Visão Geral
Prazo Original
O prazo estabelecido pela UE para transposição da Diretiva NIS2 era 17 de outubro de 2024. Vários Estados-Membros não cumpriram este prazo devido a complexidades legislativas e processos de consulta pública extensos.
Acompanhe o progresso de transposição da Diretiva NIS2 nos Estados-Membros
O prazo estabelecido pela UE para transposição da Diretiva NIS2 era 17 de outubro de 2024. Vários Estados-Membros não cumpriram este prazo devido a complexidades legislativas e processos de consulta pública extensos.
23 dos 27 Estados-Membros já publicaram legislação nacional transpondo a Diretiva NIS2 (fonte: trackers ECSO/Cullen International, maio 2026)
Apenas 4 EM ainda não concluíram a transposição a maio de 2026. Os seus casos foram referidos ao Tribunal de Justiça da UE (TJUE) pela Comissão Europeia apos o prazo do parecer fundamentado ter decorrido.
A identificação dos 4 EM ainda por transpor baseia-se nos trackers ECSO e Cullen International (referencia: maio 2026). Os nomes indicados refletem os paises com menor progresso registado nas fontes disponiveis. Consulte o ECSO NIS2 Tracker para a lista atualizada.
Portugal publicou o Decreto-Lei n.º 125/2025 em 4 de dezembro de 2025, aprovando o Regime Jurídico da Cibersegurança e transpondo integralmente a Diretiva NIS2.
O diploma entra em vigor 120 dias após a publicação (abril 2026) e estabelece o Centro Nacional de Cibersegurança (CNCS) como autoridade competente nacional.
Alem da NIS2, vigoram em Portugal outros regulamentos europeus de ciberseguranca sem necessidade de transposicao: DORA, AI Act, Cyber Resilience Act e Cyber Solidarity Act. Consulte o panorama completo com datas-chave, autoridades e ambito de cada diploma.
Ver leis europeias de cibersegurancaEm 7 de maio de 2025, a Comissão Europeia emitiu pareceres fundamentados a 19 Estados-Membros que nao tinham transposto a NIS2. A maioria transpôs entretanto; os 4 que permanecem em falta viram os seus casos referidos ao Tribunal de Justica da UE (TJUE).
Comissao Europeia envia cartas de notificacao formal aos Estados-Membros em atraso.
Segunda etapa do procedimento de infracão da UE. Portugal estava entre os 19 visados, tendo transposto em dezembro de 2025 e evitado sancoes.
A maioria dos 19 EM transpôs apos o parecer fundamentado, incluindo Portugal (DL 125/2025, 4 dez 2025, em vigor 3 abr 2026) e a Alemanha (BSI Act, 5 dez 2025).
Os 4 EM que continuam sem transpor enfrentam o Tribunal de Justica da UE, com risco de coimas diarias aplicadas pela Comissao Europeia.
A Comissão Europeia publicou em 20 de janeiro de 2026 a proposta de revisão do Cybersecurity Act, complementando as alterações à NIS2
Nova base de dados pública europeia para catalogação e partilha de vulnerabilidades de cibersegurança
O Global CVE (GCVE) é uma iniciativa europeia que criou uma base de dados pública de vulnerabilidades acessível em db.gcve.eu.
As entidades abrangidas pela NIS2 devem implementar processos de gestão de vulnerabilidades (Medida 6 do Art. 21). A base GCVE é um recurso valioso para:
Acompanhe o estado de transposição através de fontes oficiais europeias
Ferramenta oficial da European Cyber Security Organisation que acompanha o estado de transposição da NIS2 em todos os Estados-Membros em tempo real.
Aceder ao TrackerAgência da União Europeia para a Cibersegurança. Informações, orientações e recursos sobre a implementação da Diretiva NIS2.
Visitar ENISAPágina oficial da Comissão Europeia sobre a Diretiva NIS2, incluindo documentos, FAQs e informações sobre procedimentos de infração.
Ver informações CECom 23 dos 27 Estados-Membros já tendo transposto a NIS2 e o enforcement iniciado na Alemanha, nao ha margem para esperar. Verifique agora a situacao da sua organizacao.