A NIS2 e o DL 125/2025
Origem, âmbito e classificação de entidades
Cenario de abertura
Imagine que é CISO de um hospital com 600 colaboradores. Numa segunda-feira de manhã, o CEO envia-lhe um email: «Ouvi falar da NIS2 num congresso. Estamos abrangidos? O que precisamos de fazer?» Esta situação repete-se em centenas de organizações portuguesas neste momento.
Origem e contexto europeu
A Diretiva (UE) 2022/2555, conhecida como NIS2, foi publicada a 14 de dezembro de 2022 e revogou a Diretiva NIS original de 2016. O principal objetivo foi ampliar o âmbito de aplicação, reforçar os requisitos de segurança e harmonizar as sanções em toda a União Europeia. Em Portugal, a transposição foi feita pelo Decreto-Lei n.º 125/2025, de 4 de dezembro de 2025, que entrou em vigor a 3 de abril de 2026. O diploma designa o Centro Nacional de Cibersegurança (CNCS) como autoridade competente nacional e regula todo o processo de qualificação e supervisão.
Setores abrangidos
O DL 125/2025 abrange 18 setores distintos, organizados em dois anexos. O Anexo I reúne 11 setores de alta criticidade: energia, transportes, banca, infraestruturas do mercado financeiro, saúde, água potável, águas residuais, infraestrutura digital, gestão de serviços TIC, espaço e administração pública. O Anexo II inclui 7 setores importantes: serviços postais e de estafeta, gestão de resíduos, fabrico, produção e distribuição de produtos químicos, produção, transformação e distribuição de alimentos, indústria transformadora, fornecedores digitais e investigação. Esta distinção é relevante porque determina o tipo de supervisão a que a entidade fica sujeita.
Critério dual de dimensão
Pertencer a um setor abrangido não é suficiente para uma entidade ser qualificada. Aplica-se também um critério de dimensão. Uma entidade é considerada de média dimensão se tiver 50 ou mais colaboradores ou volume de negócios anual superior a 10 milhões de euros. Uma entidade é considerada de grande dimensão se tiver 250 ou mais colaboradores ou volume de negócios superior a 50 milhões de euros (e balanço total superior a 43 milhões de euros). Entidades abaixo do limiar de média dimensão ficam, em regra, fora do âmbito, salvo designação específica pelo CNCS.
Operadores Essenciais e Operadores Importantes
As entidades abrangidas dividem-se em dois tipos. Operadores Essenciais (OE) são entidades do Anexo I que sejam de grande dimensão, ou que pertençam a certos subsetores (como infraestrutura digital e administração pública central), ou que sejam especificamente designadas pelo CNCS. Operadores Importantes (OI) são todas as entidades abrangidas que não se qualifiquem como OE, incluindo entidades de média dimensão do Anexo I e todas as entidades do Anexo II. Esta classificação determina as obrigações concretas, os prazos e a intensidade da supervisão.
Por que a NIS2 existe
Em 2026, o contexto de ameaças justifica plenamente a regulação. O grupo Volt Typhoon, ligado a atores estatais, continua a infiltrar infraestruturas críticas em vários países, incluindo instalações de saúde e energia, com o objetivo de criar capacidade de perturbação futura em períodos de crise geopolítica. A NIS2 não é apenas um exercício burocrático: é a resposta legislativa da UE à crescente sofisticação e persistência das ameaças a infraestruturas críticas.
Sou OE ou OI?
Caso real
Volt Typhoon: a ameaca que motivou a NIS2Em 2026, o grupo Volt Typhoon continua ativo em infraestruturas criticas de paises da NATO. Este grupo nao procura destruicao imediata: instala implantes silenciosos em redes de energia, agua e saude para ativacao futura em caso de conflito. A NIS2 exige medidas de deteao precoce (Art. 27.o, al. a) que podem identificar este tipo de presenca persistente antes que cause danos.
Templates relacionados
Quiz do modulo 1
Responda a 5 perguntas sobre o conteudo deste modulo. E necessario obter 70% ou mais para avancar.