- O Decreto-Lei n.º 125/2025 formaliza a transposição para Portugal da Diretiva (UE) 2022/2555, conhecida como NIS2, com efeitos no segundo trimestre de 2026.
- O alargamento do âmbito e as novas obrigações tornam direta a responsabilidade da gestão de topo, integrando a cibersegurança na estratégia das organizações.
- O diploma clarifica funções internas, distinguindo de forma mais rigorosa o papel do responsável pela cibersegurança (CISO) e do responsável pela proteção de dados (DPO).
- O regime de reporte ficou mais exigente: incidentes significativos devem ser comunicados às autoridades no prazo de 24 horas após deteção, com coimas até 10 milhões de euros ou 2% do volume de negócios.
- As empresas devem iniciar já revisões internas e formação executiva, preparando o caminho para o Cyber Resilience Act, com impacto em setores críticos e cerca de 160 mil entidades na União Europeia.
A publicação do Decreto-Lei n.º 125/2025 formaliza a transposição para Portugal da diretiva europeia NIS2 (UE 2022/2555). O diploma entra em vigor no segundo trimestre de 2026, abrindo um período para as organizações reviarem processos internos e se alinharem ao novo quadro de cibersegurança.
A NIS2 amplia o âmbito de aplicação para cerca de 160 mil entidades na UE e reforça a resiliência digital. A gestão de topo passa a ter responsabilidades diretas, integrando a cibersegurança na estratégia corporativa e na comunicação de políticas, procedimentos e incidentes.
Entre as mudanças importantes estão a clarificação de funções internas, com distinção entre CISO e DPO, e um regime de reporte mais exigente capaz de acelerar a resposta entre entidades públicas e privadas. A formação executiva em cibersegurança também fica reforçada.
Obrigações, sanções e prazos
Incidentes significativos devem ser comunicados às autoridades no prazo de 24 horas após a deteção, num processo faseado. As sanções incluem coimas até 10 milhões de euros ou 2% do volume de negócios anual, dependendo da gravidade e do sector.
Executivos passam a exigir formação atualizada em cibersegurança, aumentando a responsabilidade na tomada de decisões. As empresas são incentivadas a iniciar já revisões internas e medidas técnicas para preparar o caminho ao Cyber Resilience Act.
Desafios de implementação e impacto setorial
Estudos indicam que muitas empresas portuguesas não estão totalmente preparadas para este ciclo regulatório. O ritmo regulatório europeu estende-se a infraestruturas críticas, transportes, energia, telecomunicações, água, banca, saúde e serviços digitais.
A Lei da Resiliência reforça pedidos de continuidade operacional no sector financeiro, enquanto as regras sobre cadeias de abastecimento trazem obrigações de diligência em direitos humanos e ambiente, com impacto na avaliação de fornecedores.
Perspetivas para o futuro
A entrada em vigor da NIS2, alinhada ao Decreto-Lei n.º 125/2025, marca uma fase determinante no panorama nacional de cibersegurança. O foco está nas organizações com elevado grau de interdependência digital e na adaptação a ameaças em evolução.
