Entra hoje em vigor o novo regime jurídico da cibersegurança em Portugal, aprovado pelo Decreto-Lei n.º 125/2025, que transpõe para o ordenamento jurídico nacional a Diretiva europeia NIS2. O diploma estabelece um conjunto alargado de obrigações para entidades públicas e privadas, impondo medidas reforçadas de prevenção, gestão de risco e resposta a ciberataques, com critérios diferenciados para setores considerados críticos.
Com este novo enquadramento legal, Portugal passa a dispor de um dos quadros mais exigentes da União Europeia no domínio da cibersegurança. O objetivo central é reforçar a resiliência das infraestruturas essenciais e dos serviços estratégicos, obrigando as organizações abrangidas a adotarem mecanismos robustos de proteção contra ameaças digitais, num contexto de crescente sofisticação e frequência de ataques informáticos.
Processo de qualificação é ponto-chave do novo regime
Um dos pilares do novo regime jurídico da cibersegurança (RJC) é o processo de qualificação das entidades, determinante para identificar quais as organizações sujeitas às novas regras e obrigações. Essa qualificação permitirá distinguir as entidades essenciais e importantes, aplicando-lhes deveres proporcionais ao nível de risco e criticidade do setor em que operam.
Para operacionalizar este processo será criada uma plataforma eletrónica que assumirá um papel central no sistema. Esta plataforma permitirá a autoidentificação das entidades abrangidas, o registo obrigatório, a comunicação com as autoridades competentes e a notificação de incidentes de cibersegurança. Contudo, a sua implementação depende ainda da aprovação do regulamento do RJC, atualmente em consulta pública até 22 de abril de 2026.
Prazos a cumprir após disponibilização da plataforma
Assim que a plataforma estiver disponível, começam a contar prazos que as entidades não poderão ignorar. As organizações que iniciem atividade após a entrada em vigor do regime terão 30 dias para proceder à sua identificação na plataforma do Centro Nacional de Cibersegurança.
Já as entidades que se encontrem em atividade à data da disponibilização da plataforma disporão de 60 dias para cumprir essa obrigação. Posteriormente, a Autoridade de Cibersegurança Competente — que poderá ser o Centro Nacional de Cibersegurança, a ANACOM ou o Gabinete Nacional de Segurança, consoante o setor — terá um prazo de 30 dias para comunicar a qualificação atribuída a cada entidade.
Orientações e apoio às organizações
Perante a complexidade das novas exigências legais, o Centro Nacional de Cibersegurança está a preparar orientações, ferramentas e informação adicional para apoiar as organizações no processo de adaptação ao novo regime. As empresas e entidades públicas são aconselhadas a acompanhar as próximas atualizações, de forma a garantir o cumprimento atempado das obrigações legais.
Com a entrada em vigor do Decreto-Lei n.º 125/2025, Portugal dá assim um passo decisivo no reforço da proteção digital, num momento em que a cibersegurança assume um papel central na estabilidade económica, institucional e social.