A 3 de abril de 2026 entram em vigor, em Portugal, as regras que transpõem a Diretiva Europeia NIS2, através do Decreto Lei n.º 125/2025.

O novo enquadramento reforça as obrigações de cibersegurança e passa a abranger um número muito maior de empresas, incluindo atividades que até agora não estavam sujeitas a requisitos específicos de proteção digital.

O objetivo é aumentar a resiliência das organizações, que operam em setores essenciais ao funcionamento da economia, garantindo respostas mais eficazes perante incidentes de cibersegurança.

A legislação alarga o âmbito de aplicação da diretiva NIS1 e passam a estar incluídas, para além dos setores críticos, como energia, telecomunicações ou saúde, atividades como:

• gestão de resíduos;
• produção e distribuição alimentar;
• serviços digitais;
• indústria transformadora;
• fornecedores tecnológicos e operadores de serviços cloud.

As empresas abrangidas são classificadas como entidades “essenciais” ou “importantes”, conforme o seu setor de atividade e a sua dimensão.

Com a entrada em vigor do novo regime, as organizações passam a ter de cumprir requisitos estruturais de prevenção e resposta a incidentes de cibersegurança. 

• Responsabilidade da gestão de topo: os órgãos de administração passam a ser responsáveis pela supervisão das políticas de cibersegurança, assegurando a conformidade e a implementação das medidas necessárias.
• Sistema de gestão de riscos: as empresas devem adotar uma abordagem sistémica que garanta a gestão de todos os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam nas suas operações.
• Medidas de segurança: as empresas devem implementar medidas técnicas e organizacionais que previnam, detetem e mitiguem incidentes de cibersegurança. Estas medidas incluem controlo de acessos, encriptação, políticas de continuidade de negócio e monitorização contínua dos sistemas, tendo como referência o Quadro Nacional de Referência para a Cibersegurança (QNRCS).
• Segurança na cadeia de abastecimento: as entidades devem avaliar e monitorizar a segurança dos seus fornecedores, com especial atenção a parceiros tecnológicos e prestadores de serviços digitais.
• Notificação de incidentes: os incidentes significativos devem ser comunicados ao Centro Nacional de Cibersegurança, seguindo prazos definidos pela legislação nacional.

• Abrangência: verificar se a organização está incluída no âmbito da legislação e qual a categoria que lhe é atribuída (essencial ou importante).
• Risco residual: implementar a avaliação e o acompanhamento dos riscos a que os processos de negócio e ativos associados podem estar expostos.
• Capacidades de cibersegurança: rever o QNRCS para identificar possíveis falhas nas proteções implementadas.
• Ccontratos: rever contratos com fornecedores de tecnologias de informação, garantindo alinhamento com os novos requisitos.
• Formação contínua: promover formação contínua das equipas, reduzindo riscos associados ao erro humano.
• Plano de resiliência: desenvolver ou atualizar planos de continuidade e de recuperação de incidentes.

A conformidade é fundamental para evitar sanções e preservar a confiança dos Clientes, parceiros e mercado.

Para mais informações práticas e atualizações regulatórias, pode ser consultado o site oficial da autoridade nacional (CNCS), que disponibiliza guias e FAQs para ajudar as empresas na transição.