Dark
Light
Por 

Lei que leva a cibersegurança à mesa dos conselhos de administração entra hoje em vigor

O novo Regime Jurídico da Cibersegurança entra hoje em vigor em Portugal e representa uma mudança estrutural na forma como as organizações gerem risco digital. Mais do que novas obrigações técnicas, o diploma desloca a cibersegurança para o centro da governação empresarial, alarga a pressão regulatória sobre fornecedores e coloca os decisores de compras tecnológicas perante um novo critério de avaliação: a resiliência.
3 de Abril, 2026

A entrada em vigor do Decreto-Lei n.º 125/2025 marca um ponto de viragem na maturidade regulatória da cibersegurança em Portugal. Ao transpor a diretiva europeia NIS2, o país deixa para trás uma abordagem mais circunscrita aos setores tradicionalmente críticos e passa a exigir uma disciplina transversal a um universo muito mais vasto de organizações.

A principal novidade não está apenas no aumento do número de empresas abrangidas, mas na mudança de filosofia do legislador: a cibersegurança deixa de ser tratada como um tema operacional de TI e passa a ser assumida como uma responsabilidade direta da gestão de topo. Esta alteração é particularmente relevante para administradores, diretores de sistemas de informação e responsáveis de compras, porque transforma o risco tecnológico num risco de negócio, com consequências financeiras, reputacionais e regulatórias claras.

O novo regime passa a abranger, além de áreas como energia, telecomunicações ou saúde, setores como gestão de resíduos, indústria transformadora, produção e distribuição alimentar, serviços digitais, fornecedores tecnológicos e operadores de cloud. Este alargamento reflete a realidade atual da economia: cadeias de valor cada vez mais digitalizadas, dependência crescente de software e infraestruturas externas, e uma superfície de ataque mais distribuída.

Para muitas empresas, o impacto mais imediato será sentido na forma como avaliam fornecedores. A segurança da cadeia de abastecimento emerge como um dos pontos mais exigentes do diploma, obrigando a rever contratos, critérios de seleção e processos de due diligence tecnológica. Na prática, deixa de ser suficiente comprar a solução mais eficiente ou economicamente competitiva; passa a ser necessário provar que o fornecedor consegue cumprir requisitos de resiliência, continuidade e resposta a incidentes.

Este ponto deverá ter especial peso nas equipas de procurement tecnológico. A partir de agora, a avaliação de parceiros de cloud, integradores, prestadores de serviços geridos ou fornecedores de software terá de incorporar métricas de segurança, planos de resposta e evidência de controlos implementados. O processo de compra torna-se, assim, uma extensão da política de gestão de risco da própria empresa.

O Centro Nacional de Cibersegurança reforça, neste contexto, a sua posição institucional, assumindo poderes acrescidos de supervisão e de imposição de medidas corretivas. Em paralelo, a ANACOM passa a autoridade setorial para comunicações eletrónicas e serviço postal, numa distribuição de competências que procura aliviar a natureza transversal das funções do CNCS e aumentar a especialização regulatória.

O verdadeiro alcance do diploma mede-se, porém, na exigência operacional imposta às organizações: gestão sistemática de risco, monitorização contínua, controlos de acesso, encriptação, planos de continuidade e obrigação de notificar incidentes significativos dentro dos prazos legais. Para muitas empresas, isto implicará uma revisão profunda de processos internos que até aqui eram tratados de forma informal ou fragmentada.

Há também uma leitura estratégica que importa não ignorar. A redefinição da Comissão de Avaliação de Segurança, estrutura que suportou decisões sobre fornecedores considerados de risco elevado no contexto do 5G, mostra que o legislador pretende manter uma capacidade ativa de intervenção sobre dependências tecnológicas sensíveis. As decisões anteriores permanecem válidas por 180 dias, mas serão reavaliadas, sinalizando um escrutínio contínuo sobre infraestruturas críticas e fornecedores estratégicos.

Outro sinal de maturidade do diploma é a inclusão de um enquadramento para ethical hacking. Ao reconhecer juridicamente a identificação responsável de vulnerabilidades, desde que em boa-fé e dentro de critérios estritos, o legislador aproxima-se das práticas mais avançadas de prevenção, reconhecendo que a descoberta precoce de falhas pode ser um mecanismo de defesa e não um ato hostil.

Com coimas que podem chegar a 10 milhões de euros ou 2% do volume de negócios anual global, a conformidade deixa de ser apenas uma questão jurídica e passa a integrar a gestão prudente do negócio. Investir em cibersegurança já não é apenas uma decisão tecnológica, mas uma escolha de proteção operacional, continuidade e confiança no mercado.

No imediato, as empresas terão de confirmar o seu enquadramento, medir o risco residual sobre processos críticos, identificar lacunas face ao Quadro Nacional de Referência para a Cibersegurança, reforçar formação e atualizar planos de resiliência. Mais do que cumprir a lei, trata-se de adaptar a organização a um contexto em que a robustez digital se tornou um fator de competitividade.

Ver mais

Opinião

Cibersegurança e soberania digital: uma nova frente da guerra

Luís Magalhães

A realidade perturbadora da internet aberta

Bruno Castro

Agentes de IA: não é o sistema, mas o contexto que faz a diferença

Tiago Machado

Os CEO de Davos estão preocupados com a Ciberguerra. A sua empresa está no caminho do conflito

Filipe Domingues e Marco Raposo

O NIS2 como medida preventiva contra emergências: estratégias de interligação para a cadeia de abastecimento de TI

Thomas King

NIS2: Portugal Entrou, Espanha ficou para trás, mas o problema é nosso 

Rui Ribeiro
Ver mais

Relacionados