NIS2 Portugal

Centro de aprendizagem Modulo 7 de 7

Coimas, supervisao e roadmap

Poderes do CNCS, sancoes e plano de acao

Regime sancionatorio e supervisao NIS2

Cenario de abertura

O CNCS notificou a vossa empresa que vai realizar uma inspecao no proximo trimestre. O CEO convoca uma reuniao de emergencia e pergunta: «Que poderes tem o CNCS? O que podem fazer connosco? E se encontrarem problemas, o que acontece?» Este modulo responde a todas estas questoes.

Poderes de supervisao do CNCS (Art. 54-55)

Os Art. 54.o e 55.o do DL 125/2025 estabelecem os poderes de supervisao do CNCS. Para Operadores Essenciais, aplica-se supervisao ex-ante: o CNCS pode realizar inspecoes em qualquer altura, solicitar documentacao, exigir auditorias de seguranca por entidades independentes e emitir instrucoes vinculativas. Para Operadores Importantes, a supervisao e ex-post: o CNCS atua principalmente por reacao a incidentes ou queixas, mas pode iniciar inspecoes com base em indicios de incumprimento. Em qualquer caso, o CNCS pode nomear um monitor temporario para acompanhar a implementacao de medidas corretivas.

Regime sancionatorio (Art. 61-63)

O DL 125/2025 estabelece tres categorias de infraccoes. Para OE: infraccoes muito graves sujeitam a coima de 5 000 001 EUR ate 10 000 000 EUR ou 2% do volume de negocio anual mundial total (o que for mais elevado); infraccoes graves de 500 001 EUR a 5 000 000 EUR ou 1% do volume de negocio. Para OI: infraccoes muito graves ate 7 000 000 EUR ou 1,4% do volume de negocio; infraccoes graves ate 1 400 000 EUR ou 0,7%. Estas sancoes sao cumulativas com outras previstas na lei, nomeadamente medidas cautelares e publicidade das sancoes.

Responsabilidade pessoal (recap)

Como vimos no Modulo 3, o DL 125/2025 preve a responsabilidade civil pessoal dos membros dos orgaos de gestao por dolo ou culpa grave. No contexto da supervisao, o CNCS pode, em caso de infraccao grave reiterada por OE, solicitar a suspensao temporaria de funcoes das pessoas responsaveis a nivel de gestao. Esta medida extrema so pode ser aplicada como ultima ratio, mas a sua existencia legal e um elemento dissuasor significativo para a gestao de topo.

Para a reuniao com o CEO: o CNCS pode inspecionar documentacao, sistemas e processos. Pode exigir auditorias externas a expensas da empresa. Pode emitir instrucoes de correcao com prazos. Pode aplicar coimas significativas. Pode publicitar as sancoes. Preparar a empresa com antecedencia e a unica estrategia racional.

Tendencias de fiscalizacao em 2026

Os primeiros meses de vigor do regime NIS2 na Alemanha (onde a transposicao foi mais precoce) mostram um padrao gradual: as autoridades comecam por inspecionar os maiores operadores essenciais em setores de alta visibilidade (energia, saude, financas), aplicando sancoes administrativas moderadas com carater pedagogico. A pressao aumenta para reincidentes e para casos de notificacao de incidentes omitida. Portugal deve seguir um padrao semelhante, com o CNCS a desenvolver a sua capacidade de supervisao ao longo de 2026.

Roadmap de conformidade em 90 dias

Um roadmap de 90 dias tipico para uma organizacao que comece do zero inclui: Fase 1 (dias 1-30) - Qualificacao e registo: autoavaliacao, registo na MyCiber, designacao de responsavel de ciberseguranca, aprovacao formal pelo orgao de gestao. Fase 2 (dias 31-60) - Inventario e gap analysis: inventario de ativos criticos, avaliacao de conformidade com as 9 medidas do Art. 27.o, identificacao de fornecedores criticos. Fase 3 (dias 61-90) - Implementacao prioritaria: MFA em sistemas criticos, backup 3-2-1-1-0 testado, politica de notificacao de incidentes, programa de formacao. A calculadora de coimas e o dashboard de conformidade do site ajudam a priorizar com base no risco especifico.

Fluxo de supervisao e regime sancionatorio

flowchart TD D[CNCS detetaindicio ou incidente] --> I[Inspecao ou auditoria] I --> C{Constatacao} C -->|Conformidade| OK[Sem sancao] C -->|Incumprimento leve| AV[Advertencia e prazo de correcao] C -->|Infracaoao grave| CM[Coima proporcional OE: ate 10M EUR OI: ate 7M EUR] CM --> PUB[Publicidade da sancao?] PUB -->|Sim se reiterado| P[Publicacao no sito do CNCS]

Caso real

Padrao gradual de fiscalizacao NIS2 na Europa (2026)

Na Alemanha, onde o BSI (autoridade equivalente ao CNCS) comecou a aplicar o regime NIS2 mais cedo, o padrao observado em 2026 foi: primeiras sancoes por falta de registo (valor simbolico, impacto pedagogico), seguidas de inspecoes focadas em OE de setores criticos, com sancoes de valor moderado (100 000 a 500 000 EUR) mas publicidade garantida. As organizacoes que colaboram proativamente e demonstram roadmaps de conformidade recebem tratamento mais favoravel. A cooperacao com a autoridade e uma estrategia de gestao de risco por si so.

Templates relacionados

Quiz do modulo 7

Responda a 5 perguntas sobre o conteudo deste modulo. E necessario obter 70% ou mais para avancar.

Modulo 6 Ver todos os modulos Exame final