Ir para o conteúdo
NIS2

Empresas essenciais vs importantes na diretiva NIS2

·
6 minutos de leitura
RH de um lado, IT do outro?
Gira dispositivos, licenças e segurança a partir de um único lugar. Sincronizado com as entradas e saídas da tua equipa. Descubra o Factorial IT
Escrito por

A diretiva NIS2 marca um antes e um depois nas obrigações de cibersegurança para milhares de empresas na Europa. Embora todas as organizações afetadas devam cumprir um nível de proteção elevado e medidas de segurança uniformes, a legislação introduz uma distinção fundamental entre entidades essenciais e entidades importantes. Esta classificação não afeta tanto as medidas técnicas a implementar, mas influencia diretamente o nível de supervisão estatal e o montante das possíveis sanções.

Compreender esta diferença é fundamental para antecipar, avaliar riscos e evitar incumprimentos dentro do ecossistema empresarial português. Neste artigo, explicamos de forma clara o que significa cada categoria, as suas diferenças e como saber em qual delas se enquadra a sua organização.

O que é a NIS2 e por que razão classifica as empresas?

A diretiva NIS2 é a nova legislação da União Europeia que reforça os requisitos de cibersegurança para empresas que prestam serviços críticos ou relevantes para a sociedade e a economia. O seu objetivo é melhorar a resiliência face a ciberataques e garantir uma resposta coordenada perante incidentes. Para aplicar estas obrigações de forma eficaz e proporcional, a legislação classifica as organizações segundo o seu nível de criticidade e impacto potencial. Nem todas as empresas têm o mesmo peso no funcionamento da economia ou dos serviços essenciais. Por isso, a diretiva NIS2 distingue entre entidades essenciais e entidades importantes em função de fatores como o setor, a dimensão, a dependência de sistemas digitais ou as consequências que teria uma interrupção da sua atividade.

O que é uma empresa essencial segundo a NIS2?

Uma empresa essencial, segundo a diretiva NIS2, é aquela organização que opera em setores considerados críticos para o funcionamento da sociedade e da economia, e cuja interrupção poderia provocar um impacto significativo em serviços básicos, na segurança pública ou na estabilidade económica.

Para que uma empresa seja considerada essencial, necessita de cumprir os seguintes critérios:

1. Operar num setor considerado de “alta criticidade”

Os setores considerados de “alta criticidade” são os seguintes:

  • Energia: eletricidade, redes de aquecimento e arrefecimento urbano, petróleo, gás e hidrogénio.

  • Transporte: aéreo, ferroviário, marítimo e rodoviário.

  • Banca: instituições de crédito.

  • Infraestruturas dos mercados financeiros: operadores de plataformas de negociação, sistemas de liquidação e contrapartes centrais.

  • Saúde: prestadores de cuidados de saúde, laboratórios de referência, atividades de investigação e desenvolvimento farmacêutico e fabricantes de medicamentos.

  • Água potável: fornecedores e distribuidores responsáveis pelo abastecimento.

  • Águas residuais: empresas encarregues da recolha, eliminação ou tratamento.

  • Infraestrutura digital: prestadores de serviços na cloud, centros de dados, redes de telecomunicações, prestadores de serviços de DNS e registos de nomes de domínio.

  • Gestão de serviços TIC: prestadores de serviços geridos (MSP) e prestadores de serviços de segurança geridos (MSSP) que operam em ambientes empresariais (B2B).

  • Administração pública: entidades da administração central e regional.

  • Espaço: operadores de infraestruturas terrestres que apoiam a prestação de serviços espaciais.

2. Dimensão da organização

Para que uma empresa seja considerada essencial, tem de cumprir um dos seguintes pontos:

  • Ter mais de 250 colaboradores, ou

  • Ter um volume de negócios anual superior a 50 milhões de euros (ou balanço geral superior a 43 milhões).

3. Operar na União Europeia

A empresa deve estar estabelecida na União Europeia, mas o seu âmbito não se limita às suas fronteiras físicas, uma vez que também afeta organizações com sede fora da UE se prestarem serviços ou gerirem infraestruturas críticas para utilizadores ou empresas no mercado europeu.

Exemplo de empresa essencial

  • Empresa: Lusitana Energia, S.A.

  • Setor: Energia (Distribuição de eletricidade).

  • Dimensão: 600 colaboradores e 150 milhões de euros de faturação.

O que é uma empresa importante segundo a NIS2?

Uma empresa importante, segundo a diretiva NIS2, é aquela organização que opera em setores críticos para a sociedade e a economia, mas cuja interrupção teria um impacto menor do que o das entidades essenciais. Estas empresas continuam sujeitas a obrigações de cibersegurança, mas com um regime de supervisão diferente (reativo em vez de proativo).

Para que uma empresa seja considerada importante, necessita de cumprir os seguintes critérios:

1. Operar num setor de “alta criticidade” ou “outros setores críticos”

Uma organização entra nesta categoria em dois cenários:

  • Se operar num setor de “alta criticidade” (vistos anteriormente, como energia ou saúde), mas tiver a dimensão de uma média empresa.

  • Se operar nos chamados “outros setores críticos“, independentemente de ser média ou grande. Estes setores são:

    • Serviços postais e de correio.

    • Gestão de resíduos.

    • Indústria química: fabrico, produção e distribuição de substâncias químicas.

    • Alimentação: produção, transformação e distribuição grossista de alimentos.

    • Fabrico: inclui o fabrico de dispositivos médicos, produtos informáticos, eletrónicos e óticos, equipamento elétrico, maquinaria, veículos automóveis e outro material de transporte.

    • Fornecedores digitais: mercados online (marketplaces), motores de busca e plataformas de redes sociais.

    • Investigação: organizações e institutos de investigação.

2. Dimensão da organização

Regra geral, consideram-se entidades importantes aquelas que cumprem os limiares de uma média empresa:

  • Ter entre 50 e 249 colaboradores, ou

  • Ter um volume de negócios anual ou balanço geral entre 10 e 50 milhões de euros.

3. Operar na União Europeia

À semelhança do que acontece com as entidades essenciais, este quadro normativo não se limita às fronteiras físicas. Uma organização é considerada “importante” se a sua atividade tiver impacto no mercado europeu, independentemente de onde se localize a sua sede central. Isto inclui empresas estrangeiras que fornecem serviços digitais ou infraestruturas a utilizadores dentro da União Europeia, as quais estão obrigadas a designar um representante legal num Estado-Membro para atuar como ponto de contacto com as autoridades de cibersegurança.

Exemplo de empresa importante

  • Empresa: LogiTrans Portugal, Lda.

  • Setor: Transporte (Serviços de logística regional).

  • Dimensão: 120 colaboradores e 20 milhões de euros de faturação.

  • Por que é considerada uma empresa importante? Porque opera num setor relevante listado no Anexo II (transporte) e cumpre os critérios de dimensão para entidades importantes (entre 50 e 250 colaboradores e faturação entre 10 e 50 M€), sem superar os limiares de uma entidade essencial.

📌 Descubra a quem afeta a diretiva NIS2 em Portugal.

Principais diferenças entre empresas essenciais e importantes

A distinção entre estas duas categorias é o eixo central da NIS2. Embora ambas devam cumprir as mesmas medidas de gestão de riscos, a “intensidade” da vigilância estatal por parte das autoridades portuguesas e o peso das coimas variam significativamente.

Característica Entidade Essencial Entidade Importante
Setores incluídos Apenas setores de Alta Criticidade (Anexo 1). Setores de Alta Criticidade (Anexo 1) E Outros Setores Críticos (Anexo 2).
Dimensão da empresa Grandes empresas (>250 colaboradores ou >50 M€ faturação). Médias empresas (50-249 colab.) em qualquer setor OU Grandes em setores do Anexo 2.
Supervisão Proativa e reativa: As autoridades podem auditar oficiosamente a qualquer momento. Apenas reativa: Só há inspeções se ocorrer um incidente ou existirem indícios de incumprimento.
Coimas Máximas Até 10 milhões de euros ou 2% da faturação global anual. Até 7 milhões de euros ou 1,4% da faturação global anual.

Obrigações comuns para ambas as classificações

Independentemente de uma empresa ser qualificada como essencial ou importante, a diretiva NIS2 exige um nível de proteção elevado e uniforme. Todas as organizações afetadas devem implementar medidas técnicas, operacionais e organizativas para gerir os riscos de cibersegurança.

Estas obrigações dividem-se em três grandes blocos:

1. Medidas básicas de gestão de riscos

A legislação estabelece um “mínimo obrigatório” que todas as empresas devem cumprir:

  • Políticas de análise de riscos e segurança: documentar como se identificam e gerem as ameaças.

  • Gestão de incidentes: protocolos claros de deteção, resposta e recuperação após um ataque.

  • Continuidade do negócio: planos de contingência (backups), recuperação de desastres e gestão de crises para que a empresa não pare.

  • Segurança na cadeia de abastecimento: avaliar a cibersegurança dos fornecedores (um ponto crítico na NIS2).

  • Segurança na aquisição e desenvolvimento: assegurar que os sistemas e aplicações são seguros “desde a sua conceção” (by design).

  • Avaliação da eficácia: realizar auditorias e controlos periódicos para comprovar que as medidas funcionam.

  • Ciber-higiene e formação: formação obrigatória em cibersegurança para todos os colaboradores, incluindo a gestão de topo.

  • Criptografia e encriptação: uso de ferramentas para proteger os dados sensíveis.

  • Segurança dos recursos humanos: controlo de acessos, gestão de ativos e políticas de “privilégio mínimo”.

  • Autenticação multifator (MFA): uso de soluções de verificação em dois passos e comunicações seguras.

2. Obrigação de notificação de incidentes

Ambas as classificações têm o mesmo dever de informar as autoridades competentes em Portugal sobre qualquer incidente significativo, seguindo este cronograma:

  • Alerta precoce (24 horas): notificação inicial indicando se o incidente é grave ou causado por atos ilícitos.

  • Notificação do incidente (72 horas): atualização da informação, avaliação inicial da gravidade e impacto.

  • Relatório final (1 mês): descrição detalhada, causa raiz e medidas corretivas aplicadas.

3. Responsabilidade da gestão de topo

Os órgãos de gestão em Portugal (Administradores e Conselhos de Administração) devem aprovar as medidas de cibersegurança, supervisionar a sua implementação e são responsáveis diretos em caso de incumprimento. Além disso, têm a obrigação de receber formação específica em cibersegurança.

📌 Descubra as multas por incumprimento da diretiva NIS2.

Artigos Relacionados