Ir para o conteúdo
NIS2

A quem se aplica a diretiva NIS2 em Portugal?

·
9 minutos de leitura
RH de um lado, IT do outro?
Gira dispositivos, licenças e segurança a partir de um único lugar. Sincronizado com as entradas e saídas da tua equipa. Descubra o Factorial IT
Escrito por

O panorama da cibersegurança mudou para sempre. Após a transposição da diretiva NIS2 através do Decreto-Lei n.º 125/2025 (em vigor desde 3 de abril de 2026), proteger os dados já não é apenas um assunto do departamento de TI, mas uma obrigação legal extremamente rigorosa em Portugal. Muitos gestores perguntam-se se a sua empresa escapa, mas a realidade é que a norma afeta muitíssimo mais organizações do que se imagina, arrastando milhares de PME através da cadeia de abastecimento.

Se quer tirar as teimas e evitar multas milionárias, neste artigo traduzimos o jargão legal para uma linguagem clara para que descubra rapidamente se a sua empresa está obrigada a cumprir esta regulamentação.

E o tempo urge: as entidades afetadas têm como data-limite iminente o dia 23 de abril de 2026 para comunicar formalmente ao CNCS a designação do seu Ponto de Contacto Permanente e do seu Responsável de Cibersegurança, uma figura-chave que deve ser nomeada pela própria gestão de topo (alta direção). 

Quem está obrigado a cumprir a diretiva NIS2? 

A diretiva NIS2 não se aplica a todas as empresas por igual. Para determinar quais as organizações que devem cumpri-la e adotar medidas de cibersegurança mais rigorosas, a regulamentação avalia a combinação de três fatores principais:

  • Âmbito geográfico: a empresa opera ou presta os seus serviços dentro da União Europeia.
  • Setor de atividade: pertence a um dos setores contemplados na diretiva, o que determinará se a organização é classificada como uma entidade essencial ou uma entidade importante.
  • Dimensão da organização: atinge os limiares de média ou grande empresa (por norma, mais de 50 colaboradores ou um volume de negócios anual superior a 10 milhões de euros), concebidos para identificar as organizações com maior impacto económico ou social.

Âmbito geográfico: empresas que operam na União Europeia

A diretiva NIS2 aplica-se a organizações estabelecidas na União Europeia, mas o seu alcance vai além das suas fronteiras físicas, uma vez que também afeta empresas com sede fora da UE se prestarem serviços dentro do mercado europeu. Isto significa que qualquer empresa internacional que ofereça serviços digitais, infraestruturas ou produtos críticos a utilizadores ou empresas da UE pode ver-se obrigada a cumprir a regulamentação. O objetivo é garantir que todos os sistemas que sustentam a economia europeia mantenham um nível elevado e uniforme de cibersegurança, independentemente de onde se encontre a sede principal da empresa. 

Setor de atividade: entidades essenciais vs. importantes

Outro fator determinante é o setor de atividade. Embora a diretiva europeia de base fale de duas categorias, o quadro legal português agrupa as organizações afetadas em três categorias distintas: 

  • Entidades essenciais: operadores críticos com um elevado impacto sistémico (energia, saúde, banca, etc.).
  • Entidades importantes: organizações de setores estratégicos que, embora relevantes, têm um impacto menor em caso de interrupção.
  • Entidades públicas relevantes: uma categoria específica do quadro português que agrupa organismos da administração pública que gerem dados ou serviços sensíveis.

Para fazer esta distinção, a regulamentação lista de forma exaustiva os setores obrigados, dividindo-os em dois grandes grupos consoante o seu nível de criticidade: 

Setores de alta criticidade (Anexo I):

  • Energia: eletricidade, redes de aquecimento e arrefecimento, petróleo, gás e hidrogénio. 
  • Transportes: aéreo, ferroviário, marítimo e rodoviário. 
  • Banca: instituições de crédito. 
  • Infraestruturas dos mercados financeiros: operadores de plataformas de negociação e contrapartes centrais. 
  • Saúde: prestadores de cuidados de saúde, laboratórios de referência, investigação (I&D) farmacêutica e fabrico de medicamentos. 
  • Água potável: fornecedores e distribuidores. 
  • Águas residuais: empresas de recolha, eliminação ou tratamento. 
  • Infraestrutura digital: fornecedores de serviços na cloud, centros de dados, redes de telecomunicações, fornecedores de DNS, etc. 
  • Gestão de serviços TIC: fornecedores de serviços geridos (MSP) e de segurança (MSSP) entre empresas (B2B). 
  • Administração pública: entidades da administração central e regional (que em Portugal compõem as entidades públicas relevantes). 
  • Espaço: operadores de infraestruturas terrestres associadas ao espaço.

Outros setores críticos (Anexo II): 

  • Serviços postais e de correio (estafetas). 
  • Gestão de resíduos. 
  • Indústria química: fabrico, produção e distribuição de substâncias químicas. 
  • Alimentação: produção, transformação e distribuição grossista de alimentos. 
  • Fabrico: inclui o fabrico de dispositivos médicos, produtos informáticos, eletrónicos e óticos, equipamento elétrico, máquinas, veículos automóveis e outro material de transporte. 
  • Fornecedores digitais: mercados online (marketplaces), motores de pesquisa e plataformas de redes sociais. 
  • Investigação: organizações e institutos de investigação.

A classificação final de uma empresa como “essencial” ou “importante” definirá o seu nível de supervisão (sendo mais rigorosa para as essenciais) e dependerá da combinação exata entre o setor a que pertence (dentro destas listas) e a sua dimensão. 

Dimensão da organização: a regra do limiar

Por norma, a NIS2 aplica o que é conhecido como a “regra do limiar de dimensão”. Isto significa que a regulamentação destina-se principalmente a médias e grandes empresas, uma vez que um incidente cibernético nas suas redes teria um maior impacto económico ou social. Os limiares que determinam a entrada automática na diretiva (desde que se pertença aos setores mencionados) são:

  • Ter mais de 50 colaboradores, ou 
  • Ter um volume de negócios ou balanço geral anual superior a 10 milhões de euros.

As empresas que ultrapassam estes limites ficam dentro do seu âmbito de aplicação. No entanto, existem exceções vitais: as microempresas e pequenas empresas (que não atingem esses limiares) também estarão obrigadas a cumprir a NIS2 se oferecerem serviços altamente críticos.

Lista completa de setores e subsetores afetados pela NIS2

Como detalhámos nos pontos anteriores, a diretiva classifica as atividades obrigadas em 18 grandes blocos. De seguida, apresentamos uma tabela resumo com todos os setores, subsetores e a categoria legal que lhe corresponderia, para que possa identificar num ápice em que situação se encontra a sua empresa:

Setor Subsetor / Tipo de entidade Micro e pequenas empresas Médias empresas Grandes organizações
1. Energia Eletricidade, Gás, Petróleo, Hidrogénio: Produtores, comercializadores, gestores de redes, operadores de pontos de carregamento. Não exigido * Entidade importante Entidade essencial
2. Transportes Aéreo, Ferroviário, Marítimo, Rodoviário: Companhias aéreas, gestores de aeroportos/portos, empresas ferroviárias. Não exigido Entidade importante Entidade essencial
3. Setor Financeiro Banca e Infraestruturas: Instituições de crédito, operadores de plataformas de negociação, contrapartes centrais. Não exigido Entidade importante Entidade essencial
4. Saúde Prestadores de cuidados de saúde, laboratórios de referência, investigação (I&D) de medicamentos, fabricantes farmacêuticos. Não exigido Entidade importante Entidade essencial
5. Água Potável e Residual: Fornecedores e distribuidores de água potável, empresas de tratamento de águas residuais. Não exigido Entidade importante Entidade essencial
6. Infraestrutura Digital Prestadores de serviços em nuvem, centros de dados, CDN, redes de telecomunicações, DNS, registos de domínios TLD. Essencial / Importante * Entidade essencial / Importante Entidade essencial
7. Administração Pública Entidades da administração central e regional (exclui defesa, segurança nacional, etc.). N/A N/A Entidade pública relevante
8. Espaço Operadores de infraestruturas terrestres de apoio ao espaço. Não exigido Entidade importante Entidade essencial
9. Serviços Postais Prestadores de serviços postais e de correio. Não exigido Entidade importante Entidade importante
10. Gestão de Resíduos Empresas dedicadas à recolha, eliminação ou tratamento de resíduos. Não exigido Entidade importante Entidade importante
11. Indústria Química Fabrico, produção e distribuição de substâncias químicas. Não exigido Entidade importante Entidade importante
12. Alimentação Produção, transformação e distribuição grossista de alimentos (indústria alimentar, grandes supermercados). Não exigido Entidade importante Entidade importante
13. Fabrico (Indústria Transformadora) Fabricantes de dispositivos médicos, produtos informáticos/eletrónicos, maquinaria, veículos automóveis. Não exigido Entidade importante Entidade importante
14. Fornecedores Digitais Mercados em linha (marketplaces), motores de pesquisa, plataformas de redes sociais. Não exigido Entidade importante Entidade importante

*Notas importantes para entender a tabela:

Critérios de Dimensão (Regra geral):

  • Micro e pequenas empresas: menos de 50 colaboradores e um volume de negócios ou balanço geral anual inferior a 10 milhões de euros. Por norma, ficam excluídas da diretiva.
  • Empresas médias: entre 50 e 249 colaboradores, e um volume de negócios anual até 50 milhões de euros (ou balanço até 43 milhões).
  • Grandes organizações: mais de 250 colaboradores e um volume de negócios anual superior a 50 milhões de euros (ou balanço superior a 43 milhões).

Exceções fundamentais para as micro e pequenas empresas: existem entidades que devem cumprir a NIS2 independentemente da sua dimensão. Estas incluem: fornecedores de redes públicas de comunicações eletrónicas, prestadores de serviços de confiança (assinaturas eletrónicas), registos de nomes de domínio de topo (TLD) e entidades que sejam o único fornecedor de um serviço crítico em Portugal.

Então, se sou uma pequena empresa, a NIS2 não me afeta?

É muito tentador pensar que, por não atingir os 50 colaboradores ou os 10 milhões de euros de faturação, a sua PME está automaticamente isenta de cumprir a diretiva. No entanto, a realidade é que sim, pode afetá-lo, e pode fazê-lo por duas vias muito distintas:

1. Afetação direta

Como vimos nos pontos anteriores, a própria lei estabelece que a dimensão não importa se a sua empresa oferece serviços que são altamente críticos para a sociedade ou para a economia. Terá de cumprir a NIS2 obrigatoriamente, mesmo que sejam uma microempresa, se o seu negócio for:

  • Um fornecedor de redes públicas de comunicações ou serviços de comunicações eletrónicas. 
  • Um prestador de serviços de confiança (por exemplo, emissão de assinaturas ou certificados eletrónicos). 
  • Um registo de nomes de domínio de topo (TLD) ou fornecedor de serviços de DNS. 
  • O único fornecedor de um serviço que seja essencial para manter atividades sociais ou económicas críticas a nível nacional.

2. Afetação indireta

Esta é a situação que vai impactar a imensa maioria das PME. Embora a lei não o obrigue de forma direta devido à sua dimensão ou setor, a NIS2 exige às entidades obrigadas que garantam a cibersegurança de toda a sua cadeia de abastecimento

O que significa isto na prática? Que se a sua pequena empresa é fornecedora de uma organização que deve cumprir a NIS2 (por exemplo, oferece suporte informático, software, logística ou manutenção a um banco, a um hospital ou a uma empresa de energia), o seu cliente vai exigir-lhe, por contrato, que aplique medidas de cibersegurança rigorosas. 

Se não o fizer, essa grande empresa ver-se-á obrigada a prescindir dos seus serviços e a procurar outro fornecedor para não se expor a vulnerabilidades nem às multas milionárias da diretiva. Portanto, mesmo sendo uma PME, a cibersegurança já não é opcional: é um requisito comercial indispensável para sobreviver e continuar a operar no mercado B2B. 

Em que se diferenciam as três categorias?

Dado que o quadro legal português divide as organizações afetadas nestas três categorias, é importante saber como são supervisionadas e avaliadas:

  • Entidades essenciais: ao terem um impacto crítico no país, sofrem uma supervisão proativa. Ou seja, as autoridades (lideradas pelo Centro Nacional de Cibersegurança – CNCS) far-lhes-ão auditorias e inspeções periódicas para verificar se cumprem a lei, e estas enfrentam as multas mais pesadas: sanções até 10.000.000 € ou um máximo de 2% do volume de negócios anual a nível mundial. 
  • Entidades importantes: têm uma supervisão reativa. Por norma, o Governo só as investigará ou inspecionará se sofrerem um ciberataque grave ou se houver provas de que estão a incumprir a regulamentação. As multas máximas também são inferiores, atingindo até aos 7.000.000 € ou um máximo de 1,4% do volume de negócios anual a nível mundial. 
  • Entidades públicas relevantes: sendo uma categoria específica para os organismos públicos, têm a obrigação de cumprir medidas de segurança adicionais estabelecidas pelo CNCS através de um regulamento específico, enfrentando um regime sancionatório local exclusivo com multas que variam entre os 10.000 € e os 5.000.000 € em caso de incumprimento.

Exemplos práticos de aplicação da NIS2 

Para entender melhor como se cruzam todos os critérios que vimos (setor, dimensão e criticidade), vamos analisar dois cenários quotidianos no setor privado.

Caso 1: A empresa que SIM, está afetada

Imagine uma empresa chamada “Distribuições Alimentares do Sul”.

  • Setor: dedica-se à distribuição grossista de alimentos (Setor incluído no Anexo II: Outros setores críticos).
  • Dimensão: tem 120 colaboradores e uma faturação anual de 15 milhões de euros.

A NIS2 afeta-a? Sim. Ao ter mais de 50 colaboradores e ultrapassar os 10 milhões de euros de faturação, cumpre a “regra do limiar de dimensão” (é uma média empresa). Como pertence a um setor do Anexo II, a diretiva classifica-a automaticamente como uma “entidade importante”. Terá de aplicar as medidas de cibersegurança exigidas e notificar qualquer incidente grave ao CNCS, embora as inspeções só se realizem de forma reativa caso haja algum problema.

Caso 2: A empresa que NÃO está afetada diretamente

Imagine agora uma empresa chamada “Transportes Rápidos Locais”.

  • Setor: dedica-se ao transporte rodoviário de mercadorias (Setor incluído no Anexo I: Setores de alta criticidade).
  • Dimensão: é uma empresa familiar com 25 colaboradores e uma faturação anual de 3 milhões de euros.

A NIS2 afeta-a? Não de forma direta. Apesar de operar num setor de alta criticidade (transporte), esta empresa não atinge os limiares mínimos de dimensão (menos de 50 colaboradores e menos de 10 milhões de faturação), pelo que é considerada uma pequena empresa. Por não ser o fornecedor exclusivo de um serviço crítico a nível nacional, fica excluída da obrigação legal direta. Mas, como vimos no ponto anterior, se esta empresa for contratada por uma grande cadeia de supermercados que deve cumprir a NIS2, essa grande empresa poderá exigir-lhe por contrato que melhore a sua cibersegurança, vendo-se afetada de forma indireta pela cadeia de abastecimento.

Artigos Relacionados