Comparação da transposição da NIS II por parte de Portugal com a prevista em Espanha

A anterior Proposta de Lei (Proposta de Lei n.º 50/XVI/1), caducou com a dissolução da Assembleia da República, a 11 de março. Atualmente, Portugal está ainda em incumprimento do prazo de transposição em outubro de 2024, o que levou à instauração do processo de infração pela Comissão Europeia em novembro do mesmo ano.

Em comparação com a proposta de lei espanhola (Anteproyecto De Ley De Coordinación Y Gobernanza De La Ciberseguridad), uma das principais diferenças entre a Proposta de Lei Portuguesa e a espanhola, prende-se com o âmbito de aplicação, designadamente, o seguinte:

Ambas as propostas adotam a mesma metodologia e critérios para a classificação das entidades abrangidas como entidades essenciais. A classificação das entidades como entidades importantes também assume os mesmos critérios de classificação, sendo que Espanha inclui ainda os municípios que, não sendo municípios de grande população, tenham mais de 20.000 habitantes, e as entidades do seu setor público institucional. Por seu lado, Portugal optou pela inclusão de um artigo dedicado exclusivamente às entidades públicas que não sejam qualificadas como entidades essenciais ou importantes, classificando-as como entidades públicas relevantes e dividindo-as em dois grupos, para efeitos de aplicação de regimes específicos nos termos da proposta e restante regulamentação emitida pelo Centro Nacional de Cibersegurança.

No que diz respeito ao regime sancionatório, também se podem antecipar algumas diferenças:

No cômputo geral, as propostas são bastante semelhantes no que diz respeito às obrigações previstas para as entidades abrangidas pelo seu âmbito de aplicação e ambas as propostas refletem um compromisso inequívoco com a melhoria da resiliência cibernética, com realces e nuances que evidenciam as prioridades e modelos institucionais de cada Estado-Membro.