Já está em vigor em Portugal o novo regime jurídico da cibersegurança, aprovado pelo Decreto-Lei n.º 125/2025, que transpõe a Diretiva europeia NIS2 para o ordenamento nacional. O diploma introduz um conjunto alargado de obrigações para entidades públicas e privadas, com impacto direto na forma como as organizações gerem o risco, protegem sistemas e respondem a incidentes.
O novo enquadramento surge num contexto de aumento da sofisticação dos ciberataques e de maior dependência digital das economias, alargando significativamente o número de entidades abrangidas face ao regime anterior. Setores como energia, transportes, saúde, banca, telecomunicações, administração pública, serviços digitais e infraestruturas críticas passam a estar sujeitos a requisitos mais exigentes.
Um dos elementos centrais da nova legislação é o processo de qualificação das entidades, que permitirá distinguir entre entidades essenciais e importantes, em função da criticidade das suas atividades. Esta classificação determinará o nível de exigência regulatória, incluindo requisitos de segurança, auditoria e reporte.
Para operacionalizar este modelo, será criada uma plataforma eletrónica que permitirá às organizações proceder à sua autoidentificação, registo obrigatório e comunicação com as autoridades competentes, bem como à notificação de incidentes de cibersegurança. No entanto, a entrada em funcionamento desta plataforma depende ainda da aprovação do regulamento associado ao regime, atualmente em consulta pública.
Quando a plataforma estiver disponível, as empresas terão prazos definidos para cumprir as novas obrigações. As entidades que iniciem atividade após a entrada em vigor da lei dispõem de 30 dias para se registarem. Já as organizações em atividade terão 60 dias para proceder à sua identificação. Após esse processo, a autoridade competente - que poderá ser o Centro Nacional de Cibersegurança, a ANACOM ou o Gabinete Nacional de Segurança, consoante o setor - terá 30 dias para comunicar a classificação atribuída.
Para além do registo, as entidades abrangidas terão de implementar medidas concretas de gestão de risco, incluindo políticas de segurança, controlo de acessos, proteção da cadeia de abastecimento, planos de continuidade de negócio e mecanismos de deteção e resposta a incidentes. O regime reforça também as obrigações de reporte, impondo prazos mais curtos para a notificação de incidentes relevantes.
Outro aspeto relevante é o aumento do nível de responsabilização das organizações e das suas equipas de gestão, com a introdução de requisitos mais rigorosos em matéria de governação da cibersegurança e possíveis sanções em caso de incumprimento.
Face à complexidade do novo regime, o Centro Nacional de Cibersegurança vai disponibilizar orientações técnicas e ferramentas de apoio para facilitar a adaptação das organizações. Ainda assim, os especialistas têm alertado que muitas empresas, em particular PME, poderão enfrentar dificuldades na implementação dos requisitos, nomeadamente ao nível de recursos e competências.
Com a entrada em vigor da NIS2, Portugal alinha-se com o reforço do quadro europeu de cibersegurança, num momento em que a proteção de infraestruturas digitais e a resiliência das organizações assumem um papel central na estabilidade económica e institucional.
