Está finalmente publicado o novo Regime Jurídico da Cibersegurança (DL n.º 125/2025), que transpõe a diretiva europeia NIS2 e estabelece um dos quadros legais mais exigentes da UE para proteção contra ciberataques. O diploma entra em vigor a 3 de abril, impondo obrigações reforçadas a entidades públicas e privadas, em especial nos setores críticos. E vem reforçar os poderes de algumas entidades, como o CNCS. A ANACOM passa a ser Autoridade Nacional Sectorial de Cibersegurança, ficando com a área das comunicações eletrónicas e do serviço postal.
O novo regime define entidades essenciais, importantes e públicas relevantes, que passam a ter de cumprir medidas obrigatórias de gestão de risco, resposta a incidentes e segurança na cadeia de fornecimento. As coimas podem atingir 10 milhões de euros ou 2% do volume de negócios anual global, sublinhando o peso regulatório da NIS2.
O Centro Nacional de Cibersegurança (CNCS) assume agora o papel de autoridade nacional, com poderes para impor medidas corretivas, suspender serviços e supervisionar a execução das normas. O regime alarga ainda o quadro institucional, em relação ao anterior, estabelecendo autoridades de supervisão setoriais e especiais, garantindo maior estabilidade e aliviando as funções transversais do CNCS.
O diploma aprofunda três instrumentos essenciais das políticas públicas. A começar pela Estratégia Nacional de Segurança do Ciberespaço, que define prioridades e objetivos estratégicos. Assim como o Plano Nacional de Resposta a Crises e Incidentes de Cibersegurança em grande escala, que regula a gestão de incidentes. E o Quadro Nacional de Referência para a Cibersegurança, que reúne normas, padrões e boas práticas.
O diploma redefine também a Comissão de Avaliação de Segurança (CAS), responsável pela análise de riscos tecnológicos - estrutura que fundamentou a exclusão de fornecedores de alto risco no 5G. As decisões anteriores mantêm-se válidas por 180 dias, sendo alvo de nova avaliação.
E introduz ainda a regulação do ethical hacking, permitindo a identificação responsável de vulnerabilidades sem sanções penais, desde que cumpridos critérios estritos de boa-fé.
Com a entrada em vigor marcada para abril, inicia-se uma das maiores reformas nacionais na proteção do ciberespaço, elevando o padrão de resiliência digital, em linha com as exigências europeias.
Assumindo-se como infraestrutura essencial apara a gestão integrada do território
