O desafio não é apenas cumprir mais uma lei, é compreender que a cibersegurança passou a integrar o núcleo duro dos deveres de cuidado impostos pelo ordenamento jurídico.
A partir de 3 de abril de 2026, um ciberataque a uma empresa portuguesa deixou de ser apenas um problema de TI. Passou a ser, também, um problema do conselho de administração, com possíveis consequências pessoais para cada um dos seus membros.
O Decreto-Lei n.º 125/2025, que transpõe a Diretiva NIS 2, redesenha por completo a arquitetura de responsabilidades em matéria de cibersegurança, distribuindo-as por vários níveis da organização e criando, pela primeira vez no ordenamento português, um regime de governação que articula mecanismos de governação pública (supervisão pelo CNCS, deveres legais impostos aos administradores), com mecanismos de governação privada (estruturas internas de gestão de risco, cadeias de reporte, segregação de funções). Essa articulação nem sempre é linear.
Quem decide o quê, quem responde perante quem, e o que deve acontecer quando algo falha? Do conselho de administração ao responsável de cibersegurança, passando pelo advogado interno, pelo encarregado de proteção de dados, pelo responsável de conformidade e pela direção financeira — percorreremos cada um destes papéis no novo regime.
O conselho de administração: a primeira linha de responsabilidade
Uma importante novidade da NIS 2 – e do Decreto-Lei n.º 125/2025 – reside na responsabilização direta dos órgãos de administração. A expressão “órgãos de administração” designa exclusivamente os órgãos sociais a quem, nos termos da lei e dos estatutos da entidade em causa, são conferidos poderes de gestão estratégica, de representação e de vinculação da pessoa coletiva perante terceiros – nomeadamente o conselho de administração, o administrador único, a gerência ou o conselho de administração executivo.
O artigo 25.º, n.º 1, impõe quatro obrigações concretas aos órgãos de administração: aprovar as medidas de gestão dos riscos de cibersegurança, supervisionar a sua aplicação, assegurar o cumprimento das medidas de supervisão e execução, e garantir formação periódica em cibersegurança. Não se trata de uma obrigação formal: o regime exige dos administradores um envolvimento individual e direto na gestão dos riscos de cibersegurança, vedando a prática – até aqui frequente – de relegar estas matérias nos serviços técnicos. O artigo 25.º, n.º 3, confirma-o: a responsabilidade não pode ser delegada, exceto noutro titular dos órgãos de gestão.
O artigo 27.º, n.º 1, alínea f), vai mais longe: entre as medidas obrigatórias, inclui «práticas básicas de ciber-higiene e formação em cibersegurança, incluindo os titulares de órgãos máximos de gestão». Num tecido empresarial onde muitos conselhos de administração carecem de experiência técnica nestas matérias, esta exigência não é trivial.
Responsabilidade coletiva e responsabilidade individual
A aprovação das medidas de gestão do risco é uma competência do órgão coletivo: a estratégia, a alocação de recursos e o grau de risco aceite não podem ser decididos por um único administrador nem delegados sem supervisão.
Mas a responsabilidade individual não desaparece. O artigo 25.º, n.º 2, prevê que os titulares dos órgãos de administração podem responder por ação ou omissão, com dolo ou culpa grave. As coimas aplicáveis a pessoas singulares podem atingir €200.000 em contraordenações muito graves e €125.000 em contraordenações graves.
Esta dupla dimensão obriga os conselhos de administração a documentarem cuidadosamente os processos de decisão: atas, pareceres técnicos, deliberações fundamentadas sobre aceitação ou mitigação de riscos – tudo isto passa a constituir prova relevante em caso de escrutínio regulatório ou judicial.
O CISO e as equipas de TI
Se o conselho de administração aprova e supervisiona, o artigo 31.º do Decreto-Lei n.º 125/2025 cria a figura do responsável de cibersegurança – o equivalente funcional do CISO no quadro jurídico português. O regime exige que esta figura seja titular dos órgãos de gestãoou lhes responda «organicamente e de forma direta», com competências que vão da proposta de medidas de gestão do risco à promoção de uma cultura de cibersegurança, passando pelo reporte aos órgãos de supervisão e pela gestão operacional dos requisitos técnicos do artigo 27.º, isto é, tratamento de incidentes, continuidade das atividades, segurança da cadeia de abastecimento, criptografia e autenticação multifator.
A NIS 2 vem quebrar o isolamento histórico da cibersegurança nos departamentos técnicos. Para o responsável de cibersegurança, isto significa que a sua função já não se esgota na componente técnica: é necessário comunicar riscos em linguagem acessível ao órgão de administração e colaborar com as funções jurídicas, de conformidade e de proteção de dados.
O artigo 31.º, n.º 8, permite a acumulação de funções – o que é relevante para organizações de menor dimensão -, mas a separação funcional mantém-se: ao conselho compete aprovar e supervisionar; ao responsável de cibersegurança compete propor, executar e reportar. Acrescea obrigação de designar um ponto de contacto permanente, disponível 24/7 durante períodos de ativação, para comunicação com a autoridade competente.
O encarregado de proteção de dados
Na esmagadora maioria das organizações abrangidas, o Encarregado de Proteção de Dados (DPO) é uma peça central na articulação com o regime NIS 2. A sua posição de independência e o reporte direto ao nível hierárquico mais elevado fazem dele um interlocutor privilegiado do conselho de administração em matérias de risco digital.
Contudo, as competências do DPO circunscrevem-se ao universo dos dados pessoais, ficando de fora riscos como ataques e incidentes de segurança sem exposição de informação pessoal. O Decreto-Lei n.º 125/2025 reconhece esta interseção: o artigo 23.º, n.º 1, alínea a), impõe ao CNCS cooperação estreita com a CNPD sempre que um incidente origine violação de dados pessoais. Um mesmo incidente pode desencadear, simultaneamente, obrigações ao abrigo do Decreto-Lei e do RGPD, com prazos e destinatários distintos. Sem coordenação interna, a organização arrisca-se a falhar num ou noutro regime, ou em ambos.
O responsável pela conformidade
O responsável pela conformidade tem a missão de traduzir as exigências legais em procedimentos, controlos e rotinas que percorram toda a organização. No contexto da NIS 2, isto inclui o acompanhamento regulatório, a elaboração de políticas internas, a formação dos colaboradores e as auditorias de conformidade.
O desafio específico desta função é responder pelo estado global de cumprimento quando as alavancas operacionais – configurações de rede, políticas de acesso, correção de vulnerabilidades – estão nas “mãos de outros”. O novo Decreto-Lei intensifica-o com um sistema de notificação faseada de incidentes significativos: notificação inicial até 24 horas, atualização até 72 horas, relatório final no prazo de 30 dias úteis.
A direção financeira
Os programas de cibersegurança exigem investimento: em tecnologia, formação, auditorias e recursos humanos especializados. O Decreto-Lei n.º 125/2025 acrescenta custos regulatórios diretos: as auditorias de segurança direcionadas são suportadas pela entidade auditada, e o artigo 82.º prevê uma taxa de supervisão a fixar por portaria. Quando a direção financeira não participa na definição de prioridades, os programas de conformidade ficam cronicamente subfinanciados ou os investimentos são feitos de forma reativa e descoordenada.
O advogado in-house
No meio desta complexidade, o advogado interno está – como já observou outro autor, Andrej Savin, para o vasto conjunto de obrigações de conformidade digital – particularmente bem posicionado para coordenar todas estas estruturas. A função jurídica interna é, por natureza, a única cuja esfera de atuação não se circunscreve a um domínio técnico específico: abrange a proteção de dados, a cibersegurança, a contratação, o contencioso e a governação societária. Além de que o advogado interno faz tipicamente parte da liderança executiva, com acesso direto ao conselho de administração.
Na prática, cabe-lhe convocar grupos de trabalho interdisciplinares, garantir que o conselho é alertado para riscos de conformidade materiais, harmonizar políticas internas para evitar contradições, mediar conflitos entre prioridades departamentais e coordenar a resposta a incidentes e a interação com o CNCS.
A responsabilidade perante o Regulador
Com o diploma em vigor, o CNCS – qualificado como «autoridade nacional de cibersegurança» – dispõe de poderes de supervisão e sancionatórios reforçados. As entidades abrangidas devem estar preparadas para demonstrar que dispõem de estruturas de governação adequadas, que os órgãos de administração supervisionam as medidas de gestão do risco e que existem mecanismos de reporte e resposta a incidentes eficazes.
Para além das “capelinhas”
A maior dificuldade prática na aplicação do novo regime será, provavelmente, cultural. A tendência para que cada função opere no seu próprio reduto é um dos principais obstáculos a uma governação de cibersegurança eficaz: por isso é nas fronteiras entre departamentos que surgem as lacunas mais perigosas. O próprio Decreto-Lei reflete esta complexidade: a lei identifica múltiplas autoridades setoriais e especiais de cibersegurança, exigindo às organizações a capacidade de interagir com vários reguladores em simultâneo.
Isto implica soluções estruturais (como comités interdisciplinares, reporte unificado, avaliações de risco conjuntas) mas, sobretudo, uma liderança que promova uma cultura de conformidade transversal. É ao conselho de administração que compete definir essa expectativa; é ao advogado interno, em articulação com o CISO, o DPO e o CCO, que cabe concretizá-la.
A cibersegurança e os deveres gerais de (bom) governo societário
Nada disto, convém notar, é inteiramente novo. O direito societário português já conhece, há muito, deveres gerais de cuidado, diligência e lealdade dos administradores. A business judgment rule protege o administrador que atua de forma informada, livre de conflitos de interesse e segundo critérios de racionalidade empresarial, mas pressupõe, precisamente, que o administrador se informa antes de decidir. Os deveres fiduciários clássicos não dispensam, nunca dispensaram, o conhecimento dos riscos materiais que a organização enfrenta.
O que o Decreto-Lei n.º 125/2025 faz é acrescentar a este quadro uma camada de responsabilidade específica e autónoma. Já não basta invocar a business judgment rule para justificar uma decisão, ou uma não-decisão, em matéria de cibersegurança. O regime cria uma responsabilidade própria dos titulares dos órgãos de gestão, por ação ou omissão, com dolo ou culpa grave; e o Decreto-lei introduz uma consequência sem paralelo no regime societário geral: a interdição temporária do exercício de funções de administração. A delegação é vedada fora dos órgãos de topo, a formação é obrigatória, e os deveres de documentação e reporte são minuciosos.
Em última análise, o Decreto-Lei n.º 125/2025 não substitui os deveres gerais de governance — mas constitui uma nova camada de responsabilidade, tornando-os mais densos e mais escrutinados. Para os administradores, o desafio não é apenas cumprir mais uma lei, é compreender que a cibersegurança passou a integrar o núcleo duro dos deveres de cuidado impostos pelo ordenamento jurídico.
Nota: Pedro Lomba Integrou a Comissão de trabalho responsável pela transposição da NIS 2