kritiska sektorer, agera snabbt för att förbereda sig för NIS2-efterlevnad. Att vänta på formell lagstiftning är inte längre ett hållbart alternativ.
Viktiga områden att fokusera på är bland annat:
- Styrning och riskhantering: Upprätta tydliga policyer och rutiner för cybersäkerhet som uppfyller de utökade kraven i NIS2.
- Upptäckt och rapportering av incidenter: Implementera snabbare och mer omfattande processer för att identifiera och meddela myndigheter om cyberincidenter.
- Utbildning och medvetenhet hos personalen: Prioritera cybersäkerhet med människan i centrum och se till att medarbetarna är rustade för att känna igen och reagera på cyberhot på ett effektivt sätt.
- Säkerhet i leveranskedjan: Bedömning och hantering av risker i hela leveranskedjan för att förhindra indirekta sårbarheter.
Vikten av snabb NIS2-överensstämmelse för din organisation
Underlåtenhet att följa NIS2-direktivet kan leda till allvarliga ekonomiska påföljder, långvarig skada på ryktet och betydande driftstörningar som påverkar alla nivåer i din organisation. I takt med att EU skärper reglerna för cybersäkerhet har ribban för att skydda kritisk infrastruktur och digitala tjänster höjts avsevärt. Detta gör att noggranna förberedelser i god tid inte bara är tillrådligt utan också nödvändigt för alla offentliga och privata organisationer som är verksamma inom EU.
MetaCompliance är specialiserat på att vägleda organisationer genom dessa komplexa regleringslandskap och erbjuder en människocentrerad cybersäkerhetsplattform som sömlöst integrerar engagerande personalutbildning, automatiserad riskhantering och strömlinjeformad rapportering av efterlevnad. Våra lösningar säkerställer att din organisation förblir helt skyddad, kompatibel och motståndskraftig mot utvecklande cyberhot.
Ladda ner vår kostnadsfria guide Navigating NIS2: Essential Insights for EU Organisations, eller kontakta oss idag för att få veta hur vi kan hjälpa dig att framgångsrikt navigera genom NIS2:s efterlevnadsresa med självförtroende och klarhet.
