Introdução
A Diretiva NIS 2 (Diretiva EU 2022/2555) foi publicada a 14 de dezembro de 2022 e pretende atualizar e reforçar a segurança das redes e da informação na União Europeia. Esta nova versão revoga a anterior Diretiva NIS e visa garantir um nível elevado de cibersegurança nos Estados‑Membros. Entre os seus objetivos estão exigir que os Estados‑Membros assegurem um nível elevado de segurança, reforçar a cooperação entre autoridades e obrigar os operadores de sectores‑chave a adotar medidas adequadas e a notificar incidentes significativos [1]. A Diretiva também procura harmonizar as regras, corrigindo divergências observadas na implementação da anterior normativa [1].
Diferencias face à NIS1
A NIS 2 amplia o âmbito de aplicação ao incluir novos sectores e tipologias de entidades e distingue «entidades essenciais» e «entidades importantes»; reforça as medidas de gestão de riscos e de reporte de incidentes; introduz uma abordagem à segurança na cadeia de abastecimento; aumenta os poderes de supervisão das autoridades nacionais; e estabelece responsabilidade directa para as pessoas singulares responsáveis [2]. Estas novidades respondem à crescente interligação digital e ao aumento das ciberameaças na UE [2].
O impulso para a NIS 2 decorre da rápida transformação digital e da crescente interdependência entre sectores económicos, impulsionadas por tecnologias como a computação em nuvem, a mobilidade e as redes 5G. A experiência da primeira Diretiva NIS revelou que divergências na sua transposição criaram níveis de proteção desiguais, dificultando a cooperação e a resposta coordenada a incidentes. A nova diretiva responde a estas lacunas ao reforçar a harmonização, incorporar requisitos de segurança na cadeia de fornecimento e alinhar‑se com outras iniciativas europeias, como o Regulamento DORA e o futuro Acto para a Resiliência Cibernética. Assim, pretende‑se uma abordagem mais abrangente e actualizada à cibersegurança em toda a União Europeia [2].
Estado da Transposição em Portugal
A transposição da NIS 2 para o ordenamento jurídico nacional deve ocorrer até 17 de outubro de 2024 e as disposições devem ser aplicadas a partir de 18 de outubro de 2024 [3]. Contudo, Portugal ainda não concluiu este processo, tendo o CNCS indicado que o procedimento legislativo está em curso [3].
O Governo português iniciou a transposição em 2024. Em 24 de outubro de 2024, o Conselho de Ministros aprovou uma proposta de lei que cria um novo regime jurídico de cibersegurança. O diploma propõe alargar significativamente o número de entidades abrangidas, gradua a exigência regulatória em função da dimensão e criticidade das actividades e prevê a criação de três instrumentos: a Estratégia Nacional de Segurança do Ciberespaço, o Plano Nacional de Resposta a Crises e Incidentes de Cibersegurança e o Quadro Nacional de Referência para a Cibersegurança [4].
Em novembro de 2024 iniciou‑se uma consulta pública sobre a proposta, convidando cidadãos e entidades a contribuir. O Governo sublinhou que o número de entidades abrangidas e os poderes de supervisão do CNCS seriam aumentados, embora se pretendesse reduzir a carga burocrática e adaptar as obrigações à dimensão das entidades [5]. O prazo da consulta foi alargado até 31 de dezembro de 2024 devido ao interesse da sociedade, com a intenção de submeter a proposta à Assembleia da República no início de 2025 [6].
Após receber 149 contributos na consulta pública, o Governo aprovou o novo Regime Jurídico da Cibersegurança em Conselho de Ministros a 6 de fevereiro de 2025. O ministro da Presidência realçou que a lei reforça a robustez dos sistemas, aumenta os poderes de supervisão e alarga as obrigações das empresas, variando os deveres conforme a criticidade das infra-estruturas [7]. Esta aprovação destina‑se a preparar o envio da lei para debate parlamentar.
Linha do Tempo
14 Dez 2022
Publicação da Diretiva NIS 2 e entrada em vigor como legislação da UE.
21 Nov 2024
Abertura da consulta pública sobre o Regime Jurídico da Cibersegurança.
31 Dez 2024
Encerramento da consulta pública, com 149 contributos.
6 Fev 2025
Conselho de Ministros aprova o novo regime jurídico e anuncia envio ao Parlamento.
Mar 2025
Governo perde o voto de confiança, atrasando temporariamente a agenda legislativa.
Q3 2025 (previsto)
Esperada aprovação pelo Conselho de Ministros do texto final.
Dez 2025 (previsto)
Publicação da lei no Diário da República.
1 Mar 2026 (previsto)
Entrada em vigor do Regime Jurídico da Cibersegurança.
1 Set 2026 (previsto)
Início das primeiras auditorias de conformidade.
Apesar das previsões, o prazo final de adopção permanece incerto: as eleições legislativas de março de 2025 e a necessidade de novo debate parlamentar poderão alterar a calendarização [13]. Em maio de 2025, a Comissão Europeia enviou um parecer fundamentado a Portugal e a outros Estados‑Membros por não terem notificado a transposição completa da Diretiva [14].
Classificação de Entidades
O Regime Jurídico da Cibersegurança amplia drasticamente o número de entidades reguladas, passando de cerca de 1 000 operadores para uma estimativa de 7 000–9 000 organizações [9]. A nova legislação classifica as organizações em duas categorias principais, reflectindo uma abordagem proporcional ao risco:
| Categoria | Limiar de trabalhadores | Volume de negócios | Setores incluídos sem limiar |
|---|---|---|---|
| Entidades essenciais | ≥ 250 | ≥ 50 M€ | Telecomunicações, serviços de cloud, DNS e prestadores de serviços de confiança |
| Entidades importantes | ≥ 50 | ≥ 10 M€ | Idêntico aos essenciais |
Além destas, certos prestadores de serviços de comunicações electrónicas, DNS, registo de domínios e serviços de confiança são regulados independentemente da dimensão. A classificação utiliza os códigos NIF e CAE das empresas, e o CNCS planeia disponibilizar uma ferramenta de autoavaliação para que as entidades identifiquem a sua categoria [9].
Quem é Afetado?
A Diretiva NIS 2 aumenta significativamente o número de entidades reguladas em Portugal. Estima‑se que o universo de organizações abrangidas passe de cerca de 1 000 para um intervalo entre 7 000 e 9 000, incluindo fabricantes de média dimensão e municípios com mais de 50 000 habitantes. Esta secção apresenta um gráfico ilustrativo do aumento de entidades e revê os critérios de classificação de entidades essenciais e importantes.
Critérios de Classificação
Entidades Essenciais (EE): grandes empresas em sectores críticos.
• Pelo menos 250 trabalhadores, ou
• Volume de negócios anual > 50 M€, ou
• Balanço anual > 43 M€.
Entidades Importantes (EI): médias empresas em sectores críticos não classificadas como EE.
• Pelo menos 50 trabalhadores, ou
• Volume de negócios anual ≥ 10 M€, ou
• Balanço anual ≥ 10 M€.
Nota: Telecomunicações, cloud, DNS e prestadores de confiança são regulados independentemente da dimensão.
Distribuição estimada das entidades reguladas segundo a NIS 2 (valores meramente ilustrativos) [9].
Sanções e Responsabilidade
O regime prevê um quadro sancionatório robusto, com coimas diferenciadas conforme o tipo de entidade. Os valores máximos aplicáveis são superiores aos existentes na legislação anterior e incluem medidas adicionais como suspensão de licenças ou desqualificação de administradores [10].
| Entidade | Coima máxima | Medidas adicionais |
|---|---|---|
| Entidades essenciais | 10 M€ ou 2% do volume de negócios mundial | Suspensão de licença; desqualificação de administradores |
| Entidades importantes | 7 M€ ou 1,4% do volume de negócios | Penalidades periódicas; divulgação pública da infração |
| Infrações procedimentais | 0,5–2 M€ | Ordens correctivas vinculativas |
As obrigações incluem a aprovação de programas de cibersegurança pelo conselho de administração e a supervisão da sua implementação. Em caso de negligência reiterada, os administradores poderão ser destituídos ao abrigo do Código das Sociedades Comerciais.
Impacto por Setor
A NIS 2 terá efeitos distintos nos diversos sectores da economia portuguesa. A tabela abaixo apresenta alguns exemplos de alterações e obrigações que o Regime Jurídico da Cibersegurança introduz em sectores‑chave [11].
| Sector | Mudanças principais | Novas obrigações típicas |
|---|---|---|
| Manufactura | Passa a ser regulada | Testes de penetração; auditorias de risco na cadeia de fornecedores |
| Energia e utilidades | Inclui hidrogénio e GNL | Monitorização contínua 24/7; relatórios ao CNCS |
| Saúde | Alarga-se de 50 para mais de 250 provedores | Governação ISO; exercícios trimestrais de backups |
| Infraestrutura digital | Regulada independentemente da dimensão | Centro de operações de segurança na UE; adopção de modelos zero‑trust |
| Finanças | Coberta pelo regulamento DORA | Testes de penetração conduzidos por equipas red‑team; registo de risco de terceiros |
| Administração pública | Inclui ministérios e municípios com ≥50 000 habitantes | Adesão às bases CNCS; ausência de coimas financeiras |
Como as Entidades se Devem Preparar
Embora a legislação ainda não esteja em vigor, as organizações devem iniciar a adaptação o quanto antes. A preparação antecipada facilita o registo e reduz o risco de sanções. Recomenda‑se [12]:
- Confirmar o estatuto: Utilizar a ferramenta de autoavaliação do CNCS (quando disponível) para verificar se a organização é considerada «essencial» ou «importante».
- Reunir dados: Preparar NIF, código CAE e contactos para segurança informática, necessários para o registo a partir de março de 2026.
- Realizar análise de lacunas: Comparar os controlos existentes com as medidas exigidas pelo artigo 21.º da NIS 2, com destaque para backups, autenticação multifactor e gestão de fornecedores.
- Elaborar procedimentos: Criar um plano de resposta a incidentes alinhado com o RGPD e com os prazos de notificação (24h/72h/30 dias) previstos na Diretiva.
- Envolver a administração: Garantir que a administração aprova o programa de cibersegurança e agenda auditorias anuais, pois a responsabilidade passa a recair directamente sobre os órgãos de gestão.
Simulador de Classificação
Este simulador ajuda a estimar se a sua organização se enquadra como «entidade essencial», «entidade importante» ou se poderá ficar fora do âmbito da NIS 2. Os resultados são meramente indicativos e não substituem a consulta às autoridades competentes.
Recursos e Informações
Para acompanhar a transposição da NIS 2 em Portugal e preparar‑se para o novo regime, consulte os seguintes recursos:
- Centro Nacional de Cibersegurança – Página da Diretiva SRI 2 (NIS 2)
- Comunicados do Governo sobre o Regime Jurídico da Cibersegurança
- Comissão Europeia – Parecer sobre a transposição
- Artigo da CyberUpgrade sobre a implementação em Portugal
- Resumo da Eversheds Sutherland sobre o estado da implementação