Einrichtungen der öffentlichen Verwaltung, Betreiber kritischer Infrastrukturen und wesentlicher Dienste, die keine Sicherheitspläne zum Schutz vor Cyberangriffen haben und keine ausreichenden Maßnahmen zur Vorbeugung und Minderung dieser Risiken ergreifen, können laut einem Bericht von Diário de Notícias zu Geldstrafen von bis zu 50.000 EUR verurteilt werden.
Betroffen sind Unternehmen aus den Bereichen Energie, Kommunikation und Verkehr, die verpflichtet sind, Vorfälle und Risiken im Zusammenhang mit Computerangriffen an das Nationale Zentrum für Cybersicherheit (CNCS) zu melden und dafür Sanktionen zu verhängen.
Laut der Zeitung sind diese Regeln seit 2018 im Gesetz verankert, aber erst im Juli letzten Jahres wurde die Verordnung "Gesetzliche Regelung für die Sicherheit im Cyberspace" veröffentlicht, in der die "Verpflichtungen in Bezug auf die Zertifizierung der Cybersicherheit" definiert werden, die ab 2022 einzuhalten sind.