João Miguel Mesquita
A publicação do Decreto-Lei n.º 125/2025 em Diário da República formaliza a transposição para Portugal da Diretiva (UE) 2022/2555, conhecida como NIS2. O diploma passa a produzir efeitos no segundo trimestre de 2026, criando um período limitado para que as organizações revejam processos internos e garantam alinhamento com o novo quadro europeu de cibersegurança. O alargamento do âmbito de aplicação e a introdução de obrigações mais rigorosas tornam esta transição especialmente relevante para setores considerados críticos.
A NIS2 substitui o primeiro enquadramento regulatório e expande a cobertura a cerca de 160 mil entidades na União Europeia. O objetivo é reforçar a resiliência digital e uniformizar práticas mínimas de segurança. Entre as alterações mais significativas está a responsabilidade direta atribuída à gestão de topo. A cibersegurança deixa de ser tratada apenas como um tema técnico e passa a integrar a estratégia corporativa, influenciando a forma como as organizações comunicam políticas, procedimentos e incidentes.
O Decreto-Lei clarifica ainda funções internas, distinguindo de forma mais rigorosa o papel do CISO e do DPO, o que pretende evitar sobreposição de competências e melhorar a coordenação entre áreas de segurança e de proteção de dados. A par da definição de papéis, o regime de reporte também se torna mais exigente: incidentes considerados significativos passam a ter de ser comunicados às autoridades no prazo de 24 horas após a sua deteção, num processo faseado que visa acelerar a reação conjunta entre entidades públicas e privadas.
Outro elemento relevante é o sistema de penalizações, que prevê coimas até 10 milhões de euros ou 2 por cento do volume de negócios anual global. O valor depende da gravidade da infração e do setor em que a entidade opera. Além disso, a NIS2 determina que os executivos mantenham formação atualizada sobre cibersegurança, reforçando a necessidade de capacitação ao nível decisório. As empresas são incentivadas a iniciar desde já revisões internas e medidas técnicas que também preparem o caminho para o futuro Cyber Resilience Act.
Apesar deste enquadramento legal já estar definido há muito, vários estudos indicam que as empresas portuguesas não estão totalmente preparadas para o novo ciclo regulatório. muitos gestores desconhecem a complexidade das normas que agora passaram a ser lei.
A necessidade de adaptação ultrapassa a NIS2. O ritmo regulatório europeu está a intensificar-se e abrange setores como infraestruturas críticas, transportes, energia, telecomunicações, água, banca, saúde e serviços digitais. A Lei da Resiliência reforça exigências de continuidade operacional no setor financeiro, enquanto as regras para cadeias de abastecimento introduzem obrigações sobre diligência em direitos humanos e ambiente, com impacto direto na avaliação de fornecedores.
Este conjunto de normas faz parte de uma estratégia mais ampla para elevar o nível de segurança digital e aumentar a responsabilidade das organizações que operam serviços essenciais. A implementação prática depende, contudo, da capacidade das empresas para reorganizar processos, investir em ferramentas adequadas e formar a gestão.
A entrada em vigor da NIS2 e a aplicação do Decreto-Lei n.º 125/2025 representam assim uma fase determinante para o panorama nacional de cibersegurança. O impacto será particularmente significativo nos setores críticos e nas organizações com elevado grau de interdependência digital, que terão de ajustar modelos operacionais num contexto de ameaças em evolução e requisitos regulatórios cada vez mais complexos.
