Comparativa de la transposición de la NIS II por parte de Portugal con la prevista en España

El anterior proyecto de ley de Portugal (Proyecto de ley Nº 50/XVI/1) expiró con la disolución de la Asamblea de la República, el 11 de marzo. Actualmente, Portugal sigue incumpliendo el plazo de transposición de octubre de 2024, que llevó a la apertura del procedimiento de infracción por parte de la Comisión Europea en noviembre del mismo año.

En comparación con el proyecto de ley español (Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad), una de las principales diferencias está relacionada con el ámbito de aplicación:

Ambas propuestas adoptan la misma metodología y criterios para la clasificación de las entidades cubiertas como entidades esenciales. La clasificación de entidades como entidades importantes también asume los mismos criterios de clasificación, y España también incluye municipios que tengan más de 20.000 habitantes y entidades de su sector público institucional. Por su parte, Portugal ha optado por incluir un artículo dedicado exclusivamente a las entidades públicas que no están calificadas como entidades esenciales o importantes, clasificándolas como entidades públicas relevantes y dividiéndolas en dos grupos, a los efectos de aplicar regímenes específicos en los términos de la propuesta y otras regulaciones emitidas por el Centro Nacional de Ciberseguridad.

Con respecto al régimen sancionador, también se pueden anticipar algunas diferencias:

En general, las propuestas son bastante similares en lo que respecta a las obligaciones previstas para las entidades incluidas en su ámbito de aplicación, y ambas propuestas reflejan un claro compromiso con la mejora de la ciberresiliencia, con aspectos destacados y matices que ponen de relieve las prioridades y los modelos institucionales de cada Estado miembro.