Cibersegurança: transposição da Diretiva NIS2

O "Contencioso em Foco" é uma rubrica Caiado Guerreiro, que conta com a participação da partner Sandra Ferreira Dias — cocoordenadora da equipa de Contencioso e Arbitragem — e da advogada-estagiária Beatriz Costa, onde são esclarecidas dúvidas e questões desta área do Direito. O tema desta semana é a recente transposição para o ordenamento jurídico português da diretiva europeia NIS2.
Artigos 11/12/2025

Introdução: Porque é que a NIS2 é tão relevante para Portugal?

A crescente sofisticação dos ciberataques e a dependência digital das organizações tornaram essencial a harmonização das regras de cibersegurança na União Europeia. Nesse contexto, a nova Diretiva NIS2 — um dos pilares regulatórios mais importantes da última década — impõe medidas reforçadas de gestão de risco, resposta a incidentes e supervisão.
Portugal deu agora um passo determinante ao transpor este regime para o seu ordenamento jurídico, estabelecendo novas obrigações que terão impacto transversal em entidades públicas e privadas.

Publicação do Novo Regime Jurídico da Cibersegurança

Foi recentemente publicado o Decreto-Lei n.º 125/2025, de 4 de dezembro, que aprova o novo Regime Jurídico da Cibersegurança e transpõe para o ordenamento jurídico português a Diretiva (UE) 2022/2555, mais conhecida como Diretiva NIS2.

A NIS2 pretende assegurar um nível elevado, comum e coordenado de cibersegurança em toda a União Europeia, reforçando a proteção contra ciberataques nos setores considerados essenciais e críticos. Portugal, à semelhança de outros Estados-Membros, adaptou os requisitos às especificidades do seu ordenamento jurídico.

Principais mudanças introduzidas pela transposição da NIS2 (em resumo)

  1. Alargamento significativo das entidades abrangidas, incluindo setores essenciais e importantes.

  2. Reforço das obrigações de gestão de risco e resposta a incidentes.

  3. Supervisão acrescida pelo CNCS e reguladores setoriais.

  4. Coimas mais elevadas, podendo atingir 10 milhões de euros ou 2% do volume de negócios.

  5. Prazos de implementação faseados, podendo chegar a 24 meses após a entrada em vigor.

Alargamento das Entidades Abrangidas

O novo regime jurídico amplia consideravelmente o universo de entidades abrangidas, incluindo infraestruturas digitais, comunicações, energia, saúde, transportes e serviços financeiros, entre outros. Estas passam a integrar categorias como:

  • Entidades essenciais

  • Entidades importantes

  • Entidades públicas relevantes

A classificação depende da sua função, criticidade e impacto social ou económico.

Obrigações Legais Impostas às Entidades

À semelhança do que prevê a Diretiva NIS2, o novo diploma estabelece um conjunto robusto de obrigações de conformidade em cibersegurança. Entre as mais relevantes encontram-se:

1. Medidas de gestão de risco e segurança

Implementação de medidas adequadas à natureza, dimensão e perfil de risco da entidade, incluindo políticas internas, avaliações periódicas e controlo de vulnerabilidades.

2. Notificação obrigatória de incidentes significativos

Inclui prazos rigorosos para reporte inicial e envio de relatórios subsequentes.

3. Identificação na plataforma eletrónica do CNCS

As entidades devem registar-se e manter a informação atualizada.

4. Reforço dos poderes de supervisão

O CNCS e as autoridades setoriais passam a dispor de mecanismos de fiscalização ampliados.

5. Quadro sancionatório mais severo

As coimas podem atingir €10 milhões ou 2% do volume de negócios global, com possibilidade de sanções acessórias.

Papel do CNCS e das Autoridades Setoriais

O Centro Nacional de Cibersegurança (CNCS) assume o papel de autoridade nacional central, coordenando a plataforma eletrónica e emitindo normas regulamentares de execução.
Paralelamente, é criado um sistema de autoridades setoriais — como a ANACOM no setor das comunicações e o Banco de Portugal ou a CMVM no setor financeiro — garantindo uma abordagem mais especializada e menos centralizada da supervisão.

Entrada em Vigor e Prazos de Conformidade

O diploma entra em vigor a 3 de abril de 2026, 120 dias após a sua publicação.
Algumas obrigações mais exigentes, nomeadamente as relativas à adoção de medidas de gestão de risco completas, apenas produzirão efeitos após a emissão de normas regulamentares do CNCS e poderão beneficiar de prazos faseados até 24 meses após a entrada em vigor.

Impacto no Ecossistema de Cibersegurança em Portugal

O Decreto-Lei n.º 125/2025 representa uma transformação profunda do quadro jurídico nacional da cibersegurança, alinhando Portugal com os padrões europeus mais exigentes e reforçando a sua preparação para ameaças avançadas.
Trata-se de um passo essencial para promover um ambiente digital mais resiliente e seguro.

A importância da fiscalização e da cultura de cibersegurança

Para que o regime alcance o sucesso esperado, é fundamental que:

  • o CNCS e os reguladores setoriais disponham de capacidade efetiva de fiscalização;

  • a regulamentação complementar seja clara e emitida atempadamente;

  • as entidades promovam uma cultura de segurança assente em formação, prevenção e articulação com regimes como o RGPD e o DORA.

Conclusão: o que devem fazer as entidades agora?

Com a transposição da NIS2, todas as entidades abrangidas devem iniciar desde já:

  • a avaliação do seu nível atual de maturidade em cibersegurança,

  • o planeamento das medidas de conformidade,

  • a preparação para os prazos regulamentares que se avizinham.

A antecipação será determinante para evitar riscos legais, operacionais e reputacionais.

Para mais informações ou apoio especializado, clique aqui para marcar uma reunião com um dos nossos profissionais.

O conteúdo desta informação não constitui aconselhamento jurídico e não deve ser invocado nesse sentido. Aconselhamento específico deve ser procurado sobre as circunstâncias concretas do caso. Se tiver alguma dúvida sobre uma questão de direito Português, não hesite em contactar-nos.

Autores

Áreas de pratica

  • Contencioso
  • Tecnologia

Partilhar

  Agendar