AtalaiaSec Pedir proposta
← Blog

NIS2 Portugal: o que o DL 125/2025 muda para PMEs em 2026

AtalaiaSec ·

O Decreto-Lei n.º 125/2025, publicado em 4 de dezembro de 2025, transpõe a Diretiva NIS2 para o ordenamento jurídico português. A partir de 3 de abril de 2026, empresas de 17 setores e grande parte da Administração Pública passam a ter obrigações reforçadas de cibersegurança — com coimas que podem atingir 10 milhões de euros ou 2% do volume de negócios mundial anual.

O que é a NIS2 em Portugal

A Diretiva (UE) 2022/2555, conhecida como NIS2, substituiu a diretiva SRI 1 de 2016. O objetivo central: eliminar as discrepâncias entre os 27 Estados-Membros e elevar o patamar de cibersegurança em toda a União Europeia. Portugal demorou mais de dois anos a concluir a transposição — um processo que incluiu consulta pública, discussão legislativa e negociação entre múltiplos ministérios. O resultado final chama-se Regime Jurídico da Cibersegurança e está publicado no Diário da República.

O Centro Nacional de Cibersegurança (CNCS) assume o papel de autoridade nacional, responsável pela supervisão, pela plataforma eletrónica de registo e pela coordenação com as redes europeias de cooperação em cibersegurança. Enquanto a plataforma não estiver disponível, parte das obrigações práticas fica suspensa — mas o relógio já corre.

Entidades essenciais e importantes: quem fica abrangido

O DL 125/2025 alarga o âmbito para 17 setores, contra os sete da legislação anterior. Energia, transportes, banca, saúde, água e saneamento, infraestruturas digitais, serviços TIC, espaço — esses eram já abrangidos. A novidade inclui gestão de resíduos, indústria transformadora, produção química e alimentar, serviços postais, serviços digitais, investigação e águas residuais. O regime aplica-se ainda a uma fatia ampla da Administração Pública, com exceção dos domínios de defesa, segurança nacional e serviços de informações.

A classificação em duas categorias define o nível de exigência:

Entidades essenciais — 250 ou mais colaboradores, ou volume de negócios superior a 50 milhões de euros e balanço total acima de 43 milhões. Ficam sujeitas a supervisão proativa (antes e depois de incidentes) e ao nível mais elevado de medidas de cibersegurança.

Entidades importantes — abaixo desses limiares de dimensão e faturação. A supervisão ocorre apenas após um incidente significativo, e as medidas mínimas são menos exigentes, embora obriguem igualmente a gestão de riscos e reporte de incidentes.

Coimas até 10M€ e responsabilidade pessoal dos gestores

O regime sancionatório marca um salto em relação à Lei n.º 46/2018. As contraordenações podem resultar em coimas até 10 milhões de euros ou 2% do volume de negócios anual a nível mundial — o valor mais elevado entre os dois. Trata-se de um limite máximo aplicável a entidades essenciais; para entidades importantes, o teto é de 7 milhões de euros ou 1,4% do volume de negócios.

O ponto que mais preocupa as direções executivas: a responsabilidade pessoal dos titulares dos órgãos de gestão. O decreto-lei estabelece que estes respondem por ação ou omissão, com dolo ou culpa grave, por infrações ao regime. Falhas graves na gestão dos riscos de cibersegurança podem traduzir-se em responsabilidade civil individual por prejuízos causados à entidade ou a terceiros.

Obrigações centrais do DL 125/2025

Gestão de riscos de cibersegurança

Todas as entidades abrangidas devem implementar uma metodologia formal de gestão de risco, baseada no Quadro Nacional de Referência para a Cibersegurança (QNRCS). Este quadro assenta na estrutura da NIST Cybersecurity Framework 2.0, organizando as medidas em seis funções — Identificar, Proteger, Detetar, Responder, Recuperar e, agora, Gerir (a função de governança adicionada pela NIS2).

O Projeto de Regulamento, em consulta pública até abril de 2026, define três níveis de medidas mínimas: nível básico (39 medidas), nível substancial (75 medidas) e nível elevado (91 medidas). A entidade é enquadrada conforme o seu perfil de risco e criticidade sectorial.

Notificação de incidentes em 24 horas

O mecanismo de reporte obedece a um calendário apertado e tripartido:

Early warning — 24 horas após deteção do incidente. O objetivo é alertar o CNCS sobre a possibilidade de um incidente significativo, com informação mínima para permitir uma resposta coordenada a nível europeu.

Notificação formal — 72 horas após o conhecimento inicial. Deve incluir avaliação de gravidade, indicação dos serviços afetados e medidas de mitigação adotadas.

Relatório final — um mês após a notificação. Compreende uma análise detalhada do incidente, impacto efetivo e lições aprendidas.

Um incidente é considerado significativo quando causa ou pode causar graves perturbações operacionais ou perdas financeiras, ou danos a pessoas singulares ou coletivas. A notificação é feita exclusivamente pela plataforma eletrónica do CNCS, embora o regulamento preveja canais alternativos para casos de indisponibilidade.

Cadeia de fornecedores sob vigilância

O DL 125/2025 introduz obrigações diretas sobre a cadeia de abastecimento. As entidades devem avaliar os riscos de cibersegurança de cada fornecedor e prestador de serviço, considerar a qualidade dos produtos na componente de segurança, e verificar as práticas de desenvolvimento seguro dos seus parceiros. A legislação exige ainda restrições ao uso, transferência ou descarte de equipamentos, componentes e comunicações provenientes de fornecedores.

Na prática, isto significa que contratos com prestadores de serviços geridos, fornecedores de infraestruturas TIC e terceiros com acesso a sistemas sensíveis precisam de incluir cláusulas de segurança — e as empresas devem ser capazes de demonstrar que fizeram essa avaliação.

Responsabilidades dos órgãos de gestão

Os diretores e administradores passam a ter deveres concretos: aprovar formalmente as políticas de gestão de riscos, supervisionar a implementação, garantir o cumprimento das obrigações de prevenção, deteção, resposta e recuperação, e promover formação contínua em cibersegurança nas equipas relevantes. Não basta delegar — a governança tem de vir de cima.

Prazo de registo: 60 dias depois da plataforma

O artigo 8.º do decreto-lei estabelece que as entidades abrangidas devem proceder à autoidentificação e registo na plataforma eletrónica do CNCS. Quem já exercia atividade antes da entrada em vigor do regime tem um prazo de 60 dias a contar da disponibilização da plataforma. Entidades que iniciem atividade depois têm 30 dias.

A informação tem de ser atualizada de dois em dois anos. O CNCS pode ainda solicitar relatórios anuais e inventários de ativos expostos — obrigatório para entidades essenciais, sob pedido para entidades importantes.

A entrada em vigor do regime jurídico ocorreu em 3 de abril de 2026, mas a aplicação é faseada: certas disposições relativas a medidas de gestão de risco, notificação de incidentes e supervisão só produzem efeitos 24 meses após a publicação da regulamentação complementar do CNCS.

Como um SOC open-source cumpre a NIS2

O QNRCS define medidas técnicas e organizativas — não exige ferramentas proprietárias ou certificações específicas. Isto abre espaço para stacks de cibersegurança baseadas em software livre que cobrem as funções exigidas pelo framework: deteção contínua, resposta a incidentes, investigação forense e visibilidade sobre os ativos.

Uma arquitetura de SOC construída com ferramentas open-source consegue endereçar boa parte dos requisitos do NIS2:

  • Deteção — um SIEM como o Wazuh permite a ingestão e correlação de eventos em tempo real, geração de alertas e monitorização de integridade de ficheiros, cobrindo as funções de Proteger e Detetar do QNRCS.
  • Resposta a incidentes — plataformas como o TheHive e o Cortex permitem a triagem, enriquecimento e gestão de casos de incidentes com workflows estruturados, o que acelera o cumprimento dos prazos de notificação de 24 horas e 72 horas.
  • Investigação e resposta em endpoints — o Velociraptor oferece capacidade de investigação e resposta remota em estações de trabalho, essencial para identificar o alcance de um incidente e alimentar o relatório final mensal.

Estas ferramentas não exigem licenças comerciais por endpoint, o que reduz o custo total de conformidade — um fator relevante para PMEs classificadas como entidades importantes. Ainda assim, a tecnologia por si só não basta: o QNRCS exige políticas formais, avaliação periódica de riscos, formação contínua e governança documentada. O SOC é o motor operacional; a gestão de topo é o volante.

O que fazer agora

Mesmo com a plataforma do CNCS ainda em desenvolvimento, o prazo para conformidade parcial já está a contar. Os passos imediatos são: verificar se a empresa se enquadra nos setores abrangidos e nos limiares de classificação como entidade essencial ou importante; realizar uma avaliação de lacunas face às medidas mínimas do anexo III do decreto-lei; definir ou atualizar a política de gestão de riscos de cibersegurança; e rever contratos com fornecedores críticos para incluir requisitos de segurança.

O portal da Diretiva NIS2 no CNCS publica atualizações regulares sobre o processo de regulamentação e a disponibilização da plataforma de registo. A análise da PwC sobre o DL 125/2025 e o guia do CCC-Centro oferecem detalhes adicionais sobre classificação de entidades e medidas técnicas. O texto integral do decreto-lei está disponível no Diário da República.

Fontes e referências

Decreto-Lei n.º 125/2025 — Diário da República

Diretiva NIS2 — CNCS

Diretiva NIS2: reforçar a cibersegurança — PwC Portugal

Diretiva NIS2: Reforço da Cibersegurança — KPMG

Diretiva SRI 2 — Comissão Europeia

Nova lei de cibersegurança atinge mais empresas — Observador