Ir para o conteúdo
Factorial IT

Diretiva NIS2 em Portugal: tudo o que precisa de saber

·
9 minutos de leitura
A SUA EMPRESA ESTÁ PREPARADA PARA A NIS2?
Centralize dispositivos e acessos, automatize políticas de segurança e prepare-se melhor para cumprir a NIS2 e enfrentar auditorias. Descubra mais sobre a Factorial IT
Escrito por

A cibersegurança já não é apenas um assunto do departamento de TI, mas tornou-se numa questão fundamental para a continuidade de qualquer organização. O aumento dos ciberataques na Europa levou a União Europeia a reforçar o seu quadro normativo com a Diretiva NIS2, uma norma que amplia as obrigações em matéria de segurança digital para milhares de empresas. 

Em Portugal, a sua aplicação realiza-se através do Decreto-Lei n.º 125/2025, o que implicará novas exigências na gestão de riscos, notificação de incidentes e responsabilidade direta da gestão de topo. Neste artigo, explicamos-lhe tudo o que precisa de saber sobre a diretiva NIS2 e como esta afeta as organizações portuguesas.

O que é a normativa NIS2?

A diretiva NIS2 (Diretiva (UE) 2022/2555) é a nova normativa europeia em matéria de cibersegurança que substitui e amplia o âmbito da anterior diretiva NIS (aprovada em 2016). O seu objetivo é reforçar o nível comum de segurança das redes e sistemas de informação em toda a União Europeia. 

Adotada em 2022, a NIS2 responde a um contexto marcado pelo aumento de ciberataques, ameaças híbridas e uma crescente dependência digital por parte de empresas e administrações públicas. Em Portugal, a sua aplicação realiza-se através do Decreto-Lei n.º 125/2025, que estabelece requisitos mais rigorosos em matéria de:

  • Gestão de riscos de cibersegurança. 
  • Notificação obrigatória de incidentes graves à autoridade nacional (CNCS). 
  • Supervisão e controlo por parte das autoridades portuguesas. 
  • Responsabilidade direta dos órgãos de gestão.

Uma das principais novidades da NIS2 é o alargamento do número de setores e entidades obrigadas a cumprir a normativa, incluindo não apenas os operadores essenciais clássicos (energia, transportes, saúde), mas também setores como os serviços digitais, resíduos, indústria transformadora, fornecedores de TIC e outras entidades importantes segundo a classificação portuguesa. 

Mais do que uma simples atualização normativa, a NIS2 introduz um quadro homogéneo e mais exigente em toda a UE, que obriga as organizações portuguesas a adotarem uma cultura preventiva e estruturada em matéria de cibersegurança.

Diferença entre NIS2 e NIS1

As principais diferenças entre a Diretiva NIS2 e a Diretiva NIS podem resumir-se da seguinte forma:

  • Maior alcance: a NIS2 amplia o número de setores e empresas obrigadas a cumprir a normativa, incluindo tanto operadores essenciais como entidades importantes segundo a classificação portuguesa. 
  • Mais exigências em cibersegurança: estabelece requisitos mais detalhados na gestão de riscos, políticas internas e segurança da cadeia de abastecimento. 
  • Notificação de incidentes mais rigorosa: fixa prazos mais concretos e procedimentos mais claros para comunicar incidentes graves à autoridade nacional (CNCS). 
  • Mais supervisão e sanções: reforça o controlo por parte das autoridades portuguesas e endurece o regime sancionatório. 
  • Responsabilidade da direção: implica diretamente os órgãos de administração no cumprimento da normativa.

Objetivos da normativa NIS2

A diretiva NIS2 surgiu com o intuito de fortalecer a cibersegurança em todo o território da União Europeia e acompanhar o ritmo de um mundo digital cada vez mais complexo e vulnerável a riscos e ameaças. Não se trata apenas de estabelecer normas e obrigações, mas de criar um quadro para elevar o nível de segurança das organizações, incluindo aquelas em Portugal, onde se aplica mediante o Decreto-Lei n.º 125/2025. 

Entre os principais objetivos da normativa NIS2 destacam-se:

  • Garantir um elevado nível comum de cibersegurança dentro da UE, harmonizando os requisitos entre os países membros, incluindo Portugal. 
  • Melhorar a resiliência de entidades essenciais e importantes, minimizando os riscos significativos de interrupções de serviços críticos de acordo com a classificação portuguesa. 
  • Implementar medidas mínimas para a gestão de riscos, incluindo medidas de segurança, análise de ameaças, planos de continuidade, etc. 
  • Melhorar os processos de notificação de incidentes, garantindo uma resposta rápida às autoridades nacionais (CNCS em Portugal). 
  • Melhorar a cooperação e o intercâmbio de informação entre as autoridades nacionais e as instituições europeias. 
  • Melhorar a supervisão e o cumprimento através de um regime sancionatório mais claro e dissuasor, adaptado à legislação portuguesa.

Qual é a situação da NIS2 em Portugal? 

A diretiva NIS2 estabelece um quadro europeu de cibersegurança que obriga os Estados-Membros a atualizar as suas leis nacionais para proteger melhor as entidades essenciais e importantes. Em Portugal, esta transposição já foi realizada através do Decreto-Lei n.º 125/2025, publicado em dezembro de 2025, que incorpora as obrigações da NIS2 na legislação nacional. 

Isto significa que, ao contrário de outros países, Portugal já dispõe de um quadro legal claro e definido, que estabelece prazos, obrigações e sanções concretas para as entidades essenciais e importantes. Entre os aspetos mais relevantes incluem-se:

  • Entrada em vigor: O decreto-lei entrará em vigor a 3 de abril de 2026, marcando o início dos prazos de cumprimento para as organizações afetadas. 
  • Registo obrigatório de entidades: todas as organizações classificadas como essenciais, importantes ou públicas relevantes devem registar-se formalmente junto do CNCS (Centro Nacional de Cibersegurança). Segundo o quadro legal português, as empresas dispõem de um prazo de 60 dias para completar este registo através da plataforma eletrónica oficial, assim que esta for ativada após a entrada em vigor da lei. 
  • Alargamento do âmbito: A normativa portuguesa aplica a NIS2 não apenas aos operadores essenciais tradicionais (energia, transportes, saúde), mas também a setores estratégicos como fornecedores de TIC, serviços digitais, indústria transformadora e gestão de resíduos. 
  • Regime sancionatório: Estabelecem-se sanções económicas claras e procedimentos de supervisão por parte do CNCS, com um quadro desenhado para assegurar o cumprimento efetivo da normativa.

Em Portugal, a NIS2 já dispõe de um quadro legal definido, pelo que as empresas e organismos devem focar-se em adaptar os seus sistemas e processos de cibersegurança para cumprir com os requisitos estabelecidos, em vez de esperar pela transposição como ocorria noutros países.

Que empresas estão obrigadas a cumprir a NIS2?

A diretiva NIS2 amplia consideravelmente o âmbito face à NIS1. No entanto, a legislação portuguesa (Decreto-Lei n.º 125/2025) introduz uma estrutura de classificação mais específica para garantir a resiliência do país. 

Ao contrário de outros Estados-Membros, em Portugal as obrigações não se limitam apenas a dois grupos, mas dividem-se em três categorias principais:

  • Entidades essenciais: operadores críticos com um elevado impacto sistémico (energia, saúde, banca).
  • Entidades importantes: organizações de setores estratégicos que, embora relevantes, têm um impacto menor em caso de interrupção. 
  • Entidades públicas relevantes: uma categoria específica do quadro português que agrupa organismos da administração pública que gerem dados ou serviços sensíveis.

Para determinar em qual destas categorias se insere uma empresa, a normativa analisa se a sua atividade pertence a algum dos seguintes setores estratégicos em Portugal:

  • Setores da energia e da água: empresas de eletricidade, gás, água e distribuição de combustíveis. 
  • Transportes: companhias de transporte aéreo, ferroviário, marítimo e rodoviário. 
  • Saúde: hospitais, laboratórios e prestadores de cuidados de saúde críticos. 
  • Serviços digitais: plataformas na cloud, motores de busca, fornecedores de infraestrutura digital e comércio eletrónico. 
  • Administração pública e defesa: organismos e entidades que gerem serviços essenciais para a sociedade. 
  • Indústrias críticas: fabrico de produtos essenciais, produção de alimentos, produtos químicos e tecnologias críticas. 
  • Outros fornecedores estratégicos: empresas de gestão de resíduos, telecomunicações e fornecedores de TIC que façam parte de cadeias críticas de abastecimento.

Como regra geral, a NIS2 introduz o critério de exclusão das pequenas empresas. Isto significa que a normativa se aplica principalmente a entidades que superem os limiares de média empresa (mais de 50 colaboradores ou um volume de negócios anual que supere os 10 milhões de euros). 

Apesar desta regra geral, existem certas exceções críticas onde o tamanho da organização não influencia a obrigação de cumprimento. Isto afeta diretamente os fornecedores de redes públicas de comunicações eletrónicas, os prestadores de serviços de confiança e as administrações públicas. Do mesmo modo, qualquer entidade que seja o único fornecedor de um serviço essencial em Portugal deverá cumprir com a normativa independentemente da sua estrutura. 

Esta particularidade obriga as organizações portuguesas a analisar ao detalhe tanto a sua atividade como o seu volume de negócios para confirmar se estão sujeitas à diretiva e ao Decreto-Lei n.º 125/2025.

Sanções por incumprimento da diretiva NIS2

O regime sancionatório da diretiva NIS2 converte a cibersegurança numa prioridade estratégica. Em Portugal, após a transposição através do Decreto-Lei n.º 125/2025, o incumprimento pode acarretar multas avultadas e medidas administrativas severas supervisionadas pelo CNCS.

Valor das multas administrativas

A normativa distingue entre duas categorias de entidades. Aplicar-se-á sempre o valor mais elevado entre o montante fixo e a percentagem do volume de faturação:

Tipo de entidade Multa máxima (montante fixo) Multa máxima (% faturação)
Entidades essenciais Até 10.000.000 € Até 2% do volume de negócios anual total a nível mundial.
Entidades importantes Até 7.000.000 € Até 1,4% do volume de negócios anual total a nível mundial. 

 

Valor das multas administrativas 

Um dos aspetos mais críticos da NIS2 é que não sanciona apenas a empresa, mas aponta diretamente aos seus líderes:

  • Responsabilidade pessoal: os órgãos de gestão devem aprovar e supervisionar as medidas de gestão de riscos. Se se demonstrar negligência, podem enfrentar sanções individuais segundo a normativa portuguesa. 
  • Inibição temporária: em casos de infrações graves e reiteradas, o CNCS pode suspender temporariamente os gestores das suas funções. 
  • Obrigação de formação: os gestores que não tenham recebido a formação obrigatória em cibersegurança verão a sua responsabilidade agravada em caso de incidente.

Como preparar-se para cumprir com a NIS2?

Ao contrário de normativas anteriores, a NIS2 é de cumprimento obrigatório e requer que as empresas adotem uma abordagem contínua de gestão de riscos, não apenas ações pontuais. 

Em Portugal, após a entrada em vigor do Decreto-Lei n.º 125/2025, as organizações podem começar a preparar-se seguindo cinco pilares estratégicos básicos:

1. Identificar se a empresa está sujeita à NIS2

  • Determinar se se trata de uma entidade essencial ou entidade importante consoante o setor e a dimensão, de acordo com a normativa portuguesa. 
  • Realizar um gap analysis para comparar a segurança atual com os requisitos da diretiva. 
  • Manter um inventário atualizado de ativos de TI e TO.

2. Governação e compromisso da gestão de topo

  • Assegurar que a gestão de topo supervisione e apoie ativamente as políticas de cibersegurança. 
  • Designar formalmente um responsável de segurança da informação com autoridade e recursos adequados. 
  • Comunicar ao CNCS a identidade desse responsável e um ponto de contacto permanente (24/7) num prazo máximo de 20 dias úteis após a entrada em vigor do decreto a 3 de abril de 2026.

3. Medidas técnicas mínimas

  • Estabelecer políticas de segurança, controlo de acessos e gestão de vulnerabilidades. 
  • Implementar autenticação multifator (MFA) e formação contínua para os colaboradores. 
  • Contar com cópias de segurança e planos de recuperação de desastres (DRP) testados.

4. Gestão da cadeia de abastecimento

  • Avaliar a segurança de fornecedores e de terceiros críticos. 
  • Incluir cláusulas de cibersegurança em contratos e exigir certificações reconhecidas, como a ISO 27001, adaptadas ao contexto português.

5. Sistema de notificação de incidentes

  • Preparar protocolos claros para alerta precoce (24h), notificação detalhada (72h) e relatório final (1 mês). 
  • Alinhar os procedimentos com a autoridade nacional (CNCS) facilita a adaptação e o cumprimento da normativa portuguesa.

Como é que a Factorial IT o ajuda a cumprir a NIS2? 

A NIS2 obriga as empresas a passar de controlos pontuais para uma gestão de riscos constante, com evidências claras e uma governação sólida. Isto significa manter um inventário atualizado, gerir acessos, aplicar medidas técnicas mínimas, supervisionar a cadeia de abastecimento e contar com um processo estruturado de notificação de incidentes (alerta precoce em 24h, notificação detalhada em 72h e relatório final em 1 mês), em conformidade com o Decreto-Lei n.º 125/2025 em Portugal. 

Na Factorial IT, transformamos estes requisitos num “motor operativo”: automatizamos processos, definimos políticas e geramos registos que pode apresentar em auditorias perante o CNCS.

  • Inventário e análise de riscos: mantemos um inventário vivo de dispositivos e do seu estado de segurança, mostrando num painel central quem tem cada equipamento e se este está atualizado, encriptado ou se cumpre com os standards. Cada ativo está associado ao seu utilizador e ao seu ciclo de vida, facilitando revisões e auditorias no contexto português.

  • Medidas técnicas e controlo de acessos: gerimos a encriptação e as atualizações (patches) automaticamente, identificamos vulnerabilidades e reforçamos a autenticação através de SSO e MFA com fornecedores como o Google Workspace, o Microsoft Entra ID ou a Okta, assegurando que os sistemas cumprem desde o primeiro dia os requisitos da NIS2 em Portugal.
  • Onboarding e offboarding: interligamos as admissões e saídas de colaboradores com os RH para aprovisionar ou revogar acessos de forma automática, evitando contas inativas e garantindo que os dispositivos sejam entregues já configurados de acordo com as políticas de segurança.

  • Resposta a incidentes: oferecemos ferramentas de bloqueio e limpeza remotos, registos detalhados de ações administrativas e acompanhamento de incidentes, assegurando que a empresa possa reagir rapidamente e documentar tudo corretamente perante as autoridades portuguesas.
  • Cadeia de abastecimento e auditoria: ajudamos a identificar software e serviços não autorizados, a integrar evidências em plataformas de compliance como a Vanta ou a Drata, e a gerar logs prontos para auditoria sem trabalho manual, facilitando o cumprimento do Decreto-Lei n.º 125/2025.
  • Controlo de prazos legais sem stress: O Decreto-Lei n.º 125/2025 impõe uma contagem decrescente muito rigorosa para as empresas portuguesas, como o limite de 60 dias para o registo oficial da entidade ou os 20 dias úteis para notificar os responsáveis de segurança junto do CNCS. Com a Factorial IT, tem toda a informação da sua infraestrutura e as evidências de segurança centralizadas num único painel. Isto permite-lhe ter os dados prontos a exportar em segundos, garantindo que cumpre automaticamente e sem constrangimentos os prazos administrativos e as auditorias da autoridade portuguesa.

Guillem Moreso
Passionate about helping companies simplify and modernize IT. I write about device management, SaaS, security, compliance, and the everyday challenges IT teams face.