NIS2 Portugal

Estado da Transposição NIS2 na UE

Acompanhe o progresso de transposição da Diretiva NIS2 nos Estados-Membros

Visão Geral

27
Estados-Membros
União Europeia
17
Já Transpuseram
Incluindo Portugal
10
Em Processo
Ainda não completaram

Prazo Original

O prazo estabelecido pela UE para transposição da Diretiva NIS2 era 17 de outubro de 2024. Vários Estados-Membros não cumpriram este prazo devido a complexidades legislativas e processos de consulta pública extensos.

Estados-Membros que já Transpuseram

17 países já publicaram legislação nacional transpondo a Diretiva NIS2

🇧🇪
Bélgica
Transposto
🇭🇷
Croácia
Transposto
🇩🇰
Dinamarca
Transposto
🇪🇪
Estónia
Transposto
🇫🇮
Finlândia
Transposto
🇬🇷
Grécia
Transposto
🇭🇺
Hungria
Transposto
🇮🇹
Itália
Transposto
🇱🇻
Letónia
Transposto
🇱🇮
Liechtenstein
Transposto (EEE)
🇱🇹
Lituânia
Transposto
🇲🇹
Malta
Transposto
🇵🇹
Portugal
Transposto - Dez 2025
🇷🇴
Roménia
Transposto
🇸🇰
Eslováquia
Transposto
🇸🇮
Eslovénia
Transposto
🇨🇭
Suíça
Transposto (EEE)

Estados-Membros em Processo

10 países ainda não completaram a transposição da Diretiva NIS2

🇩🇪
Alemanha
Em processo avançado
🇦🇹
Áustria
Pendente
🇧🇬
Bulgária
Pendente
🇨🇾
Chipre
Pendente
🇨🇿
Chéquia
Pendente
🇪🇸
Espanha
Pendente
🇫🇷
França
Pendente
🇮🇪
Irlanda
Pendente
🇱🇺
Luxemburgo
Pendente
🇳🇱
Países Baixos
Pendente
🇵🇱
Polónia
Pendente
🇸🇪
Suécia
Pendente

Portugal - Destaque

Decreto-Lei n.º 125/2025

Publicação
4 Dez 2025
Entrada em Vigor
3 Abr 2026
Autoridade
CNCS

Portugal publicou o Decreto-Lei n.º 125/2025 em 4 de dezembro de 2025, aprovando o Regime Jurídico da Cibersegurança e transpondo integralmente a Diretiva NIS2.

O diploma entra em vigor 120 dias após a publicação (abril 2026) e estabelece o Centro Nacional de Cibersegurança (CNCS) como autoridade competente nacional.

Procedimentos de Infração

Pareceres Fundamentados da Comissão Europeia

Em 7 de maio de 2025, a Comissão Europeia emitiu pareceres fundamentados a 19 Estados-Membros que não tinham transposto integralmente a Diretiva NIS2 dentro do prazo estabelecido.

1
Novembro 2024

Carta de Notificação Formal

Comissão Europeia envia cartas de notificação formal aos Estados-Membros em atraso.

2
Maio 2025

Parecer Fundamentado

19 Estados-Membros recebem parecer fundamentado. Esta é a segunda etapa do procedimento de infração da UE.

3
Futuro

Possível Recurso ao TJUE

Caso os Estados-Membros não transponham, a Comissão pode recorrer ao Tribunal de Justiça da União Europeia, podendo resultar em multas diárias.

Atualização: Portugal completou a transposição em dezembro de 2025, evitando potenciais sanções por parte da Comissão Europeia.

Cybersecurity Act 2 (CSA2) — Proposta Janeiro 2026

A Comissão Europeia publicou em 20 de janeiro de 2026 a proposta de revisão do Cybersecurity Act, complementando as alterações à NIS2

Principais Alterações

  • Segurança da cadeia de fornecimento ICT: Novos requisitos para hardware e software
  • Certificação europeia reforçada: Esquemas de certificação mais robustos com reconhecimento mútuo
  • Certificação de cyber-posture: Nova certificação ao nível da entidade (não apenas produto)
  • Papel da ENISA reforçado: Supervisão cross-border e gestão centralizada

Estado Legislativo

  • Publicação: 20 de janeiro de 2026
  • Fase atual: Processo legislativo no Parlamento Europeu
  • Consulta pública: Aberta até 9 de março de 2026
  • Entrada em vigor: Dependente do processo legislativo ordinário
Impacto em Portugal: A CSA2 complementa o DL 125/2025, trazendo requisitos adicionais de certificação que as entidades NIS2 poderão ter de cumprir.

Base Europeia de Vulnerabilidades (GCVE)

Nova base de dados pública europeia para catalogação e partilha de vulnerabilidades de cibersegurança

O que é o GCVE?

O Global CVE (GCVE) é uma iniciativa europeia que criou uma base de dados pública de vulnerabilidades acessível em db.gcve.eu.

  • Modelo descentralizado: Promove a soberania digital europeia na gestão de vulnerabilidades
  • Complementa a NIS2: Apoia o processo de coordinated vulnerability disclosure previsto na diretiva
  • Acesso público: Informação disponível gratuitamente para todas as organizações
  • Coordenação ENISA: Gerida em articulação com a Agência Europeia de Cibersegurança

Relevância para entidades NIS2

As entidades abrangidas pela NIS2 devem implementar processos de gestão de vulnerabilidades (Medida 6 do Art. 21). A base GCVE é um recurso valioso para:

  • Identificação proativa de vulnerabilidades
  • Priorização de patches e atualizações
  • Reporte de vulnerabilidades descobertas

Fontes Oficiais

Acompanhe o estado de transposição através de fontes oficiais europeias

🔒

ECSO NIS2 Tracker

Ferramenta oficial da European Cyber Security Organisation que acompanha o estado de transposição da NIS2 em todos os Estados-Membros em tempo real.

Aceder ao Tracker
🇪🇺

ENISA

Agência da União Europeia para a Cibersegurança. Informações, orientações e recursos sobre a implementação da Diretiva NIS2.

Visitar ENISA
📚

Comissão Europeia

Página oficial da Comissão Europeia sobre a Diretiva NIS2, incluindo documentos, FAQs e informações sobre procedimentos de infração.

Ver informações CE

Verifique a Conformidade da sua Organização

Com 17 Estados-Membros já tendo transposto a NIS2, é crucial que as organizações se preparem para os novos requisitos de cibersegurança

Calculadora NIS2 Quiz de Conformidade