葡萄牙的新网络盾牌：解读 NIS2 转置与第 125/2025 号法令

葡萄牙第 125/2025 号法令现已生效。了解 NIS2 转置如何影响网络安全、供应链风险和报告要求。

2026年4月6日

在现实世界中，我们绝不会梦想在夜间敞开办公室大门，但在数字领域，许多组织多年来一直在虚拟环境中运行着相当于“坏掉的锁”的系统。我们为仓库投资重型大门和保安，却往往忽视了将服务器连接到打不同第三方供应商的隐形丝线。随着第 125/2025 号法令的生效，葡萄牙正式关闭了这些数字大门，将欧盟的 NIS2 指令转置为严格的国家框架，要求我们对系统性风险的认知发生根本性转变。

作为一名多年来一直担任数字侦探的记者——不仅调查数据泄露的“现象”，还调查其“过程”和“原因”——我亲眼目睹了一个被忽视的漏洞如何像漏油事件一样演变成声誉危机。这项新法律不仅仅是另一个官僚障碍；它是一次必要的进化。它认识到，在我们相互关联的经济中，您的安全程度仅取决于供应链中最薄弱的一环。

超越基础：第 125/2025 号法令的变化

在此框架下，葡萄牙网络安全监管的范围显著扩大。我们正从最初 NIS 指令的有限范围转向一个更全面的体系。法律现在将实体分为“关键实体”和“重要实体”。前者包括能源、交通和医疗等部门，而后者则纳入了邮政服务、废物管理甚至某些制造业。

从合规的角度来看，最显著的变化是问责制。这不再是一项可以悄悄交给 IT 部门然后被遗忘的任务。法律将责任直接压在了管理层的肩上。如果公司未能实施相应的风险管理措施，领导层可能会被追究个人责任。根据我审计公司隐私政策的经验，最稳健的组织是那些高管层将合规视为“指南针”而非“枷锁”的组织。

供应链：不再躲在供应商身后

新法律中最细致入微的方面之一是对供应链安全的关注。奇怪的是，许多企业仍将供应商视为“黑匣子”，认为只要支付了服务费用，其本质就是安全的。第 125/2025 号法令打破了这种幻觉。法律现在要求公司评估其供应商的安全实践。

把你的组织想象成一座房子。你可能在前门装了最好的锁，但如果你把钥匙给了一个连自家窗户都敞开的承包商，你的房子就不再安全了。“隐私设计”作为房子的基础，意味着要确保每一块砖（包括第三方提供的砖）都是坚固的。在实践中，这意味着细致的尽职调查。你需要了解你的数据是如何处理的、存储在哪里，以及如果你的服务商遭受泄露会发生什么。从本质上讲，法律迫使公司停止做技术的被动消费者，开始做其数字生态系统的积极审计者。

24 小时时钟：事件报告的新时代

报告要求变得更加严格。当发生重大事件时，时钟立即开始计时。实体必须在 24 小时内向国家网络安全中心 (CNCS) 提供初步通知。随后在 72 小时内提交更详细的报告，并在一个月后提交最终报告。

要求	时间线	目标
预警	24 小时	向 CNCS 警示潜在的系统性威胁。
事件通知	72 小时	提供对违规行为及其影响的详细评估。
最终报告	1 个月	记录根本原因和长期补救措施。