NIS2 Portugal

Artigos-Chave da NIS2

Análise dos 10 artigos mais críticos para a conformidade da sua organização

A Diretiva NIS2 contém dezenas de artigos, mas existem 10 artigos críticos que toda organização abrangida deve compreender profundamente. Esta página oferece uma análise detalhada destes artigos essenciais, destacando requisitos, impactos práticos e consequências do não cumprimento.

Prazo crítico: As organizações abrangidas têm até Abril de 2026 (180 dias após 22 de outubro de 2025) para implementar as medidas de cibersegurança obrigatórias previstas nestes artigos.

Filtrar por prioridade

Artigo 21

Medidas de Gestão de Riscos de Cibersegurança

CRÍTICO Essenciais + Importantes
O artigo mais importante da NIS2. Define as 10 medidas técnicas e organizacionais mínimas que todas as entidades abrangidas devem implementar para proteger redes e sistemas de informação.

📋 Requisitos principais

  • Análise de riscos: Políticas de análise de riscos de cibersegurança e de segurança dos sistemas de informação
  • Gestão de incidentes: Tratamento de incidentes de cibersegurança
  • Continuidade de negócio: Continuidade das atividades, gestão de crises e recuperação após incidentes
  • Segurança da cadeia de abastecimento: Segurança nas relações com fornecedores diretos ou prestadores de serviços
  • Segurança no desenvolvimento: Segurança na aquisição, desenvolvimento e manutenção de redes e sistemas
  • Gestão de vulnerabilidades: Políticas para avaliar a eficácia das medidas de gestão de riscos
  • Ciberhigiene básica: Práticas básicas de cibersegurança e formação em cibersegurança
  • Criptografia: Políticas e procedimentos relativos à utilização de criptografia e cifragem
  • Segurança de RH: Políticas relativas à segurança dos recursos humanos, controlo de acessos e gestão de ativos
  • Autenticação multifator: Utilização de MFA ou autenticação contínua, comunicações seguras

💼 Impacto prático

O que deve fazer: Implementar todas as 10 medidas de forma documentada e verificável. Criar políticas, procedimentos e evidências de implementação. Realizar auditorias internas regulares para verificar conformidade.

Prazo de implementação

Abril de 2026

180 dias após a entrada em vigor da Lei n.º 59/2025 (22 de outubro de 2025)

⚠️ Penalizações

Não conformidade resulta em:
€10M ou 2% da faturação global para entidades essenciais
€7M ou 1,4% da faturação global para entidades importantes

🔗 Artigos relacionados

Artigo 20 - Governança Artigo 23 - Notificação Checklist completa do Artigo 21
Artigo 23

Notificação de Incidentes

CRÍTICO Essenciais + Importantes
Define os prazos e procedimentos obrigatórios para notificação de incidentes de cibersegurança significativos às autoridades competentes. Falhar estas obrigações resulta em penalizações severas.

📋 Requisitos principais

  • Notificação em 24 horas: Alerta inicial sem demora injustificada (máximo 24h)
  • Notificação em 72 horas: Notificação de incidente com avaliação inicial incluindo gravidade, impacto e indicadores de compromisso
  • Relatório final em 1 mês: Relatório final incluindo análise detalhada, gravidade, impacto e medidas de mitigação
  • Notificação aos destinatários: Informar afetados quando o incidente pode afetar negativamente serviços de rede e sistemas de informação
  • Voluntária para incidentes graves: Possibilidade de notificação voluntária de incidentes significativos mesmo que não obrigatórios

💼 Impacto prático

O que deve fazer: Criar procedimento de resposta a incidentes com prazos claros. Designar equipa responsável por classificação e notificação. Estabelecer canais de comunicação com CNCS. Treinar equipas nos procedimentos de notificação.

Prazos críticos

24h → 72h → 30 dias

Alerta inicial, notificação completa e relatório final

⚠️ Penalizações

Falhar notificação ou atrasos resulta em:
€10M ou 2% da faturação para entidades essenciais
€7M ou 1,4% da faturação para entidades importantes

+ Possível responsabilização pessoal do órgão de gestão

🔗 Artigos relacionados

Artigo 21 - Gestão de Riscos Artigo 20 - Governança Detalhes de penalizações
Artigo 20

Governança

CRÍTICO Essenciais + Importantes
Estabelece a responsabilidade do órgão de gestão pela conformidade com NIS2. A gestão de topo é pessoalmente responsável e pode ser sancionada em caso de incumprimento.

📋 Requisitos principais

  • Responsabilidade do órgão de gestão: O órgão de gestão é diretamente responsável pela implementação e supervisão das medidas de cibersegurança
  • Aprovação de medidas: Deve aprovar as medidas de gestão de riscos de cibersegurança
  • Supervisão da implementação: Supervisionar a implementação efetiva das medidas aprovadas
  • Formação obrigatória: Membros do órgão de gestão devem receber formação adequada em cibersegurança
  • Avaliação de conformidade: Avaliar regularmente a eficácia das medidas implementadas
  • Responsabilização pessoal: Membros podem ser pessoalmente sancionados por incumprimento

💼 Impacto prático

O que deve fazer: O Conselho de Administração/Gerência deve aprovar formalmente as políticas de cibersegurança. Incluir cibersegurança em reuniões regulares da gestão. Documentar aprovações e decisões. Garantir formação adequada para todos os membros da gestão.

⚠️ Penalizações

Responsabilização pessoal inclui:
  • Suspensão temporária do exercício de funções de gestão
  • Proibição temporária de exercer funções de gestão em entidades abrangidas
  • Coimas à organização até €10M ou 2% da faturação (essenciais)
  • Possível responsabilidade civil e criminal por danos resultantes

🔗 Artigos relacionados

Artigo 21 - Medidas de Riscos Artigo 34 - Coimas Sanções à gestão
Artigo 34

Coimas Administrativas

ALTO Essenciais + Importantes
Define os valores máximos das coimas administrativas por incumprimento da NIS2. As penalizações são proporcionais à gravidade da infração e podem acumular-se em caso de múltiplas violações.

📋 Valores das coimas

  • Entidades essenciais: Até €10.000.000 ou 2% do volume de negócios anual global (o que for mais elevado)
  • Entidades importantes: Até €7.000.000 ou 1,4% do volume de negócios anual global (o que for mais elevado)
  • Coimas acumuladas: Podem aplicar-se múltiplas coimas por diferentes infrações
  • Critérios de determinação: Gravidade, duração, intenção, cooperação com autoridades, histórico de infrações

💼 Infrações sancionáveis

Incluem: Não implementação de medidas do Artigo 21, falha na notificação de incidentes (Artigo 23), não cooperação com auditorias, não registo junto das autoridades, incumprimento de ordens das autoridades competentes.

⚠️ Fatores agravantes

Aumentam o valor das coimas:
  • Natureza intencional da infração
  • Duração prolongada do incumprimento
  • Impacto significativo nos serviços ou utilizadores
  • Histórico de infrações anteriores
  • Falta de cooperação com autoridades
  • Não mitigação de danos após conhecimento da infração

🔗 Artigos relacionados

Artigo 28 - Supervisão Artigo 20 - Governança Guia completo de penalizações
Artigo 28

Supervisão e Fiscalização

ALTO Essenciais + Importantes
Define os poderes das autoridades competentes (CNCS em Portugal) para supervisionar e fiscalizar a conformidade. As autoridades têm poderes extensivos de inspeção e auditoria.

📋 Poderes das autoridades

  • Auditorias on-site: Realizar auditorias de segurança e inspeções nas instalações
  • Acesso a documentação: Exigir acesso a toda a documentação relevante
  • Acesso a dados: Solicitar informações sobre incidentes, medidas de segurança, fornecedores
  • Ordens vinculativas: Emitir instruções vinculativas sobre implementação de medidas
  • Auditorias de segurança: Ordenar auditorias de segurança por organismos qualificados
  • Sanções: Aplicar coimas e outras medidas corretivas
  • Divulgação pública: Publicar informações sobre infrações e sanções aplicadas

💼 Impacto prático

O que deve fazer: Manter toda a documentação organizada e acessível. Preparar-se para auditorias regulares. Designar ponto de contacto com autoridades. Implementar sistemas de monitorização e registo. Responder prontamente a solicitações de informação.

⚠️ Consequências de não cooperação

Não cooperar com supervisão resulta em:
  • Coimas agravadas por falta de cooperação
  • Auditorias mais frequentes e intrusivas
  • Publicação de não conformidades
  • Suspensão temporária de atividades em casos graves
  • Possível encerramento de operações até conformidade

🔗 Artigos relacionados

Artigo 34 - Coimas Artigo 32 - Registo Processo de fiscalização
Artigo 24

Normas Europeias e Internacionais

ALTO Essenciais + Importantes
Incentiva a adoção de normas europeias e internacionais de cibersegurança como forma de demonstrar conformidade com as medidas do Artigo 21. A certificação pode facilitar auditorias.

📋 Normas recomendadas

  • ISO/IEC 27001: Sistema de gestão de segurança da informação (SGSI)
  • ISO/IEC 27002: Controlos de segurança da informação
  • NIST Cybersecurity Framework: Framework de cibersegurança amplamente reconhecido
  • IEC 62443: Segurança para sistemas de automação e controlo industrial
  • ETSI TS 103 645: Segurança para dispositivos IoT de consumo
  • ISO 22301: Gestão de continuidade de negócio

💼 Impacto prático

Vantagens da certificação: Demonstração presumida de conformidade, facilita auditorias de supervisão, reduz custos de compliance, melhora reputação e confiança de clientes, pode reduzir seguros de cibersegurança.

⚠️ Importante saber

Certificação não é obrigatória: A adoção de normas é voluntária mas altamente recomendada. No entanto, a certificação não isenta de auditorias nem garante imunidade a coimas em caso de incidentes.

🔗 Artigos relacionados

Artigo 21 - Medidas de Riscos Comparação de Frameworks
Artigo 32

Registo de Entidades

MÉDIO Essenciais + Importantes
Obriga as entidades abrangidas a registarem-se junto das autoridades competentes. O registo é um pré-requisito para conformidade e supervisão.

📋 Requisitos de registo

  • Obrigação de registo: Todas as entidades essenciais e importantes devem registar-se
  • Informações a fornecer: Identificação da entidade, setor de atividade, contactos, serviços prestados
  • Atualização de dados: Manter informações atualizadas quando há alterações significativas
  • Ponto de contacto: Designar pessoa de contacto para comunicação com autoridades
  • Prazo de registo: Deve ser efetuado assim que a entidade se qualifica como abrangida

💼 Impacto prático

O que deve fazer: Determinar se está abrangido usando a calculadora. Se sim, registar-se junto do CNCS. Manter registo atualizado com informações corretas. Designar responsável por comunicação com autoridades.

⚠️ Penalizações

Não registar-se resulta em:
  • Impossibilidade de demonstrar conformidade
  • Coimas por não cumprimento de obrigação de registo
  • Possível agravamento de outras sanções

🔗 Artigos relacionados

Artigo 6 - Âmbito Calculadora de classificação
Artigo 6

Âmbito de Aplicação

MÉDIO Todas as organizações
Define quais entidades estão abrangidas pela NIS2. Identifica os 18 setores críticos (essenciais e importantes) e os critérios de aplicação da diretiva.

📋 Setores abrangidos

  • Setores essenciais (Anexo I): Energia, Transportes, Setor bancário, Infraestruturas dos mercados financeiros, Saúde, Água potável e águas residuais, Infraestruturas digitais, Administração pública, Espaço
  • Setores importantes (Anexo II): Serviços postais e de estafetas, Gestão de resíduos, Indústrias químicas, Produção/transformação/distribuição de alimentos, Indústria transformadora, Fornecedores digitais, Investigação
  • Critério dimensional: Médias e grandes empresas (≥50 empregados ou ≥€10M faturação)
  • Prestadores digitais: Aplicável independentemente da dimensão em certos casos

💼 Impacto prático

O que deve fazer: Verificar se opera em setor abrangido. Avaliar dimensão da empresa (empregados e faturação). Se qualificar, iniciar processo de conformidade imediatamente. Usar calculadora para determinação precisa.

🔗 Artigos relacionados

Artigo 7 - Regras dimensionais Verificar se está abrangido Detalhes dos setores
Artigo 7

Regras Dimensionais

MÉDIO Todas as organizações
Estabelece os limiares dimensionais que determinam se uma entidade está abrangida. Define critérios de número de empregados e volume de negócios.

📋 Critérios dimensionais

  • Empresas médias: ≥50 empregados E <250 empregados E faturação anual ≥€10M E <€50M
  • Grandes empresas: ≥250 empregados OU faturação anual ≥€50M
  • Microempresas e PME: Geralmente excluídas, exceto se críticas ou fornecedores digitais
  • Único prestador: Se for o único prestador de serviço crítico, aplica-se independentemente da dimensão
  • Estados-membros podem incluir pequenas entidades: Se forem críticas para o setor

💼 Impacto prático

O que deve fazer: Calcular número de empregados (equivalentes a tempo completo). Calcular faturação anual. Verificar se ultrapassa limiares. Reavaliar anualmente se há crescimento que possa levar a abrangência.

🔗 Artigos relacionados

Artigo 6 - Âmbito Calculadora de classificação
Artigo 33

Direito de Ser Informado

MÉDIO Essenciais + Importantes
Estabelece o direito das entidades de serem informadas pelas autoridades sobre ameaças e vulnerabilidades de cibersegurança que as possam afetar.

📋 Direitos das entidades

  • Informação sobre ameaças: Autoridades devem informar sobre ameaças e vulnerabilidades
  • Alertas de segurança: Receber alertas sobre ataques em curso ou planeados
  • Recomendações técnicas: Orientações sobre medidas de mitigação
  • Partilha de informação: Participar em mecanismos de partilha de informação sobre ameaças
  • Acesso a recursos: Acesso a ferramentas e recursos de cibersegurança disponibilizados

💼 Impacto prático

O que deve fazer: Manter contactos atualizados junto do CNCS. Monitorizar comunicações oficiais. Implementar alertas recebidos. Participar em grupos de partilha de informação do setor. Agir rapidamente sobre avisos recebidos.

🔗 Artigos relacionados

Artigo 32 - Registo Artigo 23 - Notificação

Tabela Comparativa Rápida

Visão geral dos 10 artigos-chave para referência rápida

Artigo Categoria Prioridade Aplica-se a Prazo crítico
Artigo 21 Técnico CRÍTICO Essenciais + Importantes Abril 2026
Artigo 23 Notificação CRÍTICO Essenciais + Importantes 24h / 72h / 30d
Artigo 20 Governança CRÍTICO Essenciais + Importantes Imediato
Artigo 34 Penalizações ALTO Essenciais + Importantes N/A
Artigo 28 Supervisão ALTO Essenciais + Importantes N/A
Artigo 24 Normas ALTO Essenciais + Importantes Voluntário
Artigo 32 Registo MÉDIO Essenciais + Importantes Imediato
Artigo 6 Âmbito MÉDIO Todas as organizações N/A
Artigo 7 Âmbito MÉDIO Todas as organizações N/A
Artigo 33 Direitos MÉDIO Essenciais + Importantes N/A

Recursos relacionados

📄

Diretiva Completa

Aceda ao texto integral da Diretiva (UE) 2022/2555 e da Lei n.º 59/2025

Ver diretiva

Checklist Artigo 21

Lista detalhada de verificação das 10 medidas obrigatórias de cibersegurança

Ver checklist
⚠️

Guia de Penalizações

Detalhes completos sobre coimas, sanções e responsabilização da gestão

Ver penalizações
🧮

Calculadora

Verifique se a sua organização está abrangida pela NIS2

Calcular
📚

Guia de Implementação

Roadmap passo-a-passo para alcançar conformidade completa

Ver guia
📄

Templates

14 modelos prontos para documentação de conformidade

Ver templates

Precisa de ajuda com a conformidade?

Utilize as nossas ferramentas gratuitas para avaliar a conformidade da sua organização e criar um plano de ação personalizado.

Verificar se estou abrangido Avaliar conformidade