Ir para o conteúdo
NIS2

Sanções por incumprimento da diretiva NIS2

·
6 minutos de leitura
RH de um lado, IT do outro?
Gira dispositivos, licenças e segurança a partir de um único lugar. Sincronizado com as entradas e saídas da tua equipa. Descubra o Factorial IT
Escrito por

Sabia que o incumprimento da NIS2 pode implicar multas milionárias e consequências legais graves? A Diretiva (UE) 2022/2555 impõe obrigações rigorosas de cibersegurança a empresas e organismos em toda a União Europeia. No caso de Portugal, o quadro legal integra-se sob a supervisão do Centro Nacional de Cibersegurança (CNCS), estabelecendo um regime sancionatório rigoroso para quem não cumpra os requisitos técnicos, organizativos e de governação.

Neste artigo, analisamos as sanções previstas, a quem afetam e como evitá-las, cumprindo corretamente a normativa vigente no mercado luso.

Que empresas podem ser sancionadas pelo incumprimento da NIS2?

Nem todas as empresas estão sujeitas às mesmas obrigações sob a NIS2, mas a diretiva estabelece claramente quem pode ser sancionado em caso de incumprimento. No mercado luso, a normativa aplica-se a entidades que desempenham funções críticas para a sociedade e para a economia, sob a supervisão do Centro Nacional de Cibersegurança (CNCS), e classificam-se em dois grupos principais:

  • Entidades essenciais: Incluem setores como energia, transportes, saúde, abastecimento de água potável e serviços digitais críticos.
  • Estas empresas devem cumprir todas as obrigações de cibersegurança e reportar qualquer incidente significativo ao CERT.PT dentro dos prazos legais.
  • Em Portugal, estas entidades estão sujeitas a uma supervisão proativa e regular.
  • Entidades importantes: Abrangem organizações que, embora não sendo críticas, oferecem serviços relevantes para a economia ou dependem de infraestruturas essenciais (como a gestão de resíduos ou o fabrico de produtos químicos).
  • O seu incumprimento também pode gerar sanções, especialmente se existir negligência na implementação de medidas de segurança ou na gestão de riscos.

Em ambos os casos, as sanções podem aplicar-se tanto à organização como, em determinados casos, aos seus responsáveis, se for demonstrada falta de diligência ou supervisão. Por isso, é fundamental identificar desde o primeiro momento se a sua empresa se enquadra num destes grupos dentro do território português e garantir o cumprimento total das medidas exigidas pela NIS2.

Quais são os montantes das sanções da diretiva NIS2?

Os montantes das sanções dividem-se em dois grandes grupos, de acordo com o tipo de empresa e o nível de criticidade do seu serviço. A normativa europeia, integrada no ordenamento jurídico de Portugal, estabelece limites máximos muito elevados para assegurar que todas as organizações levem a sério a proteção dos seus dados.

Entidades essenciais

Este grupo abrange os setores mais críticos para a sociedade, como a energia, o transporte ou a saúde. As empresas classificadas como essenciais enfrentam as multas mais severas se incumprirem as suas obrigações de cibersegurança.

Os montantes podem atingir um máximo de 10 milhões de euros ou 2 por cento do volume de negócios anual global. Em qualquer caso, será aplicada a cifra que resulte mais elevada para a organização.

Entidades importantes

Nesta categoria encontram-se empresas de setores como a gestão de resíduos, os serviços postais ou o fabrico de certos produtos. Embora o nível de exigência na supervisão do CNCS seja menor, as multas continuam a ser consideráveis.

As sanções para estas entidades podem chegar aos 7 milhões de euros ou 1,4 por cento da faturação anual mundial. Tal como nas essenciais, será sempre escolhido o montante económico superior.

Responsabilidade dos administradores e gestores

Esta normativa introduz uma mudança histórica, pois a responsabilidade legal já não recai apenas sobre a empresa como entidade jurídica. Os quadros superiores e membros dos órgãos de gestão podem ser assinalados de forma pessoal se não cumprirem o seu dever de supervisão e gestão de riscos. O CNCS tem inclusivamente o poder de propor a suspensão temporária dos gestores das suas funções em casos de negligência grave, até que a organização corrija as suas deficiências.

Além disso, os líderes da companhia estão obrigados por lei a receber formação específica em ciberseguridad. O objetivo é garantir que quem toma as decisões estratégicas em Portugal compreenda perfeitamente as ameaças digitais e não possa alegar desconhecimento perante uma eventual sanção.

📌 Descubra a que empresas se aplica a diretiva NIS2.

Que infrações podem gerar coimas e sanções NIS2?

A normativa não castiga apenas a ausência total de medidas de segurança, mas também os erros parciais ou a falta de diligência na gestão diária. Estes são os pressupostos mais comuns que podem derivar na abertura de um processo sancionatório por parte do CNCS em Portugal:

  • Incumprir os prazos de notificação ao não informar sobre um incidente de segurança significativo ao CERT.PT nas primeiras 24 horas após a sua deteção.
  • Carecer de uma análise de riscos atualizada ou de planos de gestão que garantam a continuidade dos serviços essenciais da organização.
  • Omitir a implementação de medidas técnicas necessárias para proteger a informação, como a cifragem de dados ou protocolos rigorosos de controlo de acessos.
  • Desatender os requisitos de governação ao não envolver os órgãos de gestão na tomada de decisões sobre riscos ciberbéticos críticos.
  • Obstruir o trabalho das autoridades através da falta de cooperação com o CNCS ou dificultando a realização de inspeções e auditorias externas.
  • Apresentar documentação insuficiente que impeça demonstrar de forma clara e fidedigna que a empresa cumpre todos os padrões exigidos pela legislação lusa.

📌 Descubra quando entra em vigor a diretiva NIS2 em Portugal.

Consequências legais adicionais para além das multas

O castigo económico é apenas a ponta do iceberg, uma vez que o incumprimento da normativa pode desencadear uma série de medidas regulatórias que afetam diretamente a linha de flutuação da companhia. Estas são algumas das repercussões mais graves que uma organização pode enfrentar em Portugal:

  • Suspensão das licenças de operação em setores estratégicos como a energia ou os transportes, o que implicaria uma cessação total da atividade comercial até retificar os erros sob o mandato do CNCS.
  • Imposição de prazos estritos para corrigir deficiências sob a supervisão direta e constante da autoridade nacional de cibersegurança.
  • Publicação oficial da infração cometida com o consequente dano reputacional e a perda de confiança de clientes ou investidores-chave.
  • Inabilitação temporal de gestores e membros dos órgãos de gestão que não tenham demonstrado a diligência devida nas suas funções de supervisão e governação.
  • Processos por incumprimento de contrato interpostos por parceiros ou fornecedores que tenham sido prejudicados pela falta de segurança da organização.

📌 Descubra o checklist da NIS2 e analise se a sua empresa está preparada.

Como é que a Factorial IT o ajuda a cumprir a NIS2?

A NIS2 exige que as empresas que operam em Portugal consigam gerir a cibersegurança de maneira contínua, com controlos claros, acompanhamento constante de riscos e capacidade para demonstrar o cumprimento perante as auditorias do CNCS. Isto implica supervisionar acessos, manter inventários atualizados, controlar fornecedores e reagir de forma rápida perante incidentes de segurança para cumprir os prazos de reporte ao CERT.PT.

Com a Factorial IT, estes requisitos transformam-se em processos simples, automatizados e fáceis de supervisionar:

  • Inventário e avaliação de riscos: Contamos com um inventário dinâmico de dispositivos e o seu nível de segurança, acessível a partir de um painel central que mostra quem utiliza cada equipamento e se este está atualizado, cifrado ou se cumpre os padrões. Cada ativo fica vinculado ao seu utilizador e ao seu ciclo de vida, facilitando as revisões periódicas e as evidências necessárias para as autoridades lusas.
  • Controlos técnicos e gestão de acessos: Automatizamos a aplicação de patches e a cifragem, detetamos vulnerabilidades e reforçamos a autenticação através de SSO e MFA com soluções como Google Workspace, Microsoft Entra ID ou Okta, garantindo que os sistemas cumprem os requisitos da normativa desde o primeiro dia.
  • Onboarding e offboarding de colaboradores: Sincronizamos entradas e saídas com o departamento de RH para atribuir ou revogar acessos automaticamente, evitando contas inativas e assegurando que os dispositivos são entregues configurados de acordo com as políticas de segurança exigidas por lei.
  • Gestão e resposta a incidentes: Oferecemos ferramentas de bloqueio e limpeza remota, registos completos de ações administrativas e acompanhamento de incidentes, permitindo uma reação rápida e a rastreabilidade total que o CNCS exige em caso de uma investigação.
  • Supervisão de fornecedores e auditorias: Ajudamos a detetar software ou serviços não autorizados (Shadow IT), a integrar evidências em plataformas de compliance como Vanta ou Drata, e a gerar registos prontos para auditorias sem necessidade de intervenção manual, simplificando o reporte de conformidade em Portugal. 

📌 Descubra os melhores softwares para cumprir a diretiva NIS2.

Artigos Relacionados