Rui Ribeiro
Enquanto o Decreto-Lei n.º 125/2025 entrou em vigor em território português, tornando a transposição da Diretiva NIS2 uma realidade legal com consequências concretas para milhares de organizações, o nosso vizinho ibérico continua tecnicamente em incumprimento face à Comissão Europeia, mais de dezassete meses depois do prazo europeu que deveria ter sido cumprido em outubro de 2024. Dois países do mesmo mercado regional, com economias e setores empresariais profundamente interligados, a viver realidades regulatórias completamente distintas.
Esta não é uma curiosidade académica de direito comparado. É um risco de governação activo para qualquer organização portuguesa que faça negócio com Espanha e ainda não percebeu porquê.
Em Portugal, o que mudou não é apenas formal. O Centro Nacional de Cibersegurança reforça o seu estatuto como Autoridade Nacional de Cibersegurança com poderes genuinamente executivos, incluindo a capacidade de ordenar suspensões de serviços em caso de risco grave. As organizações classificadas como essenciais ou importantes, abrangendo setores como energia, transportes, banca, saúde, infraestruturas digitais, administração pública e gestão de resíduos, têm agora obrigações legais vinculativas em matéria de gestão de risco, notificação de incidentes, segurança da cadeia de fornecimento e formação dos órgãos de gestão. A lei prevê que os titulares dos órgãos de administração podem ser pessoalmente responsabilizados pelo incumprimento, inclusive por omissão, se houver culpa grave. A cibersegurança deixou de ser um problema do departamento de TI e é agora uma responsabilidade pessoal inscrita na lei.
As coimas podem atingir dez milhões de euros ou dois por cento do volume de negócios global. Existe um período de graça de doze meses para organizações que demonstrem esforços activos de conformidade, o prazo para nomear um Responsável de Cibersegurança e notificar o CNCS é aproximadamente quatro de maio, e a consulta pública sobre a regulamentação de implementação ainda decorre até meados de abril, o que significa que algumas regras detalhadas ainda estão a ser finalizadas. Mas a lei está em vigor e as obrigações de notificação são reais hoje, não quando a regulamentação ficar completa.
Do outro lado da fronteira, a situação merece ser explicada com algum rigor porque a narrativa simplista de que Espanha ignorou o prazo não é exacta. O processo legislativo avançou, com o Anteproyecto de Ley aprovado pelo Conselho de Ministros em janeiro de 2025, mas não completou o processo parlamentar. A Comissão Europeia enviou um parecer fundamentado no quadro de procedimentos de infração em maio de 2025. O quadro regulatório existente, o Real Decreto-Ley 12/2018 e o Esquema Nacional de Seguridad, continua a aplicar-se como base legal, mas não cobre a amplitude, a profundidade nem as obrigações de responsabilidade pessoal da NIS2. O resultado prático é que organizações espanholas que seriam classificadas como essenciais ou importantes sob a NIS2 operam hoje sem as obrigações de notificação de incidentes, sem os controlos de segurança mandatórios e sem a supervisão regulatória que os seus equivalentes portugueses já têm.
E aqui está o problema que as organizações portuguesas ainda não interiorizaram completamente. Sob a nova lei, a segurança da cadeia de fornecimento é uma obrigação explícita e não uma boa prática recomendada. Isto significa que quando uma organização portuguesa essencial ou importante usa um fornecedor tecnológico espanhol, está a assumir uma responsabilidade regulatória sobre a postura de segurança desse fornecedor, que o fornecedor por não estar sujeito à NIS2, pode simplesmente não conseguir cumprir documentalmente. Um fornecedor espanhol não tem as mesmas obrigações de notificar incidentes dentro de vinte e quatro horas, não tem os mesmos requisitos de controlos técnicos e organizacionais, e não tem um Responsável de Cibersegurança com quem a organização portuguesa possa formalmente interagir em caso de incidente partilhado. A assimetria regulatória ibérica não é apenas um problema de Madrid. Aterra directamente na mesa de qualquer director jurídico ou CISO de uma empresa portuguesa com fornecedores, parceiros ou subsidiárias em Espanha.
O que me preocupa, mais do que o atraso espanhol em si, é a velocidade a que o mercado ibérico está a divergir regulatoriamente precisamente no momento em que a ameaça é mais intensa e coordenada. O INCIBE espanhol geriu cento e vinte e dois mil incidentes em 2025, a Endesa sofreu uma violação que expôs três milhões de clientes, e o Porto de Vigo foi paralisado por ransomware durante mais de setenta e duas horas neste mesmo mês de março. O risco não está a esperar que Espanha complete o processo parlamentar, e as cadeias de fornecimento que ligam os dois países também não.
As organizações que tratarem a NIS2 apenas como um exercício de compliance formal vão descobrir da pior forma que a regulação é o piso mínimo e não o tecto de ambição. As que a usarem como alavanca para mapear genuinamente as suas dependências críticas, incluindo fornecedores espanhóis que operam num vácuo regulatório, vão estar numa posição substancialmente melhor quando o próximo incidente acontecer, e a questão não é se acontece mas quando.
Há três perguntas que cada conselho de administração de uma organização potencialmente abrangida deveria ser capaz de responder com precisão e sem hesitação. A primeira é se sabem exatamente quais as obrigações específicas que a nova lei impõe à sua organização, incluindo os prazos de notificação de incidentes ao CNCS, as obrigações de formação e os requisitos de segurança da cadeia de fornecimento. A segunda é quem é o Responsável de Cibersegurança designado, com nome, mandato definido e autoridade real para actuar, e não apenas um título atribuído a alguém que já tinha demasiado trabalho. A terceira, e mais reveladora, é se a organização está preparada para notificar o CNCS dentro dos prazos legais caso ocorra um incidente amanhã, o que exige que os processos de deteção, classificação e notificação já estejam desenhados e testados antes do incidente acontecer, não depois.
Se a resposta a qualquer uma destas perguntas for hesitante ou vaga, o período de graça de doze meses não é uma extensão confortável. É o tempo que têm para correr antes de a regulação deixar de ter paciência para a boa vontade sem evidência.
Rui Ribeiro é Consultor em Tecnologia e Gestão. Especialista em projetos de transformação digital.
