NIS2 em Portugal: o que muda e o que as empresas devem fazer

A NIS2 em Portugal representa uma mudança significativa na forma como as organizações públicas e privadas devem lidar com a cibersegurança. Com a publicação do Decreto-Lei n.º 125/2025, que transpõe a diretiva europeia, surgem novas obrigações, prazos e responsabilidades.

Este artigo explica de forma prática quem está abrangido, quando as regras entram em vigor e o que deve ser feito para cumprir o novo regime legal.

NIS2: principais objetivos e impacto em Portugal

A NIS2 é a nova Diretiva Europeia de Cibersegurança, que substitui a NIS de 2016.
O seu objetivo é reforçar a resiliência digital, harmonizar regras entre os Estados-Membros e garantir uma resposta coordenada a incidentes de cibersegurança.

Ao contrário da versão anterior, a NIS2 abrange muito mais entidades, incluindo muitas PME e empresas de serviços digitais. Portanto, a sua aplicação em Portugal é relevante para a maioria das empresas tecnológicas e inovadoras.

Decreto-Lei n.º 125/2025: o novo regime em Portugal

O Decreto-Lei n.º 125/2025, publicado no Diário da República a 4 de dezembro de 2025, estabelece o regime jurídico nacional da cibersegurança, designando o Centro Nacional de Cibersegurança (CNCS) como autoridade competente para supervisionar a sua implementação.

O diploma entra em vigor 120 dias após a sua publicação, ou seja, 3 de abril de 2026; portanto, as empresas devem começar desde já a avaliar riscos, rever processos internos e envolver a gestão de topo, garantindo assim conformidade antes da data limite. Além disso, compreender e aplicar corretamente a NIS2 em Portugal constitui não apenas uma obrigação legal, mas também uma oportunidade de reforçar a resiliência digital, proteger ativos críticos e demonstrar confiança perante clientes, parceiros e todo o ecossistema empresarial.

Quem está abrangido pela NIS2 em Portugal?

A lei distingue duas categorias principais de entidades, com base no impacto que têm na sociedade e na economia:

1. Entidades essenciais

São empresas cuja interrupção causaria impacto grave, como:

• Energia (eletricidade, gás, petróleo).
• Transportes (aéreo, ferroviário, marítimo, rodoviário).
• Saúde (hospitais e laboratórios críticos).
• Água potável e tratamento de águas residuais.
• Infraestruturas digitais (data centers, redes, cloud).
• Administração pública relevante.

2. Entidades importantes

Incluem organizações com impacto relevante, mesmo não sendo críticas, como:

• Serviços digitais e plataformas online.
• Tecnologias da informação e software.
• Indústria transformadora e equipamentos médicos.
• Prestadores de serviços tecnológicos (MSP, MSSP).
• Produção e distribuição alimentar.

PME – Critérios de inclusão

Uma dica importante é que muitas PME tecnológicas estão incluídas nesta categoria, especialmente se fizerem parte da cadeia de fornecimento de entidades essenciais, pois, nesses casos, o seu impacto indireto é considerado relevante. Além disso, existem três critérios principais de inclusão que as organizações devem ter em atenção.

• Em primeiro lugar, a dimensão da empresa, que deve ser média ou grande, ou seja, com pelo menos 50 colaboradores ou faturação anual igual ou superior a 10 milhões de euros.
• Em segundo lugar, o impacto na sociedade e na economia, que se avalia com base na criticidade dos serviços prestados.
• Por fim, deve-se considerar a dependência de serviços digitais ou infraestruturas críticas, uma vez que organizações com esta dependência têm maior exposição a riscos de cibersegurança. Portanto, compreender estes critérios permite que as empresas identifiquem corretamente se estão abrangidas pela NIS2 e se devem iniciar de imediato os processos de conformidade.

Responsabilidade da gestão

Uma das maiores mudanças introduzidas pela NIS2 é que a gestão de topo passa a ser diretamente responsável pelas medidas de cibersegurança. Por conseguinte, os órgãos de gestão devem não apenas aprovar políticas e alocar recursos para proteger sistemas e dados, mas também supervisionar continuamente a sua implementação. Além disso, a gestão é legalmente responsabilizada por qualquer incumprimento, o que reforça a importância de decisões estratégicas conscientes e de um acompanhamento rigoroso. Dessa forma, a cibersegurança deixa de ser apenas um tema técnico, tornando-se também uma questão de governança e estratégia, exigindo envolvimento ativo e comprometimento de toda a liderança da organização.

Principais Obrigações

As entidades abrangidas devem:

1. Implementar medidas técnicas e organizativas adequadas.
2. Gerir riscos de cibersegurança.
3. Preparar planos de resposta a incidentes.
4. Garantir continuidade de negócio e recuperação de sistemas.
5. Formar e sensibilizar colaboradores.
6. Reportar incidentes ao CNCS, respeitando os prazos legais.

O que fazer agora?

Para estar em conformidade com a NIS2 em Portugal, as empresas devem:

• Avaliar se estão abrangidas pelo novo regime.
• Identificar ativos críticos e dependências digitais.
• Envolver a gestão de topo.
• Revisar políticas, procedimentos e contratos com fornecedores.
• Preparar processos de deteção e reporte de incidentes.

Começar cedo é crucial para evitar coimas, problemas legais e riscos reputacionais.

Conclusão

A NIS2 em Portugal representa uma oportunidade significativa para as empresas reforçarem a sua segurança digital, pois permite alinhar as práticas internas com as exigências legais e com os melhores padrões europeus. Além disso, o Decreto-Lei n.º 125/2025 não deve ser encarado apenas como uma obrigação legal; pelo contrário, constitui também uma forma eficaz de aumentar a confiança junto de clientes e parceiros, garantindo simultaneamente a resiliência dos sistemas e permitindo que a organização se diferencie no mercado digital. Dessa forma, adotar as medidas previstas pela NIS2 oferece não só conformidade, mas também vantagem competitiva, ao mesmo tempo que fortalece a cultura de cibersegurança dentro da empresa.

Fontes: Diário da República ; CNCS; ENISA