Diretiva NIS 2 transposta em Portugal: Decreto-Lei n.º 125/2025 publicado

Os órgãos de gestão, direção e administração de entidades essenciais e importantes são responsáveis por aprovar as medidas de gestão de risco de cibersegurança, supervisionar a aplicação de medidas e assegurar a periodicidade regular de ações de formação em cibersegurança.

Os titulares destes órgãos podem responder por ação ou omissão, com dolo ou culpa grave, pelas infrações previstas no diploma. A responsabilidade e os poderes necessários para cumprir as obrigações destes órgãos não podem, em regra, ser delegados, exceto a um dos seus titulares.

As entidades essenciais e importantes devem adotar, seguindo uma abordagem sistémica, as medidas técnicas, operacionais e organizativas adequadas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação, bem como para impedir ou minimizar o impacto de incidentes. As medidas devem ser adequadas ao risco em causa e proporcionais ao grau de exposição da entidade.

As entidades essenciais e importantes devem adotar, tendo em consideração a matriz de risco definida, medidas de cibersegurança, nomeadamente, nas seguintes áreas:

• Tratamento de incidentes;
• Continuidade de atividades;
• Segurança da cadeia de abastecimento;
• Segurança na aquisição, desenvolvimento e manutenção dos sistemas de rede e de informação;
• Políticas e procedimentos para avaliar a eficácia das medidas de gestão de risco de cibersegurança;
• Práticas básicas de ciber-higiene e formação em cibersegurança;
• Políticas e procedimentos relativos à utilização de criptografia e de cifragem;
• Segurança dos recursos humanos;
• Utilização de autenticação multifator, entre outras.

As entidades públicas relevantes devem cumprir com as medidas de cibersegurança estabelecidas pelo CNCS através de regulamento.

As medidas de cibersegurança a adotar relativas à segurança da cadeia de abastecimento devem considerar:

• As vulnerabilidades de cada fornecedor direto e de cada prestador de serviços;
• A qualidade global dos produtos na componente de cibersegurança;
• As práticas de cibersegurança dos fornecedores e prestadores;
• As avaliações coordenadas dos riscos de segurança de cadeias de abastecimento de produtos de TIC, sistemas de TIC ou serviços de TIC críticos;
• As decisões relativas a aplicações de restrições à utilização, a cessação de utilização ou exclusão de equipamentos, componentes ou serviços de tecnologias de informação e comunicação.

As entidades essenciais e importantes devem realizar e documentar uma análise e gestão de riscos, por referência a todos os ativos que garantam a continuidade do funcionamento das redes e sistemas de informação que usam, em moldes a definir pelo CNCS. Com base em tal avaliação, devem ser adotadas medidas adequadas e proporcionais de forma a gerir os riscos.

As entidades essenciais e importantes devem elaborar e manter um relatório anual que contenha, nomeadamente, os seguintes elementos relativos ao ano civil a que se reporta:

• Descrição sumária das principais atividades desenvolvidas em matéria de segurança das redes e serviços de informação;
• Estatística trimestral de todos os incidentes, com indicação do número e do tipo dos incidentes;
• Análise agregada dos incidentes com impacto significativo;
• Recomendações de atividades, de medidas ou de práticas que promovam a melhoria da segurança das redes e dos sistemas de informação;
• Problemas identificados e medidas implementadas na sequência dos incidentes;
• Qualquer outra informação que se considere relevante.

Este relatório é enviado à autoridade de cibersegurança competente, o CNCS. No caso das entidades importantes, quando solicitado.

As entidades essenciais e importantes devem designar e comunicar ao CNCS, no prazo de 20 dias úteis a contar do início da atividadeou, caso já tenham iniciado a sua atividade antes da entrada em vigor do presente Regime, no prazo de 20 dias úteis a partir dessa data (isto é, até ao dia 4 de maio de 2026), um responsável pela cibersegurança. Este responsável, encarregado da gestão da cibersegurança e da segurança da informação, deve ser membro dos órgãos de gestão da entidade ou, em alternativa, estar organicamente subordinado a estes de forma direta.

O responsável de cibersegurança tem, pelo menos, as seguintes funções:

• Propor medidas de gestão de riscos de cibersegurança, incluindo na cadeia de abastecimento.
• Informar os órgãos responsáveis sobre as medidas de gestão de riscos de cibersegurança.
• Auxiliar no cumprimento das medidas de supervisão e execução.
• Promover uma cultura de cibersegurança, propondo ações de formação.
• Gerir o risco residual.
• Garantir a elaboração do relatório anual.
• Coordenar as ações do ponto de contacto permanente, se não estiver sob sua responsabilidade.

De igual forma, as entidades essenciais e importantes devem assegurar e comunicar ao CNCS, também no prazo de 20 dias úteis a contar do início da atividade ou, caso já tenham iniciado a sua atividade antes da entrada em vigor do presente Regime, no prazo de 20 dias úteis a partir dessa data (isto é, até ao dia 4 de maio de 2026), um ponto de contacto permanente com disponibilidade contínua de 24 horas por dia e de sete dias por semana.

Este ponto de contacto deverá assegurar, designadamente:

• Os fluxos de informação operacional e técnica com a autoridade de cibersegurança;
• A partilha de informação com a autoridade de cibersegurança durante a ativação de planos de emergência ou resiliência relacionados com a cibersegurança;
• A aplicação dos procedimentos definidos em planos de emergência de proteção civil que impactem as redes e sistemas de informação; e
• A receção de orientações, recomendações, instruções técnicas e ordens emitidas pela autoridade de cibersegurança.

O CNCS pode exigir às entidades essenciais, importantes e públicas relevantes:

• A obtenção de certificação em cibersegurança, nacional, europeia, ou internacional, que ateste o cumprimento das medidas de cibersegurança do presente regime, assegurando, em todo o caso, uma matriz de equivalência com esquemas de certificação de referência; e
• A utilização de produtos, serviços e processos, todos de TIC, desenvolvidos pela entidade ou fornecidos por terceiros, certificados no âmbito de sistemas nacionais e europeus de certificação da cibersegurança.

As entidades essenciais, importantes e públicas relevantes devem notificar à autoridade de cibersegurança competente qualquer incidente significativo – que, para efeitos do presente regime, corresponde a um incidente que:

• Cause, ou seja suscetível de causar, graves perturbações operacionais dos serviços ou perdas financeiras à entidade em causa;
• Afete, ou seja suscetível de afetar outras pessoas singulares ou coletivas, causando danos materiais ou imateriais consideráveis.

Ao notificar à autoridade de cibersegurança competente a ocorrência de um incidente significativo, as entidades essenciais, importantes e públicas relevantes devem considerar os seguintes parâmetros:

• Número de utilizadores afetados pela perturbação do serviço;
• Número total de utilizadores do serviço perturbado;
• A duração do incidente;
• O nível da gravidade da perturbação do funcionamento do serviço;
• A dimensão do impacto nas atividades económicas e sociais.

Por cada incidente sujeito a notificação obrigatória, as entidades essenciais, importantes e públicas e relevantes devem submeter:

• Uma notificação inicial, assim que se concluir que existe ou que possa a vir existir um incidente significativo, sem demora injustificada e até 24 horas (autoridade deve responder no prazo de 24 horas);
• Uma notificação de fim de impacto significativo, sem demora injustificada e dentro do prazo de 24 horas após o fim do impacto;
• Um relatório final, no prazo de 30 dias úteis a contar da data de notificação do fim de impacto significativo do incidente.

As entidades essenciais, importantes e públicas relevantes podem ainda ser notificadas pelas autoridades para apresentar um relatório intercalar.

As entidades comunicam a ocorrência aos destinatários dos serviços, sem demora injustificada, quando o incidente significativo seja suscetível de os afetar negativamente.

Se o incidente puder implicar uma violação de dados pessoais, a autoridade deve informar a CNPD.

Os poderes de supervisão e de sancionamento são distintos consoante o tipo de entidade em causa.

As entidades essenciais estão sujeitas a um regime de supervisão mais abrangente, tanto ex ante como ex post – as autoridades podem realizar:

• Inspeções no local e supervisão remota;
• Auditorias de segurança, regulares ou direcionadas, ou auditorias ad hoc, designadamente com fundamento na verificação de incidente significativo;
• Verificações de segurança;
• Pedidos de informações, acesso a dados e evidências necessárias para avaliar o cumprimento e a aplicação das medidas, políticas e procedimentos de cibersegurança.

As entidades importantes e públicas relevantes estão sujeitas a um regime de supervisão mais leve, apenas ex post – as autoridades podem levar a cabo:

• Apenas inspeções no local e a supervisão ex post remota; e
• As restantes medidas supra referidas em relação às entidades essenciais.

O incumprimento das obrigações previstas no Novo Regime Jurídico da Cibersegurança pode ser sancionado com coimas até €10 milhões ou 2% do volume de negócios anual a nível mundial, bem como sanções acessórias ou sanções pecuniárias compulsórias.

As decisões ou quaisquer medidas adotadas e aplicadas pelas autoridades são impugnáveis para os tribunais judiciais.

O Novo Regime Jurídico da Cibersegurança entrará em vigor 120 dias após a sua publicação (isto é, no dia 3 de abril de 2026), devendo o CNCS aprovar as normas regulamentares de execução, nomeadamente quanto ao funcionamento da plataforma eletrónica, Quadro Nacional de Referência para a Cibersegurança e medidas de cibersegurança mínimas. Após a aprovação destas normas regulamentares, iniciar-se-á o prazo de 24 meses para a produção de efeitos de algumas das normas do novo regime.

Assim, é essencial que as organizações avaliem o âmbito de aplicação, de forma a identificar se, direta ou indiretamente, estão cobertas por este diploma. Após esta avaliação, deve ser assegurada a auto-identificação da entidade junto do CNCS.

Com vista a identificar, em concreto, os próximos passos a adotar, as organizações devem mapear as obrigações e avaliar, de um ponto de vista legal, processual e tecnológico, qual o seu nível de cumprimento das novas regras. Só após esta avaliação, é possível identificar as medidas mais adequadas à organização, considerando desde logo o risco, os níveis de dependência de terceiros, o setor de atividade e o modelo de governance da entidade.

A antecipação é fundamental, de forma a que as organizações retirem o melhor partido do processo e minimizem os riscos de incumprimento.