Portugals NIS2-Gesetz ist in Kraft — Was am 3. April geschah und was es für Ihre Lieferkette bedeutet

Am 3. April 2026 wurde Portugal der jüngste EU-Mitgliedstaat, der sein nationales NIS2-Gesetz aktiviert hat. Das Decreto-Lei 125/2025, veröffentlicht am 4. Dezember 2025, trat nach einer 120-tägigen Umsetzungsfrist in Kraft — und die Compliance-Uhr tickt nun für Tausende von Organisationen.

Wenn Sie Produkte oder Dienstleistungen an portugiesische Energieunternehmen, Krankenhäuser, Transportbetreiber, Banken oder Behörden liefern, betrifft Sie das unmittelbar. Portugiesische NIS2-Einrichtungen werden innerhalb von Wochen, nicht Monaten, damit beginnen, Compliance-Anforderungen an ihre Lieferketten weiterzugeben.

Hier erfahren Sie, was sich geändert hat, welche ersten Fristen gelten und was Sie jetzt tun müssen.

Portugal tritt der NIS2-Durchsetzungslandkarte bei

Portugal war einer der späteren EU-Mitgliedstaaten bei der Umsetzung von NIS2 in nationales Recht. Während Deutschland sein NIS2UmsuCG bereits Monate zuvor durchsetzte und Polens Gesetz Anfang 2026 in Kraft trat, wurde Portugals Decreto-Lei 125/2025 am 3. April 2026 wirksam.

Die zuständige Aufsichtsbehörde ist das CNCS (Centro Nacional de Cibersegurança) — Portugals nationales Cybersicherheitszentrum. Das CNCS ist nun für die Überwachung der Compliance, die Bearbeitung von Vorfallsmeldungen und die Durchsetzung von Sanktionen verantwortlich.

Mit dem Inkrafttreten in Portugal füllt sich die NIS2-Durchsetzungslandkarte in Europa weiter. Jedes neue Land, das sein nationales Gesetz aktiviert, schafft neue Compliance-Pflichten — nicht nur für Organisationen innerhalb dieses Landes, sondern für jeden Zulieferer in deren Kette. Für Unternehmen in Deutschland bedeutet dies: Auch wenn Sie bereits die Anforderungen des BSI kennen, kommen durch Portugal nun weitere Verpflichtungen auf Sie zu, sofern Sie portugiesische Kunden beliefern.

NIS2 Umsetzungsstatus nach Land (2025–2026)
✅
Vollständig in Kraft
🇧🇪Belgien
🇭🇷Kroatien
🇭🇺Ungarn
🇱🇹Litauen
🇱🇻Lettland
🇮🇹Italien
6 Länder
📋
Verabschiedet — Ende 2025
🇩🇪Deutschland
🇨🇿Tschechien
🇫🇮Finnland
3 Länder
⏳
In Bearbeitung — erwartet 2026
🇳🇱Niederlande
🇫🇷Frankreich
🇪🇸Spanien
🇵🇱Polen
🇦🇹Österreich
🇸🇪Schweden
🇮🇪Irland
7 Länder

Die ersten Fristen laufen bereits

Das Decreto-Lei 125/2025 gibt Organisationen keine Jahre zur Vorbereitung. Die ersten Fristen werden in Arbeitstagen gemessen:

20 Arbeitstage (ab 3. April 2026)

Jede betroffene Einrichtung muss:

• Einen Cybersicherheitsbeauftragten ernennen, der für die NIS2-Compliance verantwortlich ist
• Eine 24/7-Kontaktstelle einrichten für die Vorfallskommunikation mit dem CNCS

Das bedeutet, dass portugiesische NIS2-Einrichtungen bis ungefähr 30. April 2026 diese Rollen formell besetzt haben müssen.

60 Tage (ab Öffnung der CNCS-Plattform)

Sobald das CNCS seine Registrierungsplattform öffnet, müssen Einrichtungen:

• Sich selbst auf der CNCS-Plattform registrieren
• Organisatorische Angaben und die Einstufung des Anwendungsbereichs übermitteln

24 Monate (sektorspezifische Maßnahmen)

Umfassendere Cybersicherheitsmaßnahmen — einschließlich detaillierter Anforderungen an die Lieferkettensicherheit — werden durch sektorspezifische CNCS-Verordnungen definiert. Diese werden 24 Monate nach Veröffentlichung für den jeweiligen Sektor verbindlich.

Dieser stufenweise Ansatz bedeutet, dass der unmittelbare Druck auf Governance und Registrierung liegt. Die Anforderungen an die Lieferkettensicherheit gemäß Article 21 der NIS2-Richtlinie gelten jedoch ab dem ersten Tag.

Was das für EU-Zulieferer bedeutet

Hier wird es für Organisationen außerhalb Portugals entscheidend.

Article 21(2)(d) der NIS2-Richtlinie verpflichtet betroffene Einrichtungen, Cybersicherheitsrisiken in ihren Lieferketten zu managen. Portugiesische Energieunternehmen, Gesundheitsdienstleister, Transportbetreiber und Anbieter digitaler Infrastruktur sind nun gesetzlich verpflichtet, die Sicherheitslage ihrer Zulieferer zu bewerten.

Wenn Ihre Organisation IT-Dienstleistungen, Cloud-Infrastruktur, Software, Managed Security, Logistiktechnologie oder andere Produkte und Dienstleistungen an eine portugiesische NIS2-Einrichtung liefert, sollten Sie mit Folgendem rechnen:

Compliance-Fragebögen. Ihre portugiesischen Kunden müssen dem CNCS nachweisen, dass sie ihre Lieferkette bewertet haben. Das bedeutet: Sicherheitsfragebögen, Anforderung von Zertifizierungen oder vertragliche Garantien.

Vertragliche Anforderungen. Neue Lieferantenverträge werden NIS2-konforme Klauseln enthalten, die Pflichten zur Vorfallsmeldung, Sicherheitsstandards und Prüfungsrechte abdecken.

Prüfungsrechte. Portugiesische Einrichtungen können das Recht verlangen, Ihre Sicherheitspraktiken zu auditieren — oder Nachweise fordern, dass Sie bestimmte Standards wie ISO 27001 oder die zehn in Article 21 beschriebenen Maßnahmen erfüllen.

Das ist keine Theorie. Organisationen in Deutschland, den Niederlanden und Frankreich haben bereits begonnen, NIS2-Anforderungen an ihre Zulieferer weiterzugeben. Portugal wird demselben Muster folgen.

Kaskadeneffekt in der Lieferkette — Wie sich ein Angriff ausbreitet
!
Ursprung des Angriffs
Tier-1-Lieferant kompromittiert
Ein kritischer IT-Dienstleister oder Softwareanbieter wird Opfer eines Cyberangriffs
Breitet sich auf direkte Kunden aus
▼
Direkte Auswirkungen (Tier 2)
1
Wesentliche Einrichtung A verliert Zugang zu kritischen Diensten
2
Wesentliche Einrichtung B hat sensible Daten offengelegt
3
Wichtige Einrichtung C erleidet Betriebsunterbrechungen
Weiterer Downstream-Effekt
▼
Indirekte Auswirkungen (Tier 3)
1
Nachgelagerte Kunden von Einrichtung A betroffen
2
Regulierungsuntersuchung über die gesamte Lieferkette eingeleitet
3
NIS2-Vorfallsmeldungskaskade für alle betroffenen Einrichtungen
4
Reputations- und Finanzschäden weiten sich sektorweit aus
Ursprung
Direkte Auswirkung
Indirekte Auswirkung

Wer in Portugal betroffen ist

Das Decreto-Lei 125/2025 deckt dieselben Sektoren ab wie die NIS2-Richtlinie. In Portugal umfasst dies:

Wesentliche Einrichtungen (unterliegen proaktiver Aufsicht):

• Energie (Strom, Öl, Gas)
• Transport (Luft, Schiene, Straße, See)
• Banken und Finanzmarktinfrastruktur
• Gesundheitswesen
• Wasserversorgung und Abwasser
• Digitale Infrastruktur (DNS, TLD, Rechenzentren, Cloud, CDN)
• Öffentliche Verwaltung
• Raumfahrt

Wichtige Einrichtungen (unterliegen reaktiver Aufsicht):

• Post- und Kurierdienste
• Abfallwirtschaft
• Chemische Herstellung
• Lebensmittelproduktion
• Herstellung von Medizinprodukten, Maschinen, Elektronik
• Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
• ICT-Dienstleistungsmanagement (MSPs, MSSPs)

Portugiesische MSPs und MSSPs unterliegen einer doppelten Verpflichtung: Sie fallen selbst in den Anwendungsbereich und bedienen gleichzeitig Kunden, die ebenfalls betroffen sind. Die 20-Arbeitstage-Frist zur Ernennung eines Cybersicherheitsbeauftragten gilt für sie sofort.

Wie sich Portugal von anderen Mitgliedstaaten unterscheidet

Jeder EU-Staat setzt NIS2 etwas anders um. Portugals Ansatz weist einige bemerkenswerte Besonderheiten auf:

Stufenweise Sektorregeln. Anders als Deutschland, das über das BSI von Anfang an detaillierte Anforderungen veröffentlichte, verfolgt Portugal einen stufenweisen Ansatz. Das CNCS wird sektorspezifische Verordnungen schrittweise erlassen. Organisationen müssen die Veröffentlichungen des CNCS daher aufmerksam verfolgen.

120-tägige Umsetzungsfrist. Das Gesetz wurde im Dezember 2025 veröffentlicht und trat im April 2026 in Kraft. Das ist relativ üblich — Polen nutzte einen ähnlichen Zeitrahmen.

CNCS als zentrale Behörde. Portugal hat die NIS2-Aufsicht unter dem CNCS zentralisiert, anstatt sie auf mehrere Regulierungsbehörden aufzuteilen. Das vereinfacht die Compliance-Landschaft für Organisationen, die in Portugal tätig sind.

Vorfallsmeldung entspricht NIS2-Standards. Die 24-Stunden-, 72-Stunden- und 1-Monats-Meldefristen gelten in Portugal wie in der Richtlinie vorgesehen.

Praktische Schritte: Was Sie jetzt tun sollten

Ob Sie eine portugiesische Einrichtung im Anwendungsbereich sind oder ein EU-Zulieferer portugiesischer Kunden — hier erfahren Sie, was Sie diese Woche tun sollten:

Wenn Sie eine portugiesische NIS2-Einrichtung sind

1. Ernennen Sie Ihren Cybersicherheitsbeauftragten vor Ablauf der 20-Arbeitstage-Frist (ca. 30. April 2026)
2. Richten Sie Ihre 24/7-Kontaktstelle für die Vorfallskommunikation mit dem CNCS ein
3. Bereiten Sie sich auf die Selbstregistrierung vor — verfolgen Sie die Ankündigungen des CNCS zum Plattformstart
4. Beginnen Sie mit der Bewertung Ihrer Lieferkette gemäß Article 21(2)(d) — identifizieren Sie, welche Zulieferer Compliance nachweisen müssen
5. Führen Sie eine Gap-Analyse anhand der zehn Maßnahmen aus Article 21 durch

Wenn Sie an portugiesische Einrichtungen liefern

1. Ermitteln Sie, welche Ihrer Kunden unter den portugiesischen NIS2-Anwendungsbereich fallen — Energie, Gesundheitswesen, Transport, Banken, digitale Infrastruktur
2. Bereiten Sie Ihre Sicherheitsdokumentation vor — Zertifizierungen, Richtlinien, Verfahren zur Vorfallsreaktion
3. Prüfen Sie Ihre Verträge auf NIS2-Klauseln, die Ihre Kunden einfordern könnten
4. Bewerten Sie Ihre eigene Sicherheitslage anhand der Article 21-Maßnahmen — auch wenn NIS2 nicht direkt für Sie gilt, werden Ihre Kunden Sie an diesen Standards messen
5. Prüfen Sie, ob Sie selbst direkt betroffen sind als Anbieter digitaler Dienste oder MSP — überprüfen Sie, ob NIS2 für Ihre Organisation gilt

Sie sind sich nicht sicher, wo Ihre Organisation steht? Machen Sie den kostenlosen NIS2 Quick Scan und finden Sie in fünf Minuten heraus, ob Sie betroffen sind — direkt oder über Ihre Lieferkette.

Das große Bild: Die NIS2-Durchsetzung beschleunigt sich

Dass Portugal der Durchsetzungslandkarte beitritt, ist Teil eines größeren Trends. Jeden Monat aktiviert ein weiterer EU-Mitgliedstaat sein nationales NIS2-Gesetz. Für Organisationen, die grenzüberschreitend tätig sind oder Kunden in mehreren EU-Ländern bedienen, bedeutet das: Der kumulative Compliance-Druck wächst rasant.

Der Lieferkettenaspekt ist dabei der bedeutsamste. Sie müssen nicht direkt im Anwendungsbereich von NIS2 liegen, um betroffen zu sein. Wenn Ihre Kunden betroffen sind — in Portugal, Deutschland, den Niederlanden, Frankreich, Italien, Spanien, Polen oder einem anderen Mitgliedstaat — werden die NIS2-Anforderungen an die Lieferkettensicherheit Sie erreichen.

Vorstandsmitglieder sollten auch die Auswirkungen ihrer persönlichen Haftung verstehen gemäß Article 20. NIS2 ist nicht nur ein IT-Thema — es ist eine Governance-Verpflichtung.

Die Organisationen, die sich jetzt vorbereiten — ihre Exposition kartieren, ihre Sicherheitslage dokumentieren und Lieferkettenanforderungen proaktiv erfüllen — werden diejenigen sein, die Aufträge gewinnen, anstatt sie zu verlieren.

Quellen

• Vieira de Almeida (VDA): NIS 2 Directive transposed in Portugal (target="_blank")
• iCompliance: NIS2 Implementation in Portugal — Practical Roadmap (target="_blank")
• Rumos: NIS2 comes into force on April 3 (target="_blank")
• NIS-2-Directive.com: Portugal Transposition Status (target="_blank")