NIS2 Portugal

1. A presente diretiva estabelece medidas destinadas a garantir um elevado nível comum de cibersegurança em toda a União, tendo em vista melhorar o funcionamento do mercado interno.

2. Para o efeito, a presente diretiva estabelece:

1. Obrigações para os Estados-Membros adotarem estratégias nacionais de cibersegurança e designarem autoridades competentes, pontos de contacto únicos e equipas de resposta a incidentes de segurança informática (CSIRT);
2. Um quadro de cooperação entre os Estados-Membros sob a forma de Grupo de Cooperação, a fim de apoiar e facilitar a cooperação estratégica e o intercâmbio de informações, bem como uma rede de CSIRT, a fim de contribuir para o desenvolvimento da confiança e da segurança entre os Estados-Membros e promover uma cooperação operacional rápida e eficaz;
3. Obrigações de gestão de riscos de cibersegurança e obrigações de notificação para entidades essenciais e importantes abrangidas pelo âmbito de aplicação da presente diretiva;
4. Requisitos de supervisão e de execução em relação às entidades essenciais e importantes.

3. A presente diretiva não prejudica a possibilidade de os Estados-Membros adotarem ou manterem disposições destinadas a alcançar um nível mais elevado de cibersegurança.

1. A presente diretiva aplica-se a entidades públicas e privadas dos setores de atividade previstos nos anexos I e II.

2. Os setores de atividade abrangidos incluem:

• Energia (eletricidade, petróleo, gás e hidrogénio)
• Transportes (aéreo, ferroviário, por vias navegáveis e rodoviário)
• Setor bancário
• Infraestruturas dos mercados financeiros
• Saúde
• Água potável e águas residuais
• Infraestruturas digitais
• Gestão de serviços TIC (B2B)
• Administração pública
• Espaço
• Serviços postais e de estafetas
• Gestão de resíduos
• Fabrico, produção e distribuição de produtos químicos
• Produção, transformação e distribuição de alimentos
• Indústria transformadora
• Fornecedores digitais
• Investigação

3. A aplicação da presente diretiva não prejudica o exercício das responsabilidades dos Estados-Membros no que respeita à ordem pública e à segurança nacional.

1. A presente diretiva não se aplica a entidades que prestem serviços exclusivamente no território de um Estado-Membro e cujas atividades não tenham impacto transfronteiriço.

2. São excluídas do âmbito de aplicação da presente diretiva:

• Entidades que sejam micro ou pequenas empresas na aceção da Recomendação 2003/361/CE da Comissão, salvo quando abrangidas pelos setores críticos;
• Entidades do setor da defesa nacional, quando as suas atividades digam respeito exclusivamente à segurança nacional;
• Parlamentos nacionais e bancos centrais nacionais no exercício das suas funções de política monetária;
• Prestadores de serviços de redes e serviços de comunicações eletrónicas públicas, na medida em que esses serviços já estejam sujeitos a requisitos equivalentes ao abrigo da Diretiva (UE) 2018/1972.

3. A presente diretiva não prejudica a aplicação da Diretiva (UE) 2013/40/UE relativa aos ataques contra os sistemas de informação.

1. Cada Estado-Membro adota uma estratégia nacional de cibersegurança que defina os objetivos estratégicos e as medidas políticas e regulamentares adequadas para alcançar e manter um elevado nível de cibersegurança.

2. A estratégia nacional de cibersegurança deve abranger, no mínimo:

1. Os objetivos e as prioridades da estratégia nacional de cibersegurança;
2. Um quadro de governação para alcançar os objetivos e as prioridades da estratégia, incluindo as funções e responsabilidades das autoridades governamentais e outros intervenientes relevantes;
3. A identificação das medidas relativas à preparação, à resposta e à recuperação em caso de incidentes, incluindo a cooperação entre os setores público e privado;
4. Uma lista das várias autoridades e dos intervenientes relevantes envolvidos na execução da estratégia nacional de cibersegurança;
5. A identificação dos setores e das entidades que se enquadram no âmbito de aplicação da presente diretiva;
6. Um plano de desenvolvimento de competências em cibersegurança e de sensibilização para a cibersegurança;
7. Um plano relativo às políticas de investigação e inovação em matéria de cibersegurança;
8. Um plano de avaliação e gestão de riscos;
9. Uma lista de ações específicas necessárias para garantir a execução e o acompanhamento da estratégia nacional de cibersegurança.

3. Os Estados-Membros reveem a estratégia nacional de cibersegurança, pelo menos, de cinco em cinco anos.

1. Cada Estado-Membro designa uma ou várias autoridades nacionais competentes para a cibersegurança das redes e dos sistemas de informação («autoridades nacionais competentes»).

2. As autoridades nacionais competentes são responsáveis pela supervisão da aplicação da presente diretiva a nível nacional e são dotadas de poderes adequados para o efeito.

3. Os Estados-Membros podem designar uma ou mais autoridades competentes responsáveis pela supervisão da aplicação da presente diretiva em relação a entidades essenciais e importantes em setores específicos ou para tipos específicos de entidades.

4. As autoridades competentes dispõem de recursos financeiros e humanos adequados para desempenhar eficazmente as funções que lhes são atribuídas ao abrigo da presente diretiva e para contribuir ativamente para a cooperação a nível da União.

5. As autoridades competentes exercem os seus poderes de forma independente, imparcial e transparente.

1. Cada Estado-Membro designa um ponto de contacto único para a cooperação transfronteiriça das autoridades competentes com as autoridades competentes dos outros Estados-Membros e com o Grupo de Cooperação e a rede de CSIRT.

2. O ponto de contacto único assegura a cooperação transfronteiriça das autoridades competentes com as autoridades competentes dos outros Estados-Membros e com o Grupo de Cooperação e a rede de CSIRT.

3. Um ponto de contacto único pode ser uma entidade designada como autoridade nacional competente ou autoridade competente, ou pode ser uma entidade distinta designada especificamente para desempenhar as funções de ponto de contacto único.

4. Os pontos de contacto únicos desempenham uma função de ligação para assegurar a cooperação transfronteiriça das autoridades competentes com as autoridades competentes de outros Estados-Membros e com o Grupo de Cooperação.

1. Cada Estado-Membro designa uma ou várias CSIRT responsáveis pela gestão de incidentes e riscos, em conformidade com um procedimento bem definido.

2. As CSIRT devem dispor de recursos adequados para desempenhar eficazmente as suas funções.

3. Cada CSIRT deve desempenhar, pelo menos, as seguintes funções:

1. Acompanhar incidentes a nível nacional;
2. Emitir alertas precoces, alertas, anúncios e divulgação de informações sobre riscos e incidentes às partes interessadas relevantes;
3. Responder a incidentes;
4. Prestar análises dinâmicas de riscos e incidentes e consciencialização situacional;
5. Participar na rede de CSIRT.

4. As CSIRT cooperam e intercambiam informações com as CSIRT de outros Estados-Membros através da rede de CSIRT.

1. Os Estados-Membros asseguram que as autoridades nacionais competentes, as autoridades competentes, os pontos de contacto únicos e as CSIRT cooperam, a fim de assegurar a coerência das políticas de cibersegurança e a eficácia da supervisão.

2. Os Estados-Membros asseguram a coordenação eficaz entre todas as autoridades relevantes em relação a matérias abrangidas pela presente diretiva.

3. A coordenação inclui a partilha regular de informações sobre incidentes significativos, riscos de cibersegurança e melhores práticas.

1. É criada uma rede de CSIRT composta por representantes das CSIRT dos Estados-Membros e da CERT-UE.

2. A rede de CSIRT promove a cooperação operacional rápida e eficaz entre os Estados-Membros, apoiando e facilitando a coordenação e o intercâmbio de informações entre as CSIRT.

3. A rede de CSIRT elabora e mantém um inventário das capacidades das CSIRT dos Estados-Membros para melhorar a cooperação e apoiar a resposta a incidentes transfronteiriços.

1. É criado um Grupo de Cooperação, a fim de apoiar e facilitar a cooperação estratégica e o intercâmbio de informações entre os Estados-Membros.

2. O Grupo de Cooperação é composto por representantes dos Estados-Membros, da Comissão e da ENISA.

3. O Grupo de Cooperação facilita o intercâmbio de melhores práticas e informações entre os Estados-Membros em questões relacionadas com a cibersegurança.

1. É criada uma rede europeia de organizações de ligação em matéria de crises cibernéticas (UE-CyCLONe) para apoiar a gestão coordenada de incidentes e crises de cibersegurança de grande escala.

2. A rede UE-CyCLONe facilita a partilha de informações e a coordenação da resposta a incidentes de cibersegurança de grande escala que afetem vários Estados-Membros.

1. Os Estados-Membros procedem periodicamente a avaliações entre pares das suas capacidades de cibersegurança, incluindo a eficácia das suas estratégias nacionais de cibersegurança.

2. As avaliações entre pares são coordenadas pelo Grupo de Cooperação e apoiadas pela ENISA.

3. Os resultados das avaliações entre pares são partilhados com o Grupo de Cooperação e a Comissão para identificar áreas de melhoria.

1. Para efeitos da presente diretiva, uma entidade é considerada essencial ou importante com base em critérios de dimensão e setor de atividade.

2. Uma entidade é considerada de média dimensão se empregar 50 ou mais pessoas e tiver um volume de negócios anual ou um balanço anual que não exceda 10 milhões de EUR.

3. Uma entidade é considerada de grande dimensão se empregar 250 ou mais pessoas e tiver um volume de negócios anual superior a 50 milhões de EUR ou um balanço anual superior a 43 milhões de EUR.

4. Os Estados-Membros podem alargar o âmbito de aplicação da presente diretiva a outras entidades que prestem serviços essenciais ou importantes para a manutenção de atividades sociais ou económicas críticas.

1. As entidades essenciais são entidades dos setores previstos no Anexo I que prestam serviços essenciais para a manutenção de atividades sociais e económicas críticas.

2. Os setores essenciais incluem: energia, transportes, setor bancário, infraestruturas dos mercados financeiros, saúde, água potável, águas residuais, infraestruturas digitais, gestão de serviços TIC, administração pública e espaço.

1. As entidades importantes são entidades dos setores previstos no Anexo II que prestam serviços importantes para a manutenção de atividades sociais e económicas.

2. Os setores importantes incluem: serviços postais e de estafetas, gestão de resíduos, fabrico e distribuição de produtos químicos, produção e distribuição de alimentos, indústria transformadora, fornecedores digitais e investigação.

1. Cada Estado-Membro mantém um registo atualizado de todas as entidades essenciais e importantes sujeitas às obrigações previstas na presente diretiva.

2. O registo contém informações sobre a identificação das entidades, o seu setor de atividade e os serviços que prestam.

Os fornecedores de serviços DNS estão sujeitos às obrigações previstas na presente diretiva independentemente da sua dimensão, devido à criticidade dos serviços que prestam para o funcionamento da Internet.

Os prestadores de redes e serviços de comunicações eletrónicas públicas estão sujeitos a requisitos específicos de cibersegurança estabelecidos na Diretiva (UE) 2018/1972, que são considerados equivalentes aos requisitos da presente diretiva.

1. As entidades da administração pública central estão sujeitas às obrigações previstas na presente diretiva como entidades essenciais.

2. Os Estados-Membros podem optar por aplicar a presente diretiva às entidades da administração regional e local.

1. Os Estados-Membros asseguram que os órgãos de gestão das entidades essenciais e importantes aprovam as medidas de gestão de riscos de cibersegurança tomadas pela entidade para gerir os riscos colocados à segurança das redes e dos sistemas de informação que essas entidades utilizam nas suas operações ou para a prestação dos seus serviços, e supervisionam a sua execução.

2. Os Estados-Membros asseguram que os membros dos órgãos de gestão das entidades essenciais e importantes são obrigados a seguir formação e que as entidades essenciais e importantes oferecem formação regular nessa matéria, a fim de adquirirem conhecimentos e competências suficientes para compreenderem e avaliarem os riscos de cibersegurança e as práticas de gestão, bem como o respetivo impacto nas operações da entidade.

3. Os Estados-Membros podem determinar que a responsabilidade final pela supervisão da gestão dos riscos de cibersegurança recai sobre os órgãos de gestão das entidades essenciais e importantes.

1. Os Estados-Membros asseguram que as entidades essenciais e importantes tomam medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos colocados à segurança das redes e dos sistemas de informação que essas entidades utilizam nas suas operações ou para a prestação dos seus serviços.

2. As medidas referidas no n.º 1 devem ter em conta o estado da técnica e, se aplicável, as normas europeias e internacionais relevantes, bem como os custos de execução. Tendo em conta o ambiente de segurança, essas medidas devem assegurar um nível de segurança das redes e dos sistemas de informação adequado aos riscos existentes.

3. As medidas referidas no n.º 1 incluem, pelo menos, as seguintes:

1. Políticas de análise de riscos e de segurança dos sistemas de informação: políticas relativas à análise dos riscos de cibersegurança e à segurança dos sistemas de informação;
2. Tratamento de incidentes: políticas e procedimentos para a gestão de incidentes de cibersegurança;
3. Continuidade das atividades: políticas de continuidade das atividades, como a gestão de cópias de segurança e a recuperação em caso de desastre, e gestão de crises;
4. Segurança da cadeia de abastecimento: políticas e procedimentos para avaliar a segurança global dos sistemas de informação dos fornecedores e prestadores de serviços, incluindo as suas políticas de desenvolvimento seguro, bem como as políticas e procedimentos relativos à segurança nas relações entre cada entidade e os seus fornecedores diretos ou prestadores de serviços;
5. Segurança na aquisição, desenvolvimento e manutenção: políticas e procedimentos relativos à eficácia das medidas de gestão de riscos de cibersegurança na aquisição, desenvolvimento e manutenção das redes e dos sistemas de informação, incluindo o tratamento e divulgação de vulnerabilidades;
6. Políticas e procedimentos de avaliação da eficácia: políticas e procedimentos para avaliar a eficácia das medidas de gestão de riscos de cibersegurança;
7. Práticas de ciberhigiene básicas e formação: práticas básicas de cibersegurança e formação em cibersegurança;
8. Criptografia: políticas e procedimentos relativos à utilização de criptografia e, se for caso disso, de cifragem;
9. Segurança dos recursos humanos, controlo de acessos e gestão de ativos: políticas de segurança dos recursos humanos, políticas de controlo de acessos e políticas de gestão de ativos;
10. Autenticação multifator ou autenticação contínua: utilização de soluções de autenticação multifator ou de autenticação contínua, comunicações de voz, vídeo e texto seguras e, se for caso disso, sistemas de comunicação de emergência seguros no seio da entidade.

4. Ao tomarem as medidas previstas no n.º 1, as entidades essenciais e importantes devem ter em conta as vulnerabilidades específicas de cada fornecedor direto e de cada prestador de serviços, bem como a qualidade geral dos produtos e as práticas de cibersegurança dos seus fornecedores e prestadores de serviços.

5. A Comissão pode adotar atos de execução que especifiquem mais pormenorizadamente os elementos das medidas de segurança previstas no n.º 2 do presente artigo para setores ou tipos de entidades específicos. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 39.º, n.º 2.

Ao utilizarem serviços de computação em nuvem ou serviços de centros de dados, as entidades essenciais e importantes devem ter em conta os riscos específicos associados a esses serviços e assegurar que as medidas de cibersegurança implementadas pelos prestadores desses serviços são adequadas.

Os Estados-Membros podem estabelecer requisitos de segurança adicionais para redes e sistemas de informação utilizados para a prestação de serviços essenciais ou importantes, tendo em conta a criticidade desses serviços.

1. Os Estados-Membros e as instituições da União promovem a utilização de normas europeias e internacionais de cibersegurança, bem como de especificações técnicas relevantes.

2. A Comissão pode adotar atos de execução que identifiquem as normas europeias e internacionais, bem como as especificações técnicas relevantes para efeitos do artigo 21.º

1. As entidades essenciais e importantes notificam a CSIRT ou, se aplicável, a autoridade competente de qualquer incidente que tenha um impacto significativo na prestação dos seus serviços.

2. A notificação é efetuada em três fases:

1. Alerta precoce (24 horas): sem atraso indevido e, em qualquer caso, no prazo de 24 horas após ter tido conhecimento do incidente significativo, a entidade essencial ou importante apresenta um alerta precoce à CSIRT ou à autoridade competente;
2. Notificação do incidente (72 horas): sem atraso indevido e, em qualquer caso, no prazo de 72 horas após ter tido conhecimento do incidente significativo, a entidade essencial ou importante apresenta uma notificação do incidente à CSIRT ou à autoridade competente;
3. Relatório final: no prazo de um mês após a apresentação da notificação do incidente, a entidade essencial ou importante apresenta um relatório final à CSIRT ou à autoridade competente.

3. O alerta precoce referido no n.º 2, alínea a), deve indicar, pelo menos:

• Se o incidente é suspeito de ser causado por atos ilegais ou maliciosos;
• Se o incidente pode ter um impacto transfronteiriço;
• A avaliação inicial do impacto do incidente.

4. A notificação do incidente referida no n.º 2, alínea b), deve incluir:

• Uma descrição do incidente, incluindo a sua gravidade e impacto;
• O tipo de ameaça ou causa que pode ter desencadeado o incidente;
• As medidas de mitigação aplicadas ou em curso de aplicação;
• Se aplicável, o impacto transfronteiriço do incidente.

5. O relatório final referido no n.º 2, alínea c), deve incluir:

• Uma descrição pormenorizada do incidente;
• O tipo de ameaça ou causa que desencadeou o incidente;
• As medidas de mitigação aplicadas;
• O impacto transfronteiriço do incidente;
• A gravidade e o impacto do incidente.

6. Quando tal for necessário para o tratamento do incidente, a CSIRT ou a autoridade competente pode, a qualquer momento, solicitar à entidade essencial ou importante que forneça informações adicionais sobre o incidente.

1. As CSIRT e as autoridades competentes utilizam as informações fornecidas pelas entidades essenciais e importantes ao abrigo do artigo 25.º para o tratamento de incidentes e para fins estatísticos.

2. As informações podem ser partilhadas com outras autoridades competentes ou CSIRT nacionais quando tal for necessário para o tratamento eficaz de incidentes transfronteiriços.

As entidades essenciais e importantes podem divulgar voluntariamente às CSIRT ou às autoridades competentes informações sobre outros incidentes que não tenham tido um impacto significativo nos seus serviços, mas que possam ter relevância para fins de sensibilização ou de alerta precoce.

1. Mediante pedido de uma entidade essencial ou importante, as CSIRT prestam apoio ao tratamento de incidentes, incluindo orientações sobre as medidas de mitigação a aplicar.

2. O apoio prestado pelas CSIRT pode incluir análises técnicas, aconselhamento sobre a resposta ao incidente e partilha de informações sobre ameaças semelhantes.

1. Uma entidade essencial ou importante está sujeita à jurisdição do Estado-Membro em que está estabelecida.

2. Uma entidade é considerada estabelecida num Estado-Membro se tiver a sua sede social ou administração central nesse Estado-Membro, ou se tiver um estabelecimento nesse Estado-Membro.

3. Quando uma entidade esteja estabelecida em mais de um Estado-Membro, a entidade designa um representante num dos Estados-Membros em que está estabelecida como ponto de contacto para questões relacionadas com a presente diretiva.

1. As autoridades competentes dispõem de poderes eficazes de investigação e execução para supervisionar as entidades essenciais e importantes.

2. Esses poderes incluem:

1. Poder para realizar inspeções no local das instalações das entidades essenciais e importantes;
2. Poder para solicitar a prestação de informações necessárias para avaliar as medidas de cibersegurança;
3. Poder para realizar auditorias de segurança;
4. Poder para solicitar acesso a dados, documentos e a qualquer outra informação necessária para o desempenho das suas funções;
5. Poder para emitir instruções vinculativas às entidades essenciais e importantes.

3. As autoridades competentes exercem os seus poderes de supervisão de forma proporcionada e não discriminatória.

1. As autoridades competentes podem tomar as seguintes medidas de supervisão:

• Auditorias de segurança regulares realizadas por organismos qualificados independentes;
• Auditorias de segurança ad hoc quando existam indicações de que uma entidade não cumpre a presente diretiva;
• Análises de segurança a pedido da entidade essencial ou importante;
• Exercícios de simulação de incidentes (cyber drills).

1. As autoridades competentes dispõem de poderes de execução adequados para assegurar a conformidade com a presente diretiva.

2. Os Estados-Membros asseguram que as autoridades competentes aplicam sanções administrativas proporcionadas e dissuasivas em caso de incumprimento da presente diretiva.

1. Os Estados-Membros estabelecem regras relativas às sanções administrativas aplicáveis em caso de incumprimento das disposições nacionais adotadas nos termos da presente diretiva e tomam todas as medidas necessárias para garantir a sua aplicação.

2. As sanções devem ser eficazes, proporcionadas e dissuasivas.

3. As sanções administrativas podem incluir:

• Advertências escritas sobre o incumprimento;
• Ordens para fazer cessar o incumprimento;
• Coimas administrativas, em conformidade com o artigo 34.º;
• Suspensão temporária de certificações ou autorizações emitidas por autoridades competentes.

1. Os Estados-Membros asseguram que, em caso de incumprimento por parte de entidades essenciais das obrigações previstas no artigo 21.º (medidas de gestão de riscos) ou no artigo 25.º (obrigações de notificação), as autoridades competentes têm o poder de aplicar coimas administrativas até:

10 000 000 EUR
ou
2% do volume de negócios anual mundial total

(consoante o valor que for mais elevado)

2. Os Estados-Membros asseguram que, em caso de incumprimento por parte de entidades importantes das obrigações previstas no artigo 21.º (medidas de gestão de riscos) ou no artigo 25.º (obrigações de notificação), as autoridades competentes têm o poder de aplicar coimas administrativas até:

7 000 000 EUR
ou
1,4% do volume de negócios anual mundial total

(consoante o valor que for mais elevado)

3. Ao decidir sobre a aplicação de coimas administrativas e sobre o seu montante, deve ter-se devidamente em conta:

• A gravidade e a duração do incumprimento;
• O caráter intencional ou negligente do incumprimento;
• As medidas tomadas para atenuar os danos sofridos;
• O grau de responsabilidade, tendo em conta as medidas técnicas e organizativas aplicadas;
• As infrações anteriores relevantes cometidas;
• O grau de cooperação com a autoridade competente;
• A forma como a autoridade competente tomou conhecimento da infração;
• O cumprimento de medidas ordenadas anteriormente;
• A adesão a códigos de conduta aprovados;
• Quaisquer outros fatores agravantes ou atenuantes aplicáveis às circunstâncias do caso.

1. Os Estados-Membros asseguram que os membros dos órgãos de gestão das entidades essenciais e importantes possam ser responsabilizados pelo incumprimento das obrigações previstas na presente diretiva quando esse incumprimento seja resultado da sua falta de supervisão adequada das medidas de gestão de riscos.

2. A responsabilidade dos membros dos órgãos de gestão pode incluir:

• Sanções administrativas;
• Suspensão temporária do exercício de funções;
• Proibição temporária de exercer funções em órgãos de gestão de entidades essenciais ou importantes.

1. A União e os Estados-Membros podem celebrar acordos de cooperação com países terceiros e organizações internacionais em matéria de cibersegurança.

2. A cooperação pode incluir:

• Intercâmbio de informações sobre ameaças e incidentes de cibersegurança;
• Partilha de melhores práticas em gestão de riscos de cibersegurança;
• Exercícios conjuntos de simulação de incidentes;
• Desenvolvimento de normas internacionais de cibersegurança;
• Coordenação da resposta a incidentes transfronteiriços.

3. Qualquer intercâmbio de informações com países terceiros deve respeitar as regras da União em matéria de proteção de dados e segurança da informação.

1. Até 17 de outubro de 2027, e, em seguida, de três em três anos, a Comissão procede a uma avaliação da presente diretiva e apresenta um relatório ao Parlamento Europeu e ao Conselho.

2. O relatório de avaliação deve incluir uma análise sobre a eficácia da presente diretiva, o seu impacto no mercado interno e a necessidade de eventuais alterações.

1. O poder de adotar atos delegados é conferido à Comissão nas condições estabelecidas no presente artigo.

2. O poder de adotar atos delegados referido no artigo 21.º, n.º 5, é conferido à Comissão por um prazo indeterminado a partir de 16 de janeiro de 2023.

1. A Comissão é assistida por um comité. Esse comité é um comité na aceção do Regulamento (UE) n.º 182/2011.

2. Caso se faça referência ao presente número, aplica-se o artigo 5.º do Regulamento (UE) n.º 182/2011.

1. Os Estados-Membros asseguram que as entidades essenciais e importantes estabelecem procedimentos para a divulgação coordenada de vulnerabilidades.

2. A divulgação coordenada de vulnerabilidades deve permitir que investigadores de segurança e outras pessoas comuniquem vulnerabilidades diretamente à entidade de forma responsável e confidencial.

1. O tratamento de dados pessoais ao abrigo da presente diretiva é efetuado em conformidade com o Regulamento (UE) 2016/679 e a Diretiva 2002/58/CE.

2. O intercâmbio de informações entre autoridades competentes e CSIRT deve respeitar os princípios de proteção de dados e segurança da informação.

1. O intercâmbio de informações classificadas da UE e de informações confidenciais ao abrigo da presente diretiva é efetuado em conformidade com as regras e procedimentos de segurança aplicáveis.

2. Os Estados-Membros asseguram que as autoridades competentes e as CSIRT dispõem das autorizações de segurança adequadas para tratar informações classificadas.

O artigo 19.º do Regulamento (UE) n.º 910/2014 (eIDAS) é alterado de modo a garantir a coerência com os requisitos de cibersegurança estabelecidos na presente diretiva para prestadores de serviços de confiança qualificados.

1. A Diretiva (UE) 2016/1148 (Diretiva SRI) é revogada com efeitos a partir de 18 de outubro de 2024.

2. As referências à diretiva revogada devem entender-se como sendo feitas à presente diretiva.

1. Os Estados-Membros põem em vigor as disposições legislativas, regulamentares e administrativas necessárias para dar cumprimento à presente diretiva até 17 de outubro de 2024.

2. Quando os Estados-Membros adotarem essas disposições, estas devem incluir uma referência à presente diretiva ou ser acompanhadas dessa referência aquando da sua publicação oficial.

3. Os Estados-Membros comunicam à Comissão o texto das principais disposições de direito interno que adotarem no domínio regido pela presente diretiva.

Nota para Portugal: A Lei n.º 59/2025, aprovada em 22 de outubro de 2025, transpõe a Diretiva NIS2 para o ordenamento jurídico português. As entidades abrangidas têm 180 dias a partir da aprovação da lei para implementar as medidas de cibersegurança obrigatórias (prazo limite: Abril de 2026).

1. A presente diretiva entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

2. A presente diretiva é aplicável a partir de 18 de outubro de 2024.

3. A presente diretiva é dirigida aos Estados-Membros.

Feito em Estrasburgo, em 14 de dezembro de 2022.

Pelo Parlamento Europeu
A Presidente
R. METSOLA

Pelo Conselho
O Presidente
M. BEK