A cibersegurança deixou de ser opcional.

Com a entrada em vigor do Decreto-Lei n.º 125/2025, Portugal transpôs definitivamente a Diretiva Europeia NIS2 — e as empresas abrangidas já têm obrigações concretas a cumprir.

O que é a Diretiva NIS2?

A NIS2 (Network and Information Security Directive 2) é o novo quadro europeu de cibersegurança, publicado pela União Europeia a 27 de dezembro de 2022 e em vigor desde 16 de janeiro de 2023. Em Portugal, foi transposta através do Decreto-Lei n.º 125/2025, publicado em 4 de dezembro de 2025, com entrada em vigor a 3 de abril de 2026.

O objetivo é elevar o nível de proteção digital em toda a União Europeia, harmonizar requisitos entre países e garantir que as organizações estão preparadas para responder a incidentes de forma rápida e eficaz.

Em comparação com a anterior Diretiva NIS de 2016, a NIS2 vai muito mais longe – abrange cerca de 10 vezes mais entidades, aumenta as exigências técnicas e, pela primeira vez, responsabiliza diretamente os órgãos de gestão pelo cumprimento das medidas de cibersegurança.

A sua empresa é abrangida?

Em Portugal, a lei organiza as entidades em três categorias:

  • Entidades essenciais — operadores críticos com impacto sistémico elevado (energia, saúde, banca, infraestruturas digitais, entre outros).
  • Entidades importantes — organizações de setores estratégicos com impacto relevante, mas menor em caso de interrupção.
  • Entidades públicas relevantes — organismos da administração pública com critérios específicos.

De forma geral, uma empresa está abrangida se operar num dos 18 setores definidos nos Anexos I e II da Diretiva e for classificada como média ou grande empresa (≥ 50 colaboradores e faturação ≥ 10 milhões de euros). Existem exceções para determinados prestadores de serviços críticos, independentemente da sua dimensão.

Se tem dúvidas sobre se a sua organização está incluída, não espere pela notificação do CNCS — antecipe-se.

O que muda na prática?

A NIS2 introduz um conjunto de obrigações concretas que vão além da simples conformidade em papel. As mais relevantes incluem:

  • Gestão de riscos de cibersegurança — as organizações devem identificar, avaliar e mitigar riscos de forma contínua, com políticas documentadas e processos claros.
  • Notificação de incidentes — em caso de incidente significativo, as entidades essenciais têm prazos estritos de reporte ao CNCS. O relatório final deve ser entregue em 30 dias úteis após a notificação de fim de impacto.
  • Responsabilização da gestão de topo — este é talvez o ponto mais disruptivo. A cibersegurança deixa de ser “um problema de TI”. Os administradores e membros dos órgãos de gestão são pessoalmente responsáveis pelo cumprimento das obrigações, e essa responsabilidade não pode ser delegada para fora dos órgãos de gestão.
  • 9 medidas mínimas obrigatórias — definidas no Artigo 21 da Diretiva, incluem políticas de controlo de acesso, gestão de continuidade de negócio, segurança na cadeia de fornecimento, criptografia, entre outras.
  • Formação contínua — as organizações devem promover e garantir formação regular em cibersegurança para as equipas relevantes.

Quais são as consequências do incumprimento?

As coimas previstas no Decreto-Lei n.º 125/2025 são significativas:

  • Contraordenações muito graves: até 10 milhões de euros ou 2% do volume de negócios anual mundial, consoante o valor mais elevado.

Há, no entanto, um período de carência: durante os primeiros 12 meses, as empresas que demonstrarem ao CNCS que iniciaram um processo interno de adaptação poderão evitar a aplicação de coimas — embora continuem obrigadas a notificar incidentes.

Que ações deve tomar agora?

Existem obrigações imediatas que não admitem demora:

  1. Registo na plataforma MyCiber (myciber.gov.pt) — o prazo inicial foi 4 de maio de 2026.
  2. Nomeação de um responsável de cibersegurança.
  3. Implementação das 9 medidas do Artigo 21.
  4. Avaliação interna do nível de conformidade atual.

Se ainda não iniciou este processo, o momento de agir é agora.

Como a INFOS pode ajudar

Na INFOS, acompanhamos de perto os nossos clientes nesta transição. Para apoiar as organizações que precisam de perceber exatamente onde estão — e o que precisam de fazer —, disponibilizamos um serviço de resposta rápida:

Diagnóstico-Rápido NIS2 (3 dias)

Em apenas três dias de trabalho, a nossa equipa realiza uma avaliação focada e objetiva, que inclui:

  • ✅ Avaliação das políticas e mecanismos de segurança existentes
  • ✅ Identificação de vulnerabilidades e lacunas de conformidade
  • ✅ Relatório de conformidade face aos requisitos do DL n.º 125/2025
  • ✅ Recomendações claras e priorizadas para mitigação de riscos

O resultado é um plano de ação concreto para que a sua organização aumente a resiliência digital e esteja preparada para as fiscalizações do CNCS — sem surpresas, sem penalizações.

Não espere pela fiscalização. Antecipe-se.

A NIS2 não é mais uma diretiva que pode ser adiada. As obrigações são reais, os prazos já estão a decorrer e a responsabilidade é pessoal para quem lidera as organizações.

Fontes: Decreto-Lei n.º 125/2025, CNCS (cncs.gov.pt), Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho.

Fale connosco e agende o seu Diagnóstico-Rápido NIS2

© 2026 Infos – Informática e Serviços, S.A. | Todos os direitos reservados