NIS2 em Portugal: a sua empresa está abrangida? O guia direto.

O que mudou — e quando

A Diretiva (UE) 2022/2555, conhecida como NIS2, foi finalmente transposta para o ordenamento jurídico português pelo Decreto-Lei n.º 125/2025, publicado em Diário da República a 4 de dezembro de 2025. O diploma cria o novo Regime Jurídico da Cibersegurança e produz efeitos desde abril de 2026 — ou seja, já está em aplicação.

Na prática, a cibersegurança deixou de ser uma recomendação técnica e passou a ser uma obrigação legal, sob supervisão do Centro Nacional de Cibersegurança (CNCS).

Quem está abrangido?

O novo regime distingue dois tipos de entidades — essenciais e importantes — consoante o setor de atividade e a dimensão, com obrigações graduadas em conformidade. O leque de setores abrangidos é muito mais largo do que na diretiva anterior e inclui, entre outros, energia, transportes, saúde, infraestruturas digitais, gestão de resíduos, produção e distribuição alimentar, fabrico de determinados produtos, serviços postais e uma parte significativa da Administração Pública.

Um ponto importante do modelo português: a qualificação faz-se por autoavaliação, através da plataforma eletrónica do CNCS. Não vai chegar uma carta a dizer "a sua empresa está abrangida" — é a empresa que tem o dever de se identificar. Para confirmar o seu caso, consulte a informação oficial do CNCS sobre a NIS2.

E mesmo empresas não abrangidas diretamente vão sentir o efeito: as entidades abrangidas são obrigadas a gerir a segurança da sua cadeia de fornecimento — ou seja, vão começar a exigir garantias de cibersegurança aos seus fornecedores. Se vende a empresas grandes, prepare-se para o questionário.

O que é obrigatório, em linguagem corrente

• Gestão de risco: saber que ativos tem, que riscos corre, e ter medidas técnicas e organizativas proporcionais — de controlo de acessos a cifragem;
• Resposta e notificação de incidentes: capacidade de detetar, reagir e notificar incidentes significativos dentro de prazos apertados;
• Continuidade de negócio: backups, planos de recuperação e gestão de crises — testados, não só escritos;
• Cadeia de fornecimento: avaliar e contratualizar a segurança dos fornecedores críticos;
• Formação: os órgãos de gestão são obrigados a ter formação em cibersegurança — e devem promovê-la às equipas.

A parte que tira o sono à gestão

A grande novidade da NIS2 não é técnica, é de governação: os órgãos de gestão, direção e administração passam a ser diretamente responsáveis pelo cumprimento das medidas de cibersegurança, com responsabilização pessoal em caso de dolo ou culpa grave. "Não sabia" deixou de ser defesa.

Quanto às coimas, podem atingir 10 milhões de euros ou 2% do volume de negócios global para entidades essenciais. O regime prevê um período de carência sancionatória para entidades que demonstrem ter um procedimento interno de adaptação em curso — o que torna o início imediato desse procedimento, além de sensato, valioso.

O que fazer agora — por esta ordem

• 1. Confirmar o enquadramento: a empresa qualifica como essencial, importante, ou está fora? Em caso de dúvida, vale a pena uma avaliação formal;
• 2. Gap analysis: comparar o que existe hoje com o que o regime exige, e documentar os desvios;
• 3. Plano por prioridades: nem tudo se faz de uma vez — começa-se pelo que reduz mais risco por euro investido;
• 4. Evidências: políticas, registos e relatórios — a conformidade tem de ser demonstrável, não só real;
• 5. Formar a gestão e a equipa: é obrigatório para os órgãos de gestão, e é a medida com melhor retorno para todos os outros.

Uma nota sobre normas

Quem já tem (ou está a preparar) a ISO/IEC 27001 e a ISO 22301 leva grande avanço: estas normas cobrem a maior parte das exigências do novo regime e são a forma mais sólida de demonstrar conformidade. Tratar a NIS2 e as normas como um programa único evita trabalho em duplicado.

Este artigo é informativo e não constitui aconselhamento jurídico. Para o enquadramento concreto da sua organização, consulte as fontes oficiais (CNCS e o Decreto-Lei n.º 125/2025, de 4 de dezembro) ou fale connosco.