Overheidsinstanties, exploitanten van kritieke infrastructuur en essentiële diensten die geen beveiligingsplannen tegen cyberaanvallen hebben en niet voldoende maatregelen nemen om deze risico's te voorkomen en te beperken, kunnen volgens een bericht van Diário de Notícias worden veroordeeld tot boetes tot 50.000 euro.

Het gaat om entiteiten die variëren van energie tot communicatie tot vervoer en die incidenten en risico's in verband met computeraanvallen moeten melden aan het nationale cyberbeveiligingscentrum (CNCS), op straffe van een sanctie.

Volgens de krant staan deze regels al sinds 2018 in de wet, maar pas in juli vorig jaar werd de verordening van het "Legal Regime for Cyberspace Security" gepubliceerd, waarin "verplichtingen op het gebied van cyberbeveiligingscertificering" zijn vastgelegd waaraan vanaf 2022 moet worden voldaan.