Artigo · Cibersegurança · NIS2

NIS2 já é lei em Portugal: o que muda para a gestão

Publicado a 22 de junho de 2026 · 6 min de leitura

Em 30 segundos

A NIS2 já não é um aviso para o futuro: foi transposta para a lei portuguesa pelo Decreto-Lei 125/2025. E a maior surpresa para os gestores é que a responsabilidade é direta da administração — com multas que chegam aos milhões. Mesmo empresas fora dos setores críticos são apanhadas, por arrasto da cadeia de fornecimento. Eis o que mudou e por onde começar.

Durante muito tempo, a NIS2 foi falada no futuro: "vem aí", "vai obrigar", "é preciso preparar". Já não. A diretiva europeia foi transposta para a lei portuguesa pelo Decreto-Lei n.º 125/2025, e isso muda o tempo verbal: deixou de ser um aviso e passou a ser uma obrigação legal em vigor.

Falei sobre isto em detalhe no webinar da ISQ Academy, e o ponto que mais surpreende os gestores é este: a NIS2 não é um problema do departamento de informática. É uma responsabilidade direta de quem administra a empresa.

O que muda, em concreto

Três mudanças que qualquer gestor de uma empresa abrangida tem de interiorizar:

  • A responsabilidade é da administração. A cibersegurança passa a ser uma obrigação legal direta da gerência e da administração — não algo que se "delega no IT" e se esquece. Os órgãos de gestão têm inclusive de ter formação na área.
  • As multas são pesadas. O incumprimento pode custar valores que chegam aos milhões de euros. Não é uma coima simbólica — é um risco material para a empresa.
  • Há obrigações operacionais reais. Gestão de risco, notificação de incidentes em prazos definidos, medidas técnicas mínimas, continuidade de negócio. Coisas que têm de existir e ser demonstráveis.

"Mas a minha empresa não é dos setores críticos"

É a frase que ouço a seguir — e é onde está a maior incompreensão. Mesmo que a sua empresa não esteja diretamente abrangida pela NIS2, pode ser obrigada a cumprir boas práticas de cibersegurança por exigência dos seus clientes maiores.

A lógica é a da cadeia de fornecimento: uma empresa abrangida pela NIS2 tem de garantir que os seus fornecedores também são seguros — senão o elo fraco é por aí. Resultado: a obrigação "escorre" pela cadeia abaixo. Se vende a empresas de setores críticos, a NIS2 já é, na prática, um problema seu — mesmo que a lei não o nomeie diretamente.

Por onde começar

Não se trata de comprar tecnologia a granel. Trata-se de pôr a casa em ordem, de forma demonstrável: perceber se está abrangido (direta ou indiretamente), avaliar o risco, implementar as medidas mínimas, ter um plano de resposta a incidentes, e formar quem decide. A maioria das melhorias, aliás, não exige grandes orçamentos — exige disciplina e método.

Já tínhamos escrito sobre a NIS2 quando ainda era diretiva à espera de transposição. Agora que é lei portuguesa, a única pergunta que importa é: a sua empresa está em condições de o provar, se lhe perguntarem?

A sua empresa está em condições de provar conformidade?

Ajudamos a perceber se está abrangido pela NIS2 — direta ou indiretamente — e o que fazer primeiro.

Resposta em menos de 24 horas.

A primeira conversa é gratuita e sem compromisso.

Falar sobre NIS2