FAQ sobre a diretiva NIS2 em Portugal

A nova diretiva NIS2 é um antes e um depois na cibersegurança na Europa, e há muitas empresas em Portugal que não sabem como as vai afetar nem o que devem fazer exatamente.

É obrigado a cumpri-la? Quais são os riscos se não o fizer? Por onde começar?

Esta FAQ oferece respostas claras e rápidas às perguntas mais frequentes sobre a diretiva NIS2 em Portugal, para que perceba como o impacta e que passos deve começar a dar o quanto antes.

1. O que é a diretiva NIS2 e qual é o seu objetivo?

A diretiva NIS2 é uma regulamentação europeia que tem o propósito de melhorar a cibersegurança em toda a União Europeia. O seu objetivo principal é proteger melhor as empresas e serviços essenciais contra ciberataques, estabelecendo requisitos comuns de segurança e gestão de riscos.

Além disso, pretende reforçar a cooperação entre os países e assegurar que as organizações reajam rapidamente aos incidentes de segurança.

2. O que muda com a NIS2 em relação à NIS1?

Por um lado, a NIS2 amplia o âmbito de aplicação da regulamentação anterior (NIS1), abrangendo muitas mais empresas e setores. Por outro, estabelece regras mais rigorosas em matéria de gestão de riscos, notificação de incidentes e supervisão.

Outra diferença fundamental é que aumenta a responsabilidade da direção das empresas e agrava as sanções em caso de incumprimento.

3. Quando entra em vigor a NIS2 em Portugal?

A diretiva NIS2 entrou em vigor a nível europeu no início do ano de 2023 e marcava uma data limite inegociável para todos os países: 17 de outubro de 2024.

Embora Portugal tenha arrancado com atraso face ao prazo europeu (o que motivou a abertura de procedimentos de infração por parte da Comissão Europeia no final de 2024), o país já concluiu a transposição. A diretiva foi integrada no ordenamento jurídico português através do Decreto-Lei n.º 125/2025, publicado a 4 de dezembro de 2025.

Após um período de transição de 120 dias, este novo Regime Jurídico da Segurança do Ciberespaço entrou oficialmente em vigor a 3 de abril de 2026. Isto significa que a lei já é plenamente aplicável e que as medidas de cibersegurança são de cumprimento obrigatório para as entidades afetadas.

📌 Saiba mais sobre quando entra em vigor a diretiva NIS2 em Portugal.

4. Que empresas são obrigadas a cumprir a NIS2 em Portugal?

A diretiva NIS2 aplica-se a empresas que operam em Portugal e que são consideradas entidades “essenciais” ou “importantes”. Trata-se de organizações que desenvolvem atividades em setores críticos ou que têm um impacto significativo na economia ou na sociedade portuguesa.

Seguindo o critério da União Europeia, afeta principalmente médias e grandes empresas (com mais de 50 colaboradores ou uma faturação anual superior a 10 milhões de euros). No entanto, o Centro Nacional de Cibersegurança (CNCS) de Portugal pode designar organizações mais pequenas como sujeitos obrigados se a sua atividade for vital para a segurança nacional ou para a continuidade de serviços básicos.

📌 Saiba mais sobre a quem afeta a diretiva NIS2 em Portugal.

5. Que setores são afetados pela NIS2?

Em Portugal, a regulamentação mantém a distinção europeia entre setores de alta criticidade (entidades essenciais) e outros setores críticos (entidades importantes).

Setores de alta criticidade:

• Energia (eletricidade, petróleo, gás, hidrogénio).

• Transportes (aéreo, ferroviário, marítimo e rodoviário).

• Banca e infraestruturas dos mercados financeiros.

• Saúde.

• Fornecimento e distribuição de água potável e águas residuais.

• Infraestruturas digitais.

• Gestão de serviços TIC (prestadores de serviços geridos).

• Administração pública.

• Espaço.

Outros setores críticos:

• Serviços postais e de correio.

• Gestão de resíduos.

• Fabrico, produção e distribuição de produtos químicos.

• Produção, transformação e distribuição de alimentos.

• Fabrico (incluindo maquinaria, veículos, eletrónica, etc.).

• Fornecedores digitais (marketplaces, motores de busca, redes sociais).

• Investigação.

Prepare-se para a NIS2 com mais controlo e menos caos

Centralize dispositivos, acessos e processos de IT num único local para reduzir tarefas manuais e ganhar visibilidade operacional.

Saber mais

6. A NIS2 afeta as PME portuguesas ou apenas as grandes empresas?

Embora o foco principal esteja nas médias e grandes empresas, o tecido empresarial em Portugal, composto maioritariamente por PME, não é imune à regulamentação.

Muitas pequenas empresas serão afetadas indiretamente por fazerem parte da cadeia de abastecimento de grandes entidades essenciais. Uma vez que a NIS2 obriga as empresas abrangidas a garantir a segurança dos seus fornecedores, as PME em Portugal começarão a receber requisitos de cibersegurança contratuais por parte dos seus clientes para poderem continuar a operar com eles.

7. O que são entidades essenciais e importantes?

A diretiva NIS2 classifica as empresas sob jurisdição portuguesa em dois grandes grupos:

• Entidades essenciais: são organizações de setores de alta criticidade (como energia, transportes ou saúde) e estão sujeitas a um maior nível de supervisão, tanto proativa como reativa, por parte das autoridades.

• Entidades importantes: pertencem a outros setores críticos relevantes, mas com um nível de criticidade um pouco menor. O seu nível de supervisão costuma ser principalmente reativo (após a ocorrência de um incidente).

📌 Saiba mais sobre a diferença entre entidades essenciais e importantes.

8. Se sou fornecedor ou parte da cadeia de abastecimento, a NIS2 afeta-me em Portugal?

Sim, embora a sua empresa não esteja diretamente obrigada pela lei, a diretiva NIS2 pode afetá-la igualmente se fizer parte da cadeia de abastecimento de uma entidade essencial ou importante que opera em Portugal.

As organizações abrangidas têm o dever legal de garantir a segurança de toda a sua cadeia de abastecimento. Por isso, já é comum começarem a exigir medidas de cibersegurança, auditorias ou certificações específicas aos seus fornecedores e parceiros para cumprir a regulamentação.

Na prática, muitas empresas (tanto portuguesas como estrangeiras que prestam serviços no país) terão de se adaptar à NIS2 de forma indireta para não perderem contratos e poderem continuar a trabalhar com os seus clientes.

9. Que obrigações impõe a NIS2 às empresas?

A regulamentação estabelece um conjunto de obrigações centradas na gestão proativa da cibersegurança e na mitigação de riscos. Entre as principais, destacam-se:

• Governação e responsabilidade corporativa: a alta direção é a principal responsável pela cibersegurança, devendo aprovar as medidas e definir papéis claros (podendo assumir responsabilidade legal direta em caso de negligência grave).

• Gestão de riscos de cibersegurança: avaliar e gerir de forma contínua os riscos que afetam os sistemas informáticos, as redes e os ambientes físicos.

• Medidas de segurança técnica e organizativa: implementar controlos rigorosos de acesso, autenticação multifator (MFA), encriptação de dados, proteção da infraestrutura e higiene cibernética básica.

• Gestão da cadeia de abastecimento: assegurar que os fornecedores diretos e prestadores de serviços cumpram requisitos de cibersegurança equivalentes, para evitar ataques com origem em terceiros.

• Notificação de incidentes: reportar ameaças graves e incidentes de segurança às autoridades competentes (no caso de Portugal, ao Centro Nacional de Cibersegurança – CNCS) cumprindo rigorosamente os prazos legais: alerta precoce em 24 horas, notificação de incidente em 72 horas e relatório final em 1 mês.

• Testes e auditorias: realizar avaliações periódicas, auditorias de segurança e simulacros para medir a eficácia das medidas implementadas.

• Consciencialização e formação: formar de forma obrigatória e periódica todo o pessoal (incluindo a alta direção) em cibersegurança e boas práticas.

• Planos de continuidade e recuperação: garantir que a empresa possa continuar a operar e recuperar rapidamente após um incidente grave (através de planos de recuperação de desastres e cópias de segurança seguras).

• Relatórios e documentação: manter um registo documentado de todas as políticas, medidas adotadas, evidências e avaliações de riscos.

• Cooperação com as autoridades: colaborar ativamente com o CNCS e participar em redes de partilha de informação sobre ciberameaças.

10. Como devem ser notificados os incidentes de segurança?

A NIS2 é extremamente rigorosa com os tempos de resposta. Obriga as empresas a notificar o Centro Nacional de Cibersegurança (CNCS), habitualmente através da sua equipa de resposta CERT.PT, sobre qualquer incidente significativo, seguindo um modelo por fases inalterável:

• Alerta precoce: num prazo máximo de 24 horas a partir do momento em que se tem conhecimento do incidente, deve ser emitido um primeiro aviso (mesmo que ainda não se tenham todos os detalhes).

• Notificação formal: num máximo de 72 horas, deve ser enviada uma atualização que inclua uma avaliação inicial do incidente, a sua gravidade e o seu impacto.

• Relatório final: no prazo máximo de 1 mês, é necessário entregar um documento detalhando a análise completa do ciberataque, as consequências reais e as medidas de mitigação adotadas.

11. A direção da empresa tem responsabilidade legal com a NIS2?

Sim, total e absoluta. A NIS2 acaba pela raiz com a desculpa de que “a cibersegurança é apenas um problema do departamento informático” e coloca a responsabilidade diretamente sobre os ombros do conselho de administração e da alta direção. Isto traduz-se em duas obrigações críticas:

• Formação obrigatória: os diretores estão obrigados a formar-se regularmente em cibersegurança para compreenderem os riscos tecnológicos do seu setor e poderem avaliar corretamente as medidas implementadas.

• Responsabilidade direta por negligência: se uma empresa sofrer um incidente grave por não ter aprovado ou aplicado as medidas exigidas, os diretores podem ser responsabilizados legalmente a nível pessoal.

De facto, no caso das entidades essenciais, as autoridades portuguesas podem chegar a suspender temporariamente os altos cargos das suas funções diretivas.

12. Como começar a cumprir a NIS2?

A adaptação à NIS2 não se faz da noite para o dia. As empresas deveriam seguir este roteiro:

• Classificação e âmbito: Identificar formalmente se a empresa está obrigada pela lei em Portugal e em que categoria se enquadra (entidade essencial ou importante).

• Envolvimento da direção: informar a alta direção sobre as suas novas responsabilidades legais e assegurar o orçamento necessário para a adaptação.

• Auditoria inicial: avaliar o estado atual da cibersegurança na empresa face às exigências da NIS2, para detetar as lacunas existentes e avaliar a criticidade dos sistemas.

• Plano de ação: implementar as soluções necessárias para colmatar essas lacunas: segurança de redes, cópias de segurança imutáveis, controlo de acessos (MFA), encriptação, etc.

• Protocolos de resposta e notificação: definir e documentar processos claros para saber como atuar perante um ataque e assegurar que é possível notificar o CNCS nas primeiras 24 horas.

• Blindar a cadeia de abastecimento: rever os contratos com fornecedores tecnológicos e prestadores de serviços, exigindo-lhes que cumpram requisitos de cibersegurança equivalentes.

• Consciencialização contínua: formar periodicamente todo o pessoal (incluindo os diretores) para criar uma verdadeira cultura de cibersegurança e evitar erros humanos.

Prepare-se para a NIS2 com mais controlo e menos caos

Centralize dispositivos, acessos e processos de IT num único local para reduzir tarefas manuais e ganhar visibilidade operacional.

Saber mais

13. Existem softwares específicos para cumprir a diretiva NIS2?

Sim, existem ferramentas desenhadas para facilitar o cumprimento da NIS2, embora não exista um único software oficial. Estas soluções ajudam a gerir riscos, documentar controlos e assegurar que se cumprem os requisitos da diretiva. Entre as mais destacadas:

• Plataformas GRC (Governance, Risk & Compliance): permitem centralizar a gestão de riscos, políticas e auditorias.

• Software específico NIS2: ferramentas que ajudam a documentar medidas de segurança, incidentes e evidências de cumprimento normativo.

• Soluções técnicas de cibersegurança: SIEM, EDR e monitorização de redes para detetar e responder a incidentes em tempo real.

• Consultorias ou recursos externos: serviços especializados que ajudam a adaptar processos técnicos e legais, bem como a formar o pessoal no cumprimento da regulamentação.