Leis europeias de ciberseguranca em Portugal
A União Europeia legislou de forma intensa em cibersegurança nos últimos anos. A distinção fundamental que todo o responsável de conformidade deve dominar: um regulamento europeu aplica-se diretamente em todos os Estados-Membros, sem necessitar de lei nacional; uma diretiva exige transposição para o direito de cada país. Em cibersegurança, isto significa que a NIS2 (diretiva) obrigou à publicação do DL 125/2025 em Portugal, enquanto a DORA, o AI Act e o Cyber Resilience Act (regulamentos) já vinculam entidades portuguesas sem qualquer transposição.
Regulamento vs. diretiva: a distinção que importa
Antes de analisar cada lei, convém fixar a diferença entre os dois principais instrumentos legislativos da UE. Esta distinção determina se a sua organização tem de aguardar legislação nacional ou se está já vinculada pelo diploma europeu.
Regulamento europeu
Tem efeito direto e imediato em todos os Estados-Membros a partir da data de aplicação indicada no próprio texto. Não é necessária qualquer lei ou decreto nacional. A organização está vinculada pelo regulamento europeu tal como está publicado no Jornal Oficial da UE.
Diretiva europeia
Define objetivos e requisitos mínimos, mas cada Estado-Membro deve transpô-la para o seu próprio direito nacional num prazo fixado. A organização fica vinculada pela lei nacional de transposição, que pode ir além do mínimo europeu. Enquanto a transposição não existe, a diretiva não se aplica diretamente às empresas.
Panorama das leis europeias de ciberseguranca
Tabela de referência rápida com o estado de aplicação em Portugal, datas-chave, autoridades competentes e âmbito de cada diploma.
| Lei | Tipo | Estado em Portugal | Datas-chave | Autoridade(s) | A quem se aplica |
|---|---|---|---|---|---|
| NIS2 Dir. (UE) 2022/2555 |
Diretiva | Transposta DL 125/2025 + Reg. CNCS 756/2026 |
Publicada 14 dez 2022; transposicao PT 4 dez 2025; em vigor 3 abr 2026; MyCiber operacional jun 2026 | CNCS, ANACOM, GNS | 17 setores + Administracao Publica (entidades essenciais e importantes) |
| DORA Reg. (UE) 2022/2554 |
Regulamento | Em vigor direto Desde 17 jan 2025 |
Em vigor 16 jan 2023; aplicavel 17 jan 2025 | Banco de Portugal, CMVM, ASF | Setor financeiro: bancos, seguradoras, gestoras, fornecedores criticos de TIC |
| Reg. Exec. 2024/2690 Reg. Exec. (UE) 2024/2690 |
Reg. execucao | Em vigor direto Desde 7 nov 2024 |
Adotado 17 out 2024; aplicavel 7 nov 2024 | CNCS | Fornecedores de infraestrutura digital e TIC: DNS, cloud, data centers, MSP/MSSP |
| AI Act Reg. (UE) 2024/1689 |
Regulamento | Aplicacao faseada | Em vigor 1 ago 2024; proibicoes 2 fev 2025; GPAI 2 ago 2025; aplicacao geral 2 ago 2026; alto risco 2 ago 2027 | Autoridade nacional de IA (a designar) | Fornecedores e utilizadores de sistemas de IA (por niveis de risco) |
| Cyber Resilience Act Reg. (UE) 2024/2847 |
Regulamento | Aplicacao faseada | Reporte desde 11 set 2026; aplicacao plena 11 dez 2027 | Autoridades de fiscalizacao do mercado | Fabricantes de produtos com elementos digitais (hardware e software) |
| Cyber Solidarity Act Reg. (UE) 2025/38 |
Regulamento | Em vigor direto 2025 |
Em vigor em 2025 | ENISA, CSIRTs nacionais | Reforco da detetacao e resposta a incidentes de ciberseguranca a nivel UE |
Fontes: EUR-Lex, CNCS, EIOPA, Comissao Europeia. Ultima atualizacao: junho 2026.
Cada lei em detalhe
Visao aprofundada de cada diploma, com o respetivo impacto em Portugal e ligacoes para aprofundar o tema.
NIS2: Diretiva (UE) 2022/2555
A Diretiva NIS2 (Network and Information Security 2) substitui a NIS1 e expande significativamente o ambito setorial e as obrigacoes de seguranca para entidades essenciais e importantes na UE. Por ser uma diretiva, precisou de transposicao nacional: em Portugal, esse trabalho resultou no Decreto-Lei n.º 125/2025, publicado em 4 de dezembro de 2025 e em vigor desde 3 de abril de 2026. O CNCS e a autoridade competente nacional e a plataforma MyCiber tornou-se operacional em junho de 2026 para registo e notificacao de incidentes. A NIS2 abrange 17 setores economicos (mais a Administracao Publica), distinguindo entidades essenciais (EE) de entidades importantes (EI) com regimes de supervisao diferenciados.
DORA: Regulamento (UE) 2022/2554
O Digital Operational Resilience Act (DORA) e um regulamento europeu diretamente aplicavel em Portugal desde 17 de janeiro de 2025, sem necessidade de transposicao. Visa uniformizar os requisitos de resiliencia operacional digital no setor financeiro em toda a UE, cobrindo gestao do risco de TIC, notificacao de incidentes, testes de resiliencia e gestao de risco de terceiros (fornecedores criticos de TIC). As autoridades competentes em Portugal sao o Banco de Portugal (para bancos e credito), a CMVM (mercados de capitais e gestao de ativos) e a ASF (seguros e fundos de pensoes). A DORA contem uma clausula de lex specialis face a NIS2: o cumprimento dos requisitos DORA equivale ao cumprimento das obrigacoes NIS2 correspondentes para entidades do setor financeiro.
Regulamento de Execucao (UE) 2024/2690
Adotado pela Comissao Europeia em 17 de outubro de 2024 e aplicavel desde 7 de novembro de 2024, este regulamento de execucao especifica as medidas tecnicas e organizacionais e o processo de notificacao de incidentes para fornecedores de infraestrutura digital e de servicos TIC abrangidos pela NIS2. Inclui operadores de DNS, plataformas de computacao em nuvem (cloud), data centers e prestadores de servicos geridos de seguranca (MSP/MSSP). Por ser um regulamento de execucao, aplica-se diretamente em Portugal sem transposicao adicional, sendo o CNCS a autoridade competente.
AI Act: Regulamento (UE) 2024/1689
O AI Act e o primeiro quadro legal abrangente do mundo para sistemas de inteligencia artificial, aplicavel diretamente em Portugal em fases progressivas. As proibicoes de praticas de IA inaceitaveis (manipulacao subliminar, scoring social por entes publicos, etc.) tornaram-se efetivas em 2 de fevereiro de 2025. Os requisitos para modelos de IA de uso geral (GPAI) e as regras de governacao aplicam-se desde 2 de agosto de 2025. A aplicacao geral para sistemas de IA de alto risco em novos dominios comeca em 2 de agosto de 2026, enquanto os sistemas de alto risco ja cobertos por legislacao setorial anterior dao cumprimento ate 2 de agosto de 2027. Portugal ainda nao designou a autoridade nacional de supervisao de IA, processo em curso no contexto do AI Office europeu.
Cyber Resilience Act: Regulamento (UE) 2024/2847
O Cyber Resilience Act (CRA) estabelece requisitos de ciberseguranca obrigatorios para produtos com elementos digitais colocados no mercado da UE, abrangendo hardware e software comercializados separadamente. Os fabricantes ficam obrigados a implementar seguranca por defeito (security by design), a gerir vulnerabilidades ao longo do ciclo de vida do produto e a notificar vulnerabilidades exploradas ativamente e incidentes de seguranca. As obrigacoes de reporte passam a ser exigiveis desde 11 de setembro de 2026; a aplicacao plena de todos os requisitos e efetiva a partir de 11 de dezembro de 2027. O CRA tem impacto direto na cadeia de fornecimento de software e dispositivos IoT, e deve ser considerado em conjunto com a NIS2 pelas entidades que dependem de produtos digitais de terceiros.
Cyber Solidarity Act: Regulamento (UE) 2025/38
O Regulamento de Solidariedade Cibernetica (Cyber Solidarity Act) cria mecanismos de cooperacao e assistencia mutua entre Estados-Membros face a ciberincidentes de grande escala. Establece o Sistema Europeu de Alerta de Ciberseguranca (rede de Security Operations Centers), um mecanismo de emergencia cibernetica financiado pela UE para resposta a incidentes transfronteicarios e um mecanismo de revisao de incidentes ciberneticos. A ENISA e os CSIRTs nacionais (em Portugal, o CNCS/CERT.PT) sao os principais atores operacionais. Para a maioria das organizacoes privadas o impacto e indireto, mas as entidades essenciais e importantes NIS2 beneficiam dos servicos de resposta a incidentes previstos.
Perguntas frequentes
As questoes mais comuns sobre o quadro legal europeu de ciberseguranca aplicavel em Portugal.
Qual a diferenca entre regulamento e diretiva europeia em ciberseguranca?
Um regulamento europeu aplica-se diretamente em todos os Estados-Membros sem necessitar de transposicao para o direito nacional. Uma diretiva estabelece objetivos que cada Estado-Membro deve alcancar atraves de legislacao propria. Em ciberseguranca, a NIS2 e uma diretiva (exigiu o DL 125/2025 em Portugal), enquanto a DORA, o AI Act e o Cyber Resilience Act sao regulamentos que vigoram diretamente em Portugal sem qualquer transposicao. A consequencia pratica e que o cumprimento dos regulamentos e obrigatorio independentemente de haver ou nao lei nacional.
A DORA aplica-se diretamente em Portugal?
Sim. O Regulamento (UE) 2022/2554 (DORA) e um regulamento europeu e aplica-se diretamente em Portugal desde 17 de janeiro de 2025, sem necessitar de transposicao para a lei portuguesa. As entidades financeiras abrangidas (bancos, seguradoras, gestoras de fundos, fornecedores criticos de TIC) devem cumprir os seus requisitos junto das autoridades competentes: Banco de Portugal, CMVM e ASF.
Tenho de cumprir a NIS2 e a DORA ao mesmo tempo?
Depende do setor. Uma instituicao financeira (banco, seguradora, gestora) pode estar sujeita simultaneamente a NIS2 (DL 125/2025) e a DORA. O legislador europeu previu esta sobreposicao: a DORA contem uma clausula de lex specialis que prevalece sobre a NIS2 em materias de resiliencia operacional digital para o setor financeiro. Na pratica, o cumprimento da DORA e aceite como equivalente para os requisitos NIS2 correspondentes, mas as entidades devem verificar com as respetivas autoridades (CNCS, Banco de Portugal, CMVM, ASF).
Quando comeca a aplicar-se o Cyber Resilience Act?
O Regulamento (UE) 2024/2847 (Cyber Resilience Act) aplica-se em fases. As obrigacoes de reporte de vulnerabilidades e incidentes ativos tornaram-se exigiveis a partir de 11 de setembro de 2026. A aplicacao plena, incluindo os requisitos de seguranca por defeito para produtos com elementos digitais, e exigivel a partir de 11 de dezembro de 2027. O regulamento abrange fabricantes de hardware e software com ligacao digital, incluindo dispositivos IoT, e aplica-se a todos os produtos colocados no mercado da UE, incluindo por fabricantes de paises terceiros.
Avalie o seu nivel de conformidade NIS2
Conhecer o quadro legal e o primeiro passo. O segundo e perceber onde a sua organizacao se situa face a cada uma destas obrigacoes. Use as nossas ferramentas para fazer o diagnostico.