NIS2 Portugal

Digital Omnibus Package 2026

Proposta da Comissão Europeia para simplificar a conformidade NIS2

Prazo de feedback: A consulta pública sobre as alterações propostas está aberta até 9 de março de 2026. As organizações podem submeter comentários à Comissão Europeia.

O que é o Digital Omnibus Package?

Data: 20 de janeiro de 2026

O Digital Omnibus Package é uma proposta legislativa apresentada pela Comissão Europeia em 20 de janeiro de 2026 com o objetivo de alterar a Diretiva NIS2 (EU 2022/2555) e outras legislações digitais da UE.

Esta iniciativa visa simplificar os requisitos de conformidade e reduzir a carga administrativa sobre as empresas europeias, especialmente PMEs e empresas de média capitalização, mantendo ao mesmo tempo elevados padrões de cibersegurança.

Contexto Importante: Esta é uma proposta da Comissão Europeia, ainda sujeita a aprovação pelo Parlamento Europeu e pelo Conselho da União Europeia. A implementação destas simplificações não é imediata e depende do processo legislativo ordinário da UE.

Objetivo principal: Aliviar os encargos regulamentares sem comprometer a segurança, tornando mais fácil para as empresas cumprirem múltiplas regulamentações digitais através de mecanismos unificados.

Principais alterações propostas

As quatro mudanças fundamentais para simplificar a conformidade NIS2

📊

Nova categoria "Small Mid-Cap"

Descrição:

Introdução de uma nova categoria regulamentar para empresas de média capitalização mais pequenas, com requisitos de conformidade adaptados à sua dimensão e complexidade operacional.

Critérios de elegibilidade:

  • Menos de 750 colaboradores
  • Volume de negócios anual inferior a 150 milhões de euros

Benefício:

Esta nova categoria reduz significativamente os custos de conformidade para cerca de 22.500 empresas na União Europeia, com requisitos simplificados face às mid-caps de pleno direito e permitindo-lhes cumprir a NIS2 com procedimentos menos onerosos.

Impacto esperado: Redução de até 30% nos custos de compliance para empresas elegíveis para esta categoria
🔗

Single Entry Point (SEP)

Descrição:

Criação de uma plataforma única da ENISA para notificação de incidentes de cibersegurança, unificando os requisitos de múltiplas regulamentações europeias num só portal centralizado.

Benefício:

Elimina a necessidade de reportar o mesmo incidente a múltiplas autoridades através de sistemas diferentes. O SEP unifica a notificação de incidentes para:

  • NIS2 (Diretiva de Cibersegurança)
  • GDPR (Proteção de Dados Pessoais)
  • DORA (Resiliência Operacional Digital Financeira)
  • CER (Resiliência de Entidades Críticas)
  • eIDAS (Identificação Eletrónica e Serviços de Confiança)
One-stop-shop: Uma única notificação, múltiplas conformidades regulamentares
⚖️

Simplificação de regras jurisdicionais

Descrição:

Clarificação e simplificação das regras que determinam qual a autoridade competente responsável quando uma entidade opera em múltiplos Estados-Membros da União Europeia.

Benefício:

Reduz ambiguidade e conflitos de jurisdição, facilitando a vida às empresas multinacionais. Define critérios claros para determinar:

  • Qual a autoridade nacional que supervisiona a entidade
  • Como funcionam os mecanismos de coordenação transfronteiriça
  • Regras de "one-stop-shop" para empresas com operações pan-europeias
  • Procedimentos de resolução de conflitos de jurisdição
Previsibilidade: Empresas transfronteiriças saberão claramente a quem reportar e quem as supervisiona
🇪🇺

Papel reforçado da ENISA

Descrição:

A Agência da União Europeia para a Cibersegurança (ENISA) terá um papel mais forte na coordenação de entidades que operam transfronteiras e na gestão do Single Entry Point.

Novas responsabilidades específicas:

  • Supervisão cross-border de entidades que operam em múltiplos Estados-Membros
  • Framework de análise de risco a concluir nos primeiros 15 meses após entrada em vigor
  • Gestão do Single Entry Point (SEP) para notificações unificadas
  • Coordenadora entre autoridades nacionais competentes
  • Facilitadora de partilha de threat intelligence
  • Provedora de orientações técnicas harmonizadas
Coordenação europeia: Uma resposta mais eficaz a incidentes de cibersegurança à escala europeia

Propostas Detalhadas de Alteração à NIS2

As propostas de janeiro de 2026 introduzem regras específicas em várias áreas

🔒

Reporte Obrigatório de Ransomware

Novas regras detalhadas para reporte de ataques de ransomware, que vão além dos requisitos de notificação já previstos na NIS2 atual:

  • Vetor de ataque utilizado
  • Se o resgate foi pedido e o montante exigido
  • Se o resgate foi pago e o valor efetivamente pago
  • Método de pagamento utilizado (criptomoeda, etc.)
Nota: Estes requisitos de reporte são adicionais às obrigações de notificação de incidentes já existentes na NIS2.
⚖️

Harmonização Reforçada

Onde a Comissão Europeia adoptar atos de execução (implementing acts), os Estados-Membros não podem adicionar requisitos nacionais extra.

Objetivo: prevenir a fragmentação regulatória e simplificar a conformidade para organizações que operam em múltiplos países.

Benefício: Empresas com operações em vários países da UE terão regras uniformes e previsíveis, evitando a sobreposição de requisitos nacionais divergentes.
🔍

ENISA: Papel Reforçado

A ENISA terá responsabilidades acrescidas de supervisão e coordenação a nível europeu:

  • Supervisão cross-border de entidades transfronteiriças
  • Framework de análise de risco a concluir em 15 meses após entrada em vigor
  • Gestão do Single Entry Point (SEP) para notificações unificadas

Cybersecurity Act 2 (CSA2)

Publicada em conjunto com o Digital Omnibus em 20 de janeiro de 2026, a proposta de CSA2 reforça a certificação europeia de cibersegurança

🔗

Segurança da Cadeia de Fornecimento ICT

Novos requisitos de segurança para toda a cadeia de fornecimento de tecnologias de informação e comunicação, incluindo hardware e software.

Complementa a NIS2 ao abordar a segurança dos produtos e serviços ICT utilizados pelas entidades essenciais e importantes.

🏅

Certificação Europeia Reforçada

Esquemas de certificação de cibersegurança mais robustos a nível europeu, com reconhecimento mútuo entre Estados-Membros.

Baseia-se no quadro de certificação europeu de cibersegurança já existente e expande a sua abrangência e aplicabilidade.

🏢

Certificação de Cyber-Posture

Nova modalidade de certificação ao nível da entidade (não apenas ao nível do produto), permitindo às organizações certificar a sua postura global de cibersegurança.

As organizações poderão obter certificação pelo seu nível global de cibersegurança, complementando a certificação de produtos e serviços já existente.

Estado legislativo: A proposta de CSA2 encontra-se em fase legislativa no Parlamento Europeu (fevereiro 2026). A sua aprovação e entrada em vigor dependerão do processo legislativo ordinário da UE.

Impacto esperado

Números que demonstram o alcance das simplificações propostas

28.700

Empresas beneficiadas

Empresas na UE que beneficiarão das simplificações propostas

6.200

PMEs com custos reduzidos

Pequenas e médias empresas com redução significativa de custos

22.500

Small Mid-Cap

Empresas elegíveis para a nova categoria Small Mid-Cap

€€€

Milhões poupados

Poupança estimada em custos administrativos anuais para as empresas europeias

Benefícios quantificáveis

  • Redução de 25-30% nos custos administrativos de conformidade para empresas Small Mid-Cap
  • Economia de 40% no tempo despendido em notificações de incidentes graças ao Single Entry Point
  • Clareza jurisdicional para empresas multinacionais, eliminando duplicação de esforços
  • Harmonização entre 5 grandes regulamentos digitais da UE (NIS2, GDPR, DORA, CER, eIDAS)

Estado atual da proposta

Proposta Legislativa em Análise

O Digital Omnibus Package é uma proposta ainda sujeita a aprovação pelo Parlamento Europeu e pelo Conselho da União Europeia. Até que seja formalmente adotada, as empresas devem continuar a cumprir a Diretiva NIS2 (EU 2022/2555) nos termos originais.

Timeline simplificada do processo legislativo

Janeiro 2026

Proposta apresentada

A Comissão Europeia apresenta formalmente o Digital Omnibus Package com as propostas de alteração à NIS2 e outras legislações digitais.

2026-2027 (previsão)

Processo legislativo

Análise, discussão e negociação no Parlamento Europeu e no Conselho. Poderão ocorrer emendas, consultas públicas e ajustes ao texto original. Este processo pode demorar 12-24 meses.

?
Futuro (se aprovada)

Implementação gradual

Após aprovação formal, haverá um período de transposição pelos Estados-Membros e implementação gradual das simplificações (Single Entry Point, nova categoria Small Mid-Cap, etc.).

Atenção aos prazos: Enquanto a proposta não for aprovada e implementada, as organizações devem continuar a cumprir a Diretiva NIS2 original (EU 2022/2555) e o Decreto-Lei n.º 125/2025 em Portugal.

Fontes oficiais

Aceda aos documentos oficiais da Comissão Europeia sobre o Digital Omnibus Package

🇪🇺

Digital Strategy EU

Proposta oficial de Diretiva sobre medidas de simplificação e alinhamento com o Cybersecurity Act.

Aceder ao documento
📚

NIS2 Directive

Página oficial da Comissão Europeia sobre a Diretiva NIS2, incluindo informações sobre o Digital Omnibus Package.

Ver página NIS2
Mantenha-se atualizado: Acompanhe regularmente o website da Comissão Europeia e da ENISA para atualizações sobre o progresso legislativo do Digital Omnibus Package.

Mantenha-se informado

Enquanto aguarda pelas simplificações do Digital Omnibus, prepare-se para cumprir os requisitos atuais da NIS2

Ver transposição portuguesa Requisitos atuais NIS2

Recursos úteis: