Les entités de l'administration publique, les opérateurs d'infrastructures critiques et de services essentiels qui ne disposent pas de plans de sécurité contre les cyberattaques et qui ne prennent pas de mesures suffisantes pour prévenir et atténuer ces risques peuvent être condamnés à des amendes pouvant aller jusqu'à 50 000 euros, selon un rapport du Diário de Notícias.
Sont concernées les entités allant de l'énergie aux communications en passant par les transports et qui sont tenues de signaler les incidents et les risques liés aux attaques informatiques au Centre national de cybersécurité (CNCS), sous peine d'être sanctionnées.
Selon le journal, ces règles sont inscrites dans la loi depuis 2018, mais ce n'est qu'en juillet dernier qu'a été publié le règlement du "Régime juridique de la sécurité du cyberespace", qui définit les "obligations en matière de certification de la cybersécurité" à respecter à partir de 2022.