NIS2 administração pública | Conformidade, ameaças e templates

Enquadramento NIS2

O setor da administração pública está incluído no Anexo I: Setores de alta criticidade da Diretiva NIS2 (transposta pelo DL 125/2025). OE (Operadores Essenciais) para a administração central e entidades de maior criticidade; OI (Operadores Importantes) nos restantes casos, incluindo a maior parte das autarquias locais.

Ver todos os 18 setores abrangidos

Classificacao setorial

Anexo I: Setores de alta criticidade

OE (Operadores Essenciais) para a administração central e entidades de maior criticidade; OI (Operadores Importantes) nos restantes casos, incluindo a maior parte das autarquias locais.

Exemplos de entidades abrangidas

Administração direta e indireta do Estado (ministérios, serviços centrais)
Autarquias locais (câmaras municipais, juntas de freguesia, municípios)
Institutos públicos (IPSS, IP, EPE)
Entidades administrativas independentes (reguladores setoriais)
Serviços partilhados da administração pública (eSPap, AMA)

Autoridades competentes

CNCS : Centro Nacional de Cibersegurança: autoridade nacional NIS2 competente e ponto de contacto setorial para a administração pública.

AMA : Agência para a Modernização Administrativa: responsável pela transformação digital do Estado e pela gestão de serviços partilhados como o ePortugal e a Chave Móvel Digital.

GNS : Gabinete Nacional de Segurança: autoridade de segurança nacional, responsável pela classificação de informação e pela proteção de informação classificada do Estado.

Ameacas especificas do setor

A administração pública é um alvo prioritário de grupos de cibercrime e de atores patrocinados por Estados. A fragmentação tecnológica entre organismos, a menor maturidade de segurança das autarquias locais e a detenção de grandes volumes de dados de cidadãos tornam o setor especialmente vulnerável.

Ransomware em municípios e câmaras municipais

Os municípios são alvos frequentes de ransomware pela menor maturidade de segurança e pela dependência de sistemas legados. Ataques documentados em câmaras municipais portuguesas resultaram na paralisação de serviços ao cidadão, perda de dados e exigência de resgate. A falta de backups offline testados agrava o impacto.

Ataques a serviços públicos digitais

O Portal das Finanças, a Segurança Social Direta e outros serviços digitais do Estado são alvos de ataques DDoS e de tentativas de acesso não autorizado. A indisponibilidade destes serviços tem impacto direto nos cidadãos e nas empresas e pode ser usada como distração para ataques mais profundos.

Exfiltração de dados pessoais de cidadãos

A administração pública detém registos fiscais, de saúde, judiciais e biométricos de todos os cidadãos. A exfiltração destes dados representa um risco sistémico para a privacidade e pode ser usada para fraude de identidade em larga escala. Incidentes em bases de dados municipais e de registos civis são documentados em toda a Europa.

Espionagem e ataques APT a organismos centrais

Ministérios, serviços de segurança e organismos de política externa são alvos de grupos APT patrocinados por Estados. O objetivo é a obtenção de informação classificada, documentos de política interna e dados de negociações diplomáticas. Requerem controlos de segurança alinhados com as normas do GNS.

Regulacao aplicavel

Para além do DL 125/2025 (transposição da Diretiva NIS2), o setor da administração pública está sujeito a regulação setorial específica que se articula com as obrigações NIS2.

DL 125/2025 : Art. 27.º (9 medidas)

Transposição da Diretiva NIS2 em Portugal. Todas as entidades da administração pública abrangidas devem implementar as 9 medidas de cibersegurança previstas no Art. 27.º, independentemente da sua dimensão.

Estratégia Nacional de Segurança do Ciberespaço (ENSC)

Define os objetivos estratégicos de segurança do ciberespaço em Portugal, incluindo a proteção das infraestruturas críticas do Estado e o reforço da capacidade de resposta a incidentes na administração pública.

Normas de classificação de informação do GNS

O Gabinete Nacional de Segurança estabelece as normas de classificação e proteção de informação sensível do Estado (CONFIDENCIAL, SECRETO, MUITO SECRETO), aplicáveis a organismos da administração central com acesso a informação classificada.

Interoperabilidade da Administração Pública (iAP) e Chave Móvel Digital

A plataforma iAP e a Chave Móvel Digital são infraestruturas críticas partilhadas da administração pública, geridas pela AMA. A sua segurança está abrangida pelas obrigações NIS2 e por requisitos adicionais de resiliência definidos pela AMA e pelo CNCS.

As 9 medidas do Art. 27.º aplicadas ao setor

O Art. 27.º do DL 125/2025 (que transpõe o Art. 21 da Diretiva NIS2) estabelece 9 medidas de cibersegurança obrigatórias para operadores essenciais e importantes. Aqui mostramos como cada medida se aplica especificamente ao setor da administração pública.

al. a)

Tratamento de incidentes

Definir procedimentos de deteção, resposta e recuperação, com notificação ao CNCS em 24 horas (Art. 42.º) e relatório final em 30 dias (Art. 44.º).

al. b)

Continuidade das atividades e gestão de crises

Manter cópias de segurança offline e testadas, planos de recuperação de desastres e capacidade de operação em modo degradado.

al. c)

Segurança da cadeia de abastecimento

Avaliar a cibersegurança de fornecedores e prestadores de serviços diretos e incluir cláusulas contratuais adequadas.

al. d)

Segurança na aquisição, desenvolvimento e manutenção

Incluir requisitos de cibersegurança em sistemas e equipamentos, com tratamento e divulgação de vulnerabilidades.

al. e)

Avaliação da eficácia das medidas

Realizar auditorias e testes de resiliência periódicos para validar a eficácia dos controlos.

al. f)

Práticas básicas de ciber-higiene e formação

Formar todos os colaboradores e os órgãos de gestão; simular ataques de phishing dirigidos ao contexto do setor.

al. g)

Criptografia e cifragem

Cifrar dados sensíveis em repouso e em trânsito, com gestão adequada de chaves.

al. h)

Segurança dos recursos humanos, controlo de acessos e gestão de ativos

Aplicar controlo de acessos baseado em funções (RBAC), inventário de ativos e revisão periódica de privilégios.

al. i)

Autenticação multifator e comunicações seguras

Exigir autenticação multifator para acessos remotos e privilegiados e proteger as comunicações internas.

Templates para o setor da administração pública

Documentação pronta a usar, adaptada às especificidades regulatórias e de ameaças do setor da administração pública.

Checklist NIS2 : Administração pública

Lista de verificação das obrigações do DL 125/2025 adaptada à administração pública, com referências à ENSC, às normas do GNS e aos requisitos de interoperabilidade da AMA.

Descarregar DOCX

Matriz de risco : Administração pública

Matriz de avaliação de riscos cibernéticos específica para organismos da administração pública, incluindo cenários de ransomware em municípios e ataques a serviços digitais do Estado.

Descarregar XLSX

Plano de resposta a incidentes : Administração pública

Plano estruturado para resposta a incidentes em organismos da administração pública, com fluxos de comunicação ao CNCS e procedimentos de continuidade de serviços ao cidadão.

Descarregar DOCX

Ferramentas relacionadas

Explore as ferramentas da plataforma para aprofundar a sua conformidade NIS2.

Radar de ameacas

Vulnerabilidades exploradas ativamente (CISA KEV) com contexto NIS2.

Observatorio de ransomware

Grupos ativos, setores alvo e tendencias de ransomware em 2025-2026.

Calculadora de classificacao

Determine se a sua organizacao e OE ou OI ao abrigo do DL 125/2025.

Sistema de auditoria NIS2

Avalie a maturidade da sua conformidade com as 9 medidas do Art. 27.

Setores abrangidos

Todos os 18 setores NIS2 e as suas obrigacoes especificas.

Perguntas frequentes

Questoes comuns sobre a conformidade NIS2 no setor da administração pública.

A minha câmara municipal está abrangida pela NIS2 / DL 125/2025?

Sim. As autarquias locais estão incluídas no Anexo I da Diretiva NIS2 (setores de alta criticidade) na categoria de administração pública, transposta em Portugal pelo DL 125/2025. A classificação como Operador Essencial (OE) ou Operador Importante (OI) depende da dimensão e da criticidade dos serviços prestados. Use a calculadora de classificação para verificar o caso específico do seu município.

Que prazo tem a administração pública para notificar um incidente de cibersegurança?

O DL 125/2025 prevê notificação inicial ao CNCS em 24 horas após tomar conhecimento de um incidente significativo (Art. 42.º). Segue-se uma atualização em 72 horas com mais detalhes e um relatório final no prazo de 30 dias (Art. 44.º). Incidentes que envolvam dados pessoais de cidadãos podem também implicar notificação à CNPD ao abrigo do RGPD no prazo de 72 horas.

Como devem os municípios gerir a segurança de sistemas legados sem suporte?

Os sistemas legados sem suporte do fabricante representam um risco crítico coberto pela alínea d) do Art. 27.º do DL 125/2025 (segurança na aquisição, desenvolvimento e manutenção). Os municípios devem inventariar todos os sistemas sem suporte, implementar compensating controls (segmentação de rede, monitorização intensiva) e elaborar um plano de modernização. O CNCS disponibiliza orientações específicas para autarquias locais.

A utilização da Chave Móvel Digital e do iAP cria obrigações adicionais de segurança?

Sim. A integração com serviços partilhados da administração pública (Chave Móvel Digital, iAP, ePortugal) implica responsabilidades de segurança partilhadas entre a AMA (enquanto operador das plataformas) e cada organismo integrado. Os organismos devem garantir que os acessos às APIs do iAP são geridos com controlo de acessos robusto e monitorização, em conformidade com as políticas de segurança da AMA e os requisitos do Art. 27.º do DL 125/2025.

NIS2 na administração pública