A Diretiva NIS2 é o principal instrumento regulatório europeu em matéria de cibersegurança de redes e sistemas de informação. Transposta para o direito português em 2024, alargou significativamente o âmbito de aplicação da diretiva anterior (NIS1) e introduziu obrigações mais exigentes para um maior número de organizações. Se a sua organização opera num setor crítico ou importante — energia, saúde, transportes, banca, infraestruturas digitais, administração pública, entre outros — a NIS2 aplica-se a si.
O que é a NIS2
A Diretiva (UE) 2022/2555, conhecida como NIS2, substituiu a Diretiva NIS de 2016 e entrou em vigor em janeiro de 2023, com prazo de transposição pelos Estados-Membros até outubro de 2024. Portugal transpôs a diretiva em 2024 através de legislação nacional que reforça o papel do CNCS como autoridade competente. O objetivo central é elevar o nível de cibersegurança em toda a UE, garantindo resiliência nas infraestruturas críticas e uma resposta coordenada a incidentes transfronteiriços.
A quem se aplica
A NIS2 divide as entidades abrangidas em dois grupos, com obrigações diferenciadas:
| Tipo de entidade | Setores abrangidos | Regime |
|---|---|---|
| Entidades essenciais | Energia, transportes, banca, infraestruturas de mercados financeiros, saúde, água potável, águas residuais, infraestruturas digitais, administração pública, espaço | Supervisão proativa, sanções mais elevadas |
| Entidades importantes | Serviços postais, gestão de resíduos, indústria química, alimentação, dispositivos médicos, computadores e eletrónica, maquinaria, veículos motorizados, fornecedores digitais | Supervisão reativa, sanções adequadas |
| Limiares de dimensão | Geralmente empresas com 50+ trabalhadores ou 10M€+ de volume de negócios; independentemente da dimensão em setores críticos | Verificar caso a caso com o CNCS |
Principais obrigações
- Gestão de riscos de cibersegurança — Implementar medidas técnicas e organizativas proporcionadas ao risco: políticas de segurança, gestão de incidentes, continuidade de negócio, segurança da cadeia de abastecimento, criptografia e controlo de acessos.
- Notificação de incidentes — Reportar incidentes significativos ao CNCS/CERT.PT em 24 horas (alerta inicial), com relatório completo em 72 horas e relatório final em 30 dias.
- Responsabilidade da gestão de topo — Os órgãos de direção são diretamente responsáveis pelo cumprimento da NIS2 e devem aprovar as medidas de gestão de risco e receber formação adequada.
- Segurança da cadeia de abastecimento — Avaliar e gerir os riscos de cibersegurança dos fornecedores e prestadores de serviços críticos.
- Registo junto do CNCS — As entidades abrangidas devem registar-se junto do Centro Nacional de Cibersegurança como autoridade competente em Portugal.
- Testes e auditorias — Realizar testes regulares de segurança, incluindo análises de vulnerabilidades e auditorias periódicas.
Sanções pelo incumprimento
| Tipo de entidade | Coima máxima |
|---|---|
| Entidades essenciais | 10.000.000 € ou 2% do volume de negócios global anual (o que for mais elevado) |
| Entidades importantes | 7.000.000 € ou 1,4% do volume de negócios global anual (o que for mais elevado) |
Estado atual em Portugal
A NIS2 foi transposta para o direito português em 2024. O CNCS é a autoridade nacional competente e tem publicado orientações e frameworks para apoiar as organizações no cumprimento. As entidades abrangidas devem ter iniciado o processo de conformidade — a supervisão e fiscalização estão progressivamente a ser ativadas.
Recursos úteis
- CNCS — Centro Nacional de Cibersegurança: autoridade competente NIS2 em Portugal, publica guias e orientações
- ENISA — Agência Europeia de Cibersegurança: orientações técnicas e ferramentas de conformidade NIS2
- Diretiva NIS2 (texto oficial) — EUR-Lex: Diretiva (UE) 2022/2555
- CERT.PT — Para reporte de incidentes e alertas de segurança