Estado da Transposição NIS2 na UE

Acompanhe o progresso de transposição da Diretiva NIS2 nos Estados-Membros

Visão Geral

27
Estados-Membros
União Europeia
23
Já transpuseram
Incluindo Portugal (maio 2026)
4
Ainda por transpor
Em processo de infração UE

Prazo Original

O prazo estabelecido pela UE para transposição da Diretiva NIS2 era 17 de outubro de 2024. Vários Estados-Membros não cumpriram este prazo devido a complexidades legislativas e processos de consulta pública extensos.

Estados-Membros que já transpuseram

23 dos 27 Estados-Membros já publicaram legislação nacional transpondo a Diretiva NIS2 (fonte: trackers ECSO/Cullen International, maio 2026)

🇧🇪
Bélgica
Transposto
🇭🇷
Croácia
Transposto
🇩🇰
Dinamarca
Transposto
🇪🇪
Estónia
Transposto
🇫🇮
Finlândia
Transposto
🇬🇷
Grécia
Transposto
🇭🇺
Hungria
Transposto
🇮🇹
Itália
Transposto
🇱🇻
Letónia
Transposto
🇱🇮
Liechtenstein
Transposto (EEE)
🇱🇹
Lituânia
Transposto
🇲🇹
Malta
Transposto
🇵🇹
Portugal
Transposto - Dez 2025
🇩🇪
Alemanha
Transposto - Dez 2025
🇦🇹
Austria
Transposto
🇮🇪
Irlanda
Transposto
🇱🇺
Luxemburgo
Transposto
🇸🇪
Suecia
Transposto
🇷🇴
Roménia
Transposto
🇸🇰
Eslováquia
Transposto
🇸🇮
Eslovénia
Transposto
🇨🇭
Suíça
Transposto (EEE)

Estados-Membros ainda por transpor

Apenas 4 EM ainda não concluíram a transposição a maio de 2026. Os seus casos foram referidos ao Tribunal de Justiça da UE (TJUE) pela Comissão Europeia apos o prazo do parecer fundamentado ter decorrido.

🇫🇷
França
Pendente
🇪🇸
Espanha
Pendente
🇳🇱
Países Baixos
Pendente
🇵🇱
Polónia
Pendente

Nota

A identificação dos 4 EM ainda por transpor baseia-se nos trackers ECSO e Cullen International (referencia: maio 2026). Os nomes indicados refletem os paises com menor progresso registado nas fontes disponiveis. Consulte o ECSO NIS2 Tracker para a lista atualizada.

Portugal - Destaque

Decreto-Lei n.º 125/2025

Publicação
4 Dez 2025
Entrada em Vigor
3 Abr 2026
Autoridade
CNCS

Portugal publicou o Decreto-Lei n.º 125/2025 em 4 de dezembro de 2025, aprovando o Regime Jurídico da Cibersegurança e transpondo integralmente a Diretiva NIS2.

O diploma entra em vigor 120 dias após a publicação (abril 2026) e estabelece o Centro Nacional de Cibersegurança (CNCS) como autoridade competente nacional.

Quadro legal europeu de ciberseguranca

Alem da NIS2, vigoram em Portugal outros regulamentos europeus de ciberseguranca sem necessidade de transposicao: DORA, AI Act, Cyber Resilience Act e Cyber Solidarity Act. Consulte o panorama completo com datas-chave, autoridades e ambito de cada diploma.

Ver leis europeias de ciberseguranca

Procedimentos de Infração

Procedimento de infração em curso para os 4 EM restantes

Em 7 de maio de 2025, a Comissão Europeia emitiu pareceres fundamentados a 19 Estados-Membros que nao tinham transposto a NIS2. A maioria transpôs entretanto; os 4 que permanecem em falta viram os seus casos referidos ao Tribunal de Justica da UE (TJUE).

1
Novembro 2024

Carta de notificacao formal

Comissao Europeia envia cartas de notificacao formal aos Estados-Membros em atraso.

2
7 maio 2025

Parecer fundamentado a 19 EM

Segunda etapa do procedimento de infracão da UE. Portugal estava entre os 19 visados, tendo transposto em dezembro de 2025 e evitado sancoes.

3
Finais 2025 / inicio 2026

Transposicoes em massa

A maioria dos 19 EM transpôs apos o parecer fundamentado, incluindo Portugal (DL 125/2025, 4 dez 2025, em vigor 3 abr 2026) e a Alemanha (BSI Act, 5 dez 2025).

4
2026 em diante

Recurso ao TJUE para os 4 EM restantes

Os 4 EM que continuam sem transpor enfrentam o Tribunal de Justica da UE, com risco de coimas diarias aplicadas pela Comissao Europeia.

Primeiro enforcement pratico: Alemanha. Apos o prazo de registo das entidades no BSI (6 de marco de 2026), a Alemanha iniciou a fase de aplicacao de sancoes. O registo tardio constitui infracão punivel com coima ate 500 000 euros. As primeiras sancoes foram publicadas a partir de maio de 2026. Em Portugal, o paralelo e o registo na plataforma MyCiber do CNCS, com coimas previstas no DL 125/2025 de ate 10 M€ (entidades essenciais) ou 7 M€ (entidades importantes).

Cybersecurity Act 2 (CSA2): proposta de janeiro 2026

A Comissão Europeia publicou em 20 de janeiro de 2026 a proposta de revisão do Cybersecurity Act, complementando as alterações à NIS2

Principais Alterações

  • Segurança da cadeia de fornecimento ICT: Novos requisitos para hardware e software
  • Certificação europeia reforçada: Esquemas de certificação mais robustos com reconhecimento mútuo
  • Certificação de cyber-posture: Nova certificação ao nível da entidade (não apenas produto)
  • Papel da ENISA reforçado: Supervisão cross-border e gestão centralizada

Estado Legislativo

  • Publicação: 20 de janeiro de 2026
  • Fase atual: Processo legislativo no Parlamento Europeu
  • Consulta pública: Aberta até 9 de março de 2026
  • Entrada em vigor: Dependente do processo legislativo ordinário
Impacto em Portugal: A CSA2 complementa o DL 125/2025, trazendo requisitos adicionais de certificação que as entidades NIS2 poderão ter de cumprir.

Base Europeia de Vulnerabilidades (GCVE)

Nova base de dados pública europeia para catalogação e partilha de vulnerabilidades de cibersegurança

O que é o GCVE?

O Global CVE (GCVE) é uma iniciativa europeia que criou uma base de dados pública de vulnerabilidades acessível em db.gcve.eu.

  • Modelo descentralizado: Promove a soberania digital europeia na gestão de vulnerabilidades
  • Complementa a NIS2: Apoia o processo de coordinated vulnerability disclosure previsto na diretiva
  • Acesso público: Informação disponível gratuitamente para todas as organizações
  • Coordenação ENISA: Gerida em articulação com a Agência Europeia de Cibersegurança

Relevância para entidades NIS2

As entidades abrangidas pela NIS2 devem implementar processos de gestão de vulnerabilidades (Medida 6 do Art. 21). A base GCVE é um recurso valioso para:

  • Identificação proativa de vulnerabilidades
  • Priorização de patches e atualizações
  • Reporte de vulnerabilidades descobertas

Fontes Oficiais

Acompanhe o estado de transposição através de fontes oficiais europeias

🔒

ECSO NIS2 Tracker

Ferramenta oficial da European Cyber Security Organisation que acompanha o estado de transposição da NIS2 em todos os Estados-Membros em tempo real.

Aceder ao Tracker
🇪🇺

ENISA

Agência da União Europeia para a Cibersegurança. Informações, orientações e recursos sobre a implementação da Diretiva NIS2.

Visitar ENISA
📚

Comissão Europeia

Página oficial da Comissão Europeia sobre a Diretiva NIS2, incluindo documentos, FAQs e informações sobre procedimentos de infração.

Ver informações CE

Verifique a Conformidade da sua Organização

Com 23 dos 27 Estados-Membros já tendo transposto a NIS2 e o enforcement iniciado na Alemanha, nao ha margem para esperar. Verifique agora a situacao da sua organizacao.

Calculadora NIS2 Quiz de Conformidade