No final do ano passado, a diretiva europeia NIS2 foi finalmente transposta para a legislação portuguesa com o Regime Jurídico da Cibersegurança, num processo com atrasos significativos, entre a queda do governo e dois avisos por parte da Comissão Europeia. 120 dias após a sua publicação em Diário da República, as novas regras entraram em vigor a 3 de abril.
Não perca nenhuma notícia importante da atualidade de tecnologia e acompanhe tudo em tek.sapo.pt
De acordo com o Decreto-Lei n.º 125/2025, o Regime quer “assegurar a generalização da cibersegurança na cultura organizacional do tecido empresarial português e nas entidades, órgãos e serviços que constituem a Administração Pública”.
Mas, o que muda para as empresas e entidades, quais são as novas obrigações e o que acontece nos casos de incumprimento? Neste explicador apresentamos 8 perguntas e respostas essenciais para ajudar a compreender o tema.
O que é a NIS2?
A Network and Information Security 2 (NIS2) foi concebida para dar resposta à crescente exposição da Europa a ciberameaças. A diretiva estabelece um enquadramento legal unificado para garantir um nível comum de cibersegurança elevado na União Europeia (UE), com foco em 18 setores críticos.
A proposta para a NIS2 foi apresentada pela Comissão Europeia em dezembro de 2020. Mais tarde, a 13 de maio de 2022, os co-legisladores chegaram a um acordo político e, no final de novembro, o Conselho da UE deu “luz verde” à diretiva, assim como ao regulamento DORA (Digital Operational Resilience Act)
A NIS2 apresenta um conjunto de medidas para elevar o nível comum de cibersegurança, tendo em conta os três pilares principais que estiveram na base da anterior diretiva europeia de cibersegurança (NIS1).
O que requer a NIS2 aos Estados-membros da UE?
- Adotar uma estratégia nacional de cibersegurança
- Exigir às entidades responsáveis pelos setores vitais para a economia e sociedade que tomem medidas de segurança adequadas e que notifiquem as autoridades competentes no caso de quaisquer acidentes que possam ter um impacto significativo na forma como prestam serviços
- Reforçar a cooperação a nível europeu entre as autoridades da área de cibersegurança.
Como é que a NIS2 está a ser implementada na UE?
A NIS2 entrou em vigor em 2022, 20 dias após a publicação no Jornal Oficial da UE, estabelecendo um prazo de 21 meses para os Estados-membros fazerem a transposição para as respectivas legislações nacionais. O objetivo era que os Estados-membros da UE realizassem a transposição até 17 de outubro de 2024.
No entanto, os atrasos no processo levaram o executivo comunitário a iniciar, em novembro desse ano, um processo de infração contra 23 países, numa lista da qual Portugal fez parte.
Aos países, a Comissão Europeia deu um prazo de dois meses para apresentarem uma resposta e concluírem a implementação da diretiva nas suas legislações. “Na ausência de uma resposta satisfatória, a Comissão pode avançar com uma resposta fundamentada”, alertou o executivo comunitário.
Já em maio de 2025, a Comissão Europeia enviou um parecer fundamentado a 19 Estados-Membros por não terem notificado a transposição total da NIS2.
Além de Portugal, países como Bulgária, República Checa, Dinamarca, Alemanha, Estónia, Irlanda, Espanha, França, Chipre, Letónia, Luxemburgo, Hungria, Países Baixos, Áustria, Polónia,Eslovénia, Finlândia e Suécia faziam parte desta lista.
Na altura, o executivo comunitário alertou que os países em questão tinham um prazo de dois membros para responder ao parecer e adotar as medidas necessárias, caso contrário, os seus processos poderiam ser remetidos para o Tribunal de Justiça da União Europeia.
Como é que Portugal transpôs a diretiva europeia?
Em outubro de 2024, o primeiro Governo de Luís Montenegro aprovou o diploma que incluía a proposta de transposição da diretiva NIS2 e a criação de um novo Regime Jurídico da Cibersegurança.
Pela altura em que recebeu o primeiro “aviso” da Comissão Europeia, Portugal já tinha colocado em consulta pública a proposta de lei relativa ao Regime Jurídico da Cibersegurança.
Após o processo de consulta pública, a proposta foi aprovada pelo Conselho de Ministros a 6 de fevereiro de 2025. No entanto, a queda do Governo e consequente dissolução da Assembleia da República acabou por complicar o processo.
Já em julho do ano passado, com o segundo Governo de Luís Montenegro, a proposta para a nova lei da cibersegurança foi aprovada em Conselho de Ministros, tendo recebido “luz verde” da Assembleia da República em setembro.
Em novembro, o Conselho de Ministros aprovou finalmente o novo Regime Jurídico da Cibersegurança e, no final desse mês, o diploma foi promulgado por Marcelo Rebelo de Sousa, anterior Presidente da República, sendo publicado em Diário da República a 4 de dezembro.
Regime Jurídico da Cibersegurança publicado em Diário da República. Lei entra em vigor no próximo ano
Com a promulgação por Marcelo Rebelo de Sousa e com publicação em Diário da República, o novo Regime Jurídico da…
Note-se que, além de transpôr a NIS2 para a jurisdição portuguesa, o Regime Jurídico da Cibersegurança conta também com alterações legislativas, incluindo em questões como a regulação do ethical hacking.
Aqui, o artigo da Lei do Cibercrime que diz respeito a “atos não puníveis por interesse público de cibersegurança” passa a incluir uma nova disposição.
Nela é indicado que “não são puníveis factos suscetíveis de consubstanciar os crimes de acesso ilegítimo e de interceção ilegítima” quando tal é feito exclusivamente para identificar vulnerabilidades de segurança. Note-se que, para que esta excepção se aplique, têm de estar reunidas várias condições.
Outra das alterações diz respeito à Comissão de Avaliação de Segurança do Ciberespaço, outrora enquadrada na Lei das Comunicações Eletrónicas. Com o novo Regime, esta comissão passa a ter um enquadramento legal específico.
Como detalhado no Decreto-Lei, a Comissão, que funciona junto do Conselho Superior de Segurança do Ciberespaço (CSSC), é responsável por avaliar se equipamentos, componentes ou serviços tecnológicos usados em redes públicas e privadas representam um risco para a segurança nacional.
Nesse sentido, o Governo pode decidir limitar, suspender ou proibir o uso de determinados equipamentos ou serviços tecnológicos, tanto em redes públicas como privadas, sempre que sejam considerados um risco elevado para a segurança nacional. Nestes casos, a decisão é tomada com base numa avaliação prévia feita pela Comissão de Avaliação de Segurança do Ciberespaço.
Que entidades e sectores são abrangidos pelo Regime Jurídico da Cibersegurança?
Tal como estabelece a NIS2, as entidades abrangidas passam a ser classificadas tendo em conta a sua importância, sendo divididas entre essenciais e importantes, estando sujeitas a regimes de supervisão diferentes. A elas juntam-se ainda as entidades públicas relevantes.
CNCS
A sua empresa está abrangida pelo Regime Jurídico da Cibersegurança? Há um simulador que ajuda a verificar
De acordo com o CNCS, o novo simulador, integrado na plataforma MyCyber, afirma-se como “o primeiro passo para auxiliar as entidades no seu processo de adaptação ao novo Regime Jurídico da Cibersegurança”.
Ao todo, o novo Regime abrange 17 setores e a Administração Pública. No que toca aos sectores em específico é feita a distinção entre entre “Setores de importância crítica” e “Outros setores críticos”.
Sectores de importância crítica: energia; transportes; setor bancário; infraestruturas do mercado financeiro; saúde; gestão da água (potável e residual); infraestruturas digitais; gestão de serviços de TIC; e Espaço.
Outros sectores críticos: serviços postais e de estafetas; gestão de resíduos; produção, fabrico e distribuição de químicos; produção, transformação e distribuição de produtos alimentares; Indústria transformadora; prestação de serviços digitais; e investigação.
Quais são as obrigações das entidades abrangidas?
Como explica o CNCS, as entidades abrangidas pelo novo Regime são responsáveis por assegurar a segurança das suas redes e sistemas de informação.
Entre estas responsabilidades incluem-se adotar medidas de segurança adequadas, assegurar que os incidentes têm o menor impacto possível e rever regularmente os riscos e práticas de segurança para se manterem em conformidade com a lei.
Além disso, os órgãos de gestão, direção e administração das entidades abrangidas também passam a ter responsabilidades, como aprovar políticas de segurança, supervisionar a sua aplicação, assegurar o cumprimento das obrigações de prevenção, deteção, resposta e recuperação em casos de incidente e promover formação contínua em cibersegurança para as equipas relevantes.
Cibersegurança ainda é “mal-amada” em Portugal. O que falta para reforçar a resiliência digital?
Ao TEK Notícias, Luís Martins, Diretor-Geral da Cipher Portugal, afirma que “a cibersegurança é, sem dúvida, uma das áreas mal-amadas…
Os responsáveis pelos órgãos de gestão, direção e administração “podem responder por ação ou omissão, com dolo ou culpa grave, pelas infrações previstas no Regime Jurídico da Cibersegurança, nos termos da legislação aplicável”, realça o CNCS.
Na prática, isto significa que, em falhas graves na gestão dos riscos de cibersegurança que resultem em incumprimento significativo das obrigações legais, os responsáveis podem ser responsabilizados civilmente pelos danos causados e responder legalmente por ações ou omissões graves.
Que multas estão previstas para o incumprimento das regras?
Estão previstos três níveis de contraordenações, de acordo com a gravidade do incumprimento, cujas coimas variam de acordo com o tipo de entidade.
As contraordenações muito graves incluem, por exemplo, casos de incumprimento de decisões do Governo ou dos deveres de notificação e comunicação de incidentes, bem como falhas na adoção de medidas de cibersegurança. Nestes casos, as coimas podem atingir até 10 milhões de euros ou 2% do volume de negócios anual mundial, no caso de pessoas coletivas.
As contraordenações graves dizem respeito a incumprimentos de obrigações de gestão de risco, medidas de execução imediata ou ordens da autoridade de cibersegurança, com coimas que podem chegar a 5 milhões de euros ou 1% do volume de negócios anual mundial.
Por fim, as contraordenações leves incluem, por exemplo, o uso de certificações inválidas ou falsas informações sobre certificação de cibersegurança. Aqui, as coimas variam entre 250 e 45 mil euros, caso seja uma pessoa singular ou coletiva.
Quem são as entidades responsáveis pela segurança do ciberespaço em Portugal?
No contexto do novo Regime, o CNCS reforça a sua função de autoridade nacional de cibersegurança, assumindo o papel de ponto de contacto para a cooperação com outras entidades a nível europeu e internacional. A entidade atuará como autoridade nacional de certificação de cibersegurança, integrando também a equipa de resposta a incidentes de cibersegurança nacional.
O Quadro Institucional da Segurança do Ciberespaço é reforçado e, além do CNCS, passa a integrar o Conselho Superior de Segurança do Ciberespaço (CSSC), enquanto órgão consultivo do Primeiro-Ministro no domínio da cibersegurança, e o Secretário-Geral do Sistema de Segurança Interna, como autoridade nacional de gestão de crises e incidentes de cibersegurança em grande escala.
São igualmente estabelecidas autoridades de supervisão setoriais e especiais. Da primeira categoria fazem parte o Gabinete Nacional de Segurança, no que toca aos serviços de confiança nas transações eletrónicas no mercado interno, e a ANACOM, nas comunicações eletrónicas e dos serviços postais.
Na lista de autoridades especiais incluem-se a Comissão de Avaliação de Segurança do Ciberespaço, a Polícia Judiciária, o Serviço de Informações de Segurança, o Serviço de Informações Estratégicas de Defesa e o Comando de Operações de Ciberdefesa.
A elas juntam-se ainda um conjunto de entidades na área da resiliência operacional digital do setor financeiro, como a Autoridade de Supervisão de Seguros e Fundos de Pensões, a Comissão do Mercado de Valores Mobiliários e Banco de Portugal.
O que se segue?
Com a entrada em vigor do novo regime que transpõe a NIS2, o CNCS vai aprovar e publicar as normas regulamentares de execução, “nomeadamente quanto ao funcionamento da plataforma electrónica, Quadro Nacional de Referência para a Cibersegurança e medidas de cibersegurança mínimas”, afirma a entidade.
O regulamento do Regime Jurídico da Cibersegurança está em consulta pública até ao dia 22 de abril. Após este processo, tem início o “prazo de 24 meses para a produção de efeitos de algumas das normas do novo regime”, detalha.
Recorde-se que, ainda esta semana, CNCS passou a disponibilizar uma nova ferramenta para ajudar as empresas e entidades a verificar se estão abrangidas pela legislação.
Segundo a entidade, o simulador é “o primeiro passo para auxiliar as entidades no seu processo de adaptação ao novo Regime Jurídico da Cibersegurança”.
A ferramenta não vinculativa está integrada na plataforma MyCiber, também disponibilizada pelo CNCS, que vai permitir “assegurar a gestão do ecossistema de cibersegurança nacional no que diz respeito ao cumprimento de obrigações e notificação de incidentes”.
Numa primeira fase, a plataforma permitirá às entidades essenciais, importantes e públicas relevantes comunicar com as autoridades de cibersegurança competentes.
O CNCS nota, no entanto, que o simulador não abrange todos os critérios previstos na legislação, com o resultado apresentado a ser meramente indicativo, dependendo também do rigor da informação fornecida e não estando sujeito a uma avaliação formal.
“A utilização do simulador não dispensa o registo das entidades que se inicia após a publicação do Regulamento”, realça a entidade.