NIS 2 Status in Portugal
Was die Richtlinie fordert, wie Portugal sie umsetzt, und wo CNCS und CERT.PT im Bild stehen.
Überblick
Die NIS 2 Richtlinie ist die EU-Ebene. Sie bindet jeden Mitgliedstaat, auch Portugal, mit einem einheitlichen Mindestniveau für wesentliche und wichtige Einrichtungen. Portugal muss dieses Niveau in portugiesisches Recht überführen und eine Aufsicht darunter führen.
Portugal hat die Umsetzungsfrist vom 17. Oktober 2024 um mehr als ein Jahr verpasst. Erst das Decreto-Lei n.º 125/2025, am 4. Dezember 2025 im Diário da República veröffentlicht, überführt NIS 2 in portugiesisches Recht. Der Text tritt am 3. April 2026 in Kraft, 120 Tage nach Veröffentlichung.
Das Centro Nacional de Cibersegurança (CNCS) ist federführende zuständige Behörde. CERT.PT, eingegliedert in das CNCS, ist das nationale CSIRT. Sektorregulatoren bleiben dort zuständig, wo sie es schon waren: ANACOM für elektronische Kommunikation, Banco de Portugal und CMVM für den Finanzsektor, in dem DORA als Lex specialis greift.
EU Richtlinie
Richtlinie (EU) 2022/2555 (NIS 2)
Die EU-weite Cybersicherheitsrichtlinie. Sie legt die Pflichten fest, die jeder Mitgliedstaat umzusetzen hat, einschließlich der Größen- und Sektorprüfung für wesentliche und wichtige Einrichtungen.
EU Durchführung
Durchführungsverordnung (EU) 2024/2690
Technische und methodische Maßnahmen für Anbieter digitaler Infrastruktur. In Portugal unmittelbar anwendbar, ohne nationale Umsetzung.
Portugiesische Umsetzung
Decreto-Lei n.º 125/2025 vom 4. Dezember 2025
Die portugiesische NIS 2 Umsetzung, veröffentlicht im Diário da República. Begründet das Regime Jurídico da Cibersegurança. Inkrafttreten am 3. April 2026. Ergänzende Durchführungsregeln und CNCS Leitlinien füllen den operativen Detailrahmen.
Decreto-Lei n.º 125/2025
Bringt die NIS 2 Pflichten in portugiesisches Recht als neues Regime Jurídico da Cibersegurança. Definiert wesentliche und wichtige Einrichtungen, die Aufsichtsbefugnisse des CNCS, Meldepflichten und Sanktionen bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Umsatzes. Inkrafttreten am 3. April 2026.
CNCS als Aufsicht, CERT.PT als CSIRT
Das CNCS führt Aufsicht, Audits und Sanktionsverfahren und betreibt die elektronische Registrierungsplattform. CERT.PT, integriert in das CNCS, koordiniert als nationales CSIRT die Reaktion auf Sicherheitsvorfälle. Sektorregulatoren wie ANACOM für elektronische Kommunikation und Banco de Portugal sowie CMVM für den Finanzsektor behalten ihre Zuständigkeit dort, wo Lex specialis gilt.
Registrierung und Meldung
Einrichtungen müssen sich nach Inkrafttreten über die elektronische CNCS Plattform selbst identifizieren und innerhalb von zwanzig Werktagen einen Cybersicherheitsverantwortlichen und einen ständigen Ansprechpartner benennen. Erhebliche Sicherheitsvorfälle folgen der Richtlinie: Frühwarnung in 24 Stunden, Meldung in 72 Stunden, Abschlussbericht in einem Monat.
In Portugal gilt portugiesisches Recht
Aktivitäten auf portugiesischem Staatsgebiet folgen der portugiesischen Umsetzung. Ein deutscher Geschäftsführer mit portugiesischer Tochter liest für diese Tochter das Decreto-Lei n.º 125/2025, nicht das BSIG. Die Richtlinienpflichten sind identisch. Verfahren, Registrierungsplattform und Sanktionen stehen aber im portugiesischen Recht.
Portugal darf nicht unter das EU Niveau fallen
Die Richtlinie ist eine Mindestharmonisierung. Portugal darf strenger werden, und das Decreto-Lei n.º 125/2025 ist es an einigen Stellen. Portugal darf aber nicht unter die Richtlinie fallen, weder bei den Pflichten für wesentliche und wichtige Einrichtungen, noch bei Meldefristen, noch bei der Haftung des Leitungsorgans.
CNCS
Centro Nacional de Cibersegurança. Federführende zuständige Behörde nach Decreto-Lei n.º 125/2025. Betreibt die elektronische Registrierungsplattform, veröffentlicht Leitlinien, führt Aufsicht und schlägt Sanktionen vor. Die nationale Cybersicherheitsbehörde für wesentliche und wichtige Einrichtungen.
CERT.PT
Das nationale CSIRT, betrieben als Dienst innerhalb des CNCS. Koordiniert die Reaktion auf Sicherheitsvorfälle bei wesentlichen Einrichtungen, wichtigen Einrichtungen, der öffentlichen Verwaltung und digitalen Diensteanbietern. Kontaktpunkt im EU CSIRTs Network.
ENISA
Die EU Cybersicherheitsagentur. Veröffentlicht Leitlinien, betreibt die europäische Schwachstellendatenbank und koordiniert grenzüberschreitend. Keine Aufsicht für portugiesische Einrichtungen. Die liegt beim CNCS.
Wir haben eine deutsche Mutter, also gilt für uns das BSIG.
Aktivitäten auf portugiesischem Staatsgebiet folgen dem Decreto-Lei n.º 125/2025 und melden an das CNCS. Die deutsche Mutter liest das BSIG für ihre deutschen Aktivitäten. Die Richtlinienpflichten sind identisch, Verfahren, Registrierungsplattform und Sanktionen stehen aber im portugiesischen Recht. Eine Gruppe, die in beiden Ländern aktiv ist, läuft zwei parallele Registrierungen, eine pro Aufsicht.
Es gibt noch keine Pflicht, weil das Gesetz erst im April 2026 in Kraft tritt.
Das Decreto-Lei n.º 125/2025 wurde am 4. Dezember 2025 veröffentlicht und tritt am 3. April 2026 in Kraft, mit Selbstidentifikation und Benennung des Cybersicherheitsverantwortlichen kurz danach. Wer wartet, bis die Plattform öffnet, ist zu spät. Anwendbarkeitsprüfung und interne Vorbereitung gehören vor das Inkrafttreten, nicht danach.
Unsere Sektorbehörde beaufsichtigt uns bereits, NIS 2 bringt nichts Neues.
Das CNCS ist die federführende NIS 2 Behörde. ANACOM, Banco de Portugal und CMVM bleiben dort zuständig, wo sie es schon waren, insbesondere im Finanzsektor unter DORA als Lex specialis. Außerhalb dieser Ausnahmen kommen die NIS 2 Pflichten und der CNCS Meldekanal zusätzlich zu jedem Sektorregime hinzu. Sektoraufsicht ersetzt nicht die NIS 2 Registrierung beim CNCS.
Die meisten portugiesischen Betreiber, die uns begegnen, haben NIS 2 als Zukunftsproblem behandelt, bis das Decreto-Lei n.º 125/2025 im Dezember 2025 veröffentlicht wurde. Dieses Fenster ist zu. Die CNCS Aufsicht startet am 3. April 2026, der Cybersicherheitsverantwortliche muss innerhalb von zwanzig Werktagen benannt werden, und das Leitungsorgan, der administrador oder gerente, haftet nach der Richtlinie persönlich für die Freigabe des Risikomanagements und die eigene Schulung.
Der praktische Schritt ist der gleiche wie überall in der EU: Anwendbarkeit gegen die Richtlinie prüfen, über das nationale Portal (hier die elektronische CNCS Plattform) registrieren, die vier Dauerpflichten aufsetzen (Registrierungsdaten pflegen, Vorfallmeldung, Lieferkettenrisiko, Aufsicht durch das Leitungsorgan) und das Minimum dokumentieren. CNCS Sektorleitlinien helfen, ersetzen aber das NIS 2 Pflichtenregister nicht.
Wir bauen das NIS 2 Pflichtenregister auf der EU Ebene, nicht auf einer einzelnen nationalen Umsetzung. Die gleiche Checkliste passt für eine portugiesische Tochter unter Decreto-Lei n.º 125/2025, eine deutsche Mutter unter BSIG und eine französische Schwester unter Ordonnance n° 2024-1093. Die Artikelverweise wechseln pro Land, die Pflichten in der Sache nicht.
Für den portugiesischen Scope startet man mit der Anwendbarkeitsprüfung, dann Meldetakt, Lieferkettenklauseln und Freigabe durch das Leitungsorgan. Wo das CNCS Sektorleitlinien veröffentlicht, verlinken wir sie. Wir kopieren sie nicht.
- Richtlinie (EU) 2022/2555 (NIS 2) — EUR-Lex
- Durchführungsverordnung (EU) 2024/2690
- Decreto-Lei n.º 125/2025 vom 4. Dezember 2025 — Diário da República
- CNCS — Centro Nacional de Cibersegurança, offizielle Seite
- CERT.PT — nationales CSIRT, betrieben durch das CNCS
- ANACOM — Sektorbehörde für elektronische Kommunikation
- Banco de Portugal und CMVM — Sektorbehörden für den Finanzsektor unter DORA