NIS2 Portugal

NIS2 no setor da infraestrutura digital

Guia prático de conformidade NIS2 e DL 125/2025 para pontos de troca de tráfego, fornecedores de DNS, registos de TLD, centros de dados, fornecedores de cloud e redes CDN em Portugal.

Enquadramento NIS2

O setor da infraestrutura digital está incluído no Anexo I: Setores de alta criticidade da Diretiva NIS2 (transposta pelo DL 125/2025). OE (Operadores Essenciais) para entidades de maior dimensão e criticidade; OI (Operadores Importantes) nos restantes casos.

Ver todos os 18 setores abrangidos

Classificacao setorial

Anexo I: Setores de alta criticidade

OE (Operadores Essenciais) para entidades de maior dimensão e criticidade; OI (Operadores Importantes) nos restantes casos.

Exemplos de entidades abrangidas

  • Pontos de troca de tráfego (IXP), incluindo o GigaPIX
  • Fornecedores de serviços DNS e registos de domínio de topo (TLD)
  • Fornecedores de serviços de computação em nuvem (cloud)
  • Operadores de centros de dados (data centers)
  • Redes de distribuição de conteúdos (CDN)

Autoridades competentes

CNCS : Centro Nacional de Cibersegurança: autoridade nacional NIS2 competente.
ANACOM : Autoridade Nacional de Comunicações: regulação de redes e serviços de comunicações eletrónicas.

Ameacas especificas do setor

A infraestrutura digital constitui a espinha dorsal da economia e da sociedade digital. IXP, fornecedores de DNS, centros de dados e redes CDN são alvos de elevado valor para grupos de cibercrime organizado e para atores de Estado, dado que um único incidente pode ter efeitos cascata em múltiplos operadores e utilizadores finais.

SolarWinds (2020): compromisso de cadeia de fornecimento de software

O ataque SolarWinds em 2020 comprometeu a plataforma de gestão de redes Orion através da inserção de código malicioso numa atualização de software legítima. Afetou mais de 18 000 organizações, incluindo agências governamentais norte-americanas. O caso ilustra como um único fornecedor de software de infraestrutura pode ser usado como vetor para comprometer toda a sua base de clientes.

Ataques a infraestrutura DNS

O DNS é infraestrutura crítica da internet. Ataques de cache poisoning, DDoS a resolvedores recursivos e comprometimento de registos de TLD podem redirecionar tráfego em larga escala, interromper a resolução de nomes e facilitar ataques de phishing e de interceção de tráfego (MITM) em escala global.

Falhas e ataques a centros de dados

Os centros de dados concentram infraestrutura de elevado valor. Ataques físicos, sabotagem de sistemas de arrefecimento, falhas de energia e intrusões lógicas podem causar indisponibilidade generalizada de serviços cloud e de alojamento. A norma TIA-942 define requisitos de resiliência, mas a ameaça continua a evoluir com a crescente automação dos data centers.

DDoS volumétrico contra IXP e CDN

Os pontos de troca de tráfego e as redes CDN são alvos preferidos de ataques DDoS volumétricos de grande escala. Um ataque bem-sucedido a um IXP pode degradar a conectividade de toda uma região. As CDN, por sua vez, são frequentemente usadas como vetor de amplificação ou de distribuição de conteúdo malicioso.

Regulamento de Execução (UE) 2024/2690 O Regulamento de Execução (UE) 2024/2690, adotado em outubro de 2024, estabelece requisitos técnicos e metodológicos específicos para as medidas de cibersegurança das entidades de infraestrutura digital abrangidas pela NIS2, incluindo medidas detalhadas para fornecedores de DNS, registos de TLD e fornecedores de cloud.

Regulacao aplicavel

Para além do DL 125/2025 (transposição da Diretiva NIS2), o setor da infraestrutura digital está sujeito a regulação setorial específica que se articula com as obrigações NIS2.

DL 125/2025: Art. 27.º (transpõe o Art. 21 da Diretiva NIS2)

Transposição da Diretiva NIS2 em Portugal. Todas as entidades de infraestrutura digital abrangidas devem implementar as 9 medidas de cibersegurança previstas no Art. 27.º do DL 125/2025.

Regulamento de Execução (UE) 2024/2690

Estabelece requisitos técnicos e metodológicos específicos para as medidas de cibersegurança das entidades de infraestrutura digital, incluindo fornecedores de DNS, registos de TLD, fornecedores de cloud, centros de dados e CDN. Diretamente aplicável em Portugal.

ENISA Technical Implementation Guidance v1.0

Orientações técnicas da ENISA para implementação das medidas do Art. 21 da Diretiva NIS2 (Art. 27.º do DL 125/2025), com recomendações específicas para entidades de infraestrutura digital.

Norma TIA-942 para centros de dados

Norma técnica de referência para a conceção e operação de centros de dados, incluindo requisitos de resiliência física e de rede. Complementa os requisitos de cibersegurança do DL 125/2025 para operadores de data centers.

As 9 medidas do Art. 27.º aplicadas ao setor

O Art. 27.º do DL 125/2025 (que transpõe o Art. 21 da Diretiva NIS2) estabelece 9 medidas de cibersegurança obrigatórias para operadores essenciais e importantes. Aqui mostramos como cada medida se aplica especificamente ao setor da infraestrutura digital.

al. a)

Tratamento de incidentes

Definir procedimentos de deteção, resposta e recuperação, com notificação ao CNCS em 24 horas (Art. 42.º) e relatório final em 30 dias (Art. 44.º).

al. b)

Continuidade das atividades e gestão de crises

Manter cópias de segurança offline e testadas, planos de recuperação de desastres e capacidade de operação em modo degradado.

al. c)

Segurança da cadeia de abastecimento

Avaliar a cibersegurança de fornecedores e prestadores de serviços diretos e incluir cláusulas contratuais adequadas.

al. d)

Segurança na aquisição, desenvolvimento e manutenção

Incluir requisitos de cibersegurança em sistemas e equipamentos, com tratamento e divulgação de vulnerabilidades.

al. e)

Avaliação da eficácia das medidas

Realizar auditorias e testes de resiliência periódicos para validar a eficácia dos controlos.

al. f)

Práticas básicas de ciber-higiene e formação

Formar todos os colaboradores e os órgãos de gestão; simular ataques de phishing dirigidos ao contexto do setor.

al. g)

Criptografia e cifragem

Cifrar dados sensíveis em repouso e em trânsito, com gestão adequada de chaves.

al. h)

Segurança dos recursos humanos, controlo de acessos e gestão de ativos

Aplicar controlo de acessos baseado em funções (RBAC), inventário de ativos e revisão periódica de privilégios.

al. i)

Autenticação multifator e comunicações seguras

Exigir autenticação multifator para acessos remotos e privilegiados e proteger as comunicações internas.

Templates para o setor da infraestrutura digital

Documentação pronta a usar, adaptada às especificidades regulatórias e de ameaças do setor da infraestrutura digital.

Checklist NIS2: Infraestrutura digital

Lista de verificação das obrigações do DL 125/2025 adaptada a IXP, fornecedores de DNS, centros de dados e CDN, com referências ao Regulamento de Execução (UE) 2024/2690.

Descarregar DOCX

Matriz de risco: Infraestrutura digital

Matriz de avaliação de riscos cibernéticos específica para infraestrutura digital, incluindo ameaças a DNS, centros de dados, IXP e redes CDN.

Descarregar XLSX

Plano de resposta a incidentes: Infraestrutura digital

Plano estruturado para resposta a incidentes em infraestrutura digital, com fluxos de comunicação ao CNCS e procedimentos de contenção de ataques à cadeia de fornecimento.

Descarregar DOCX

Ferramentas relacionadas

Explore as ferramentas da plataforma para aprofundar a sua conformidade NIS2.

Radar de ameacas

Vulnerabilidades exploradas ativamente (CISA KEV) com contexto NIS2.

Observatorio de ransomware

Grupos ativos, setores alvo e tendencias de ransomware em 2025-2026.

Calculadora de classificacao

Determine se a sua organizacao e OE ou OI ao abrigo do DL 125/2025.

Sistema de auditoria NIS2

Avalie a maturidade da sua conformidade com as 9 medidas do Art. 27.

Setores abrangidos

Todos os 18 setores NIS2 e as suas obrigacoes especificas.

Perguntas frequentes

Questoes comuns sobre a conformidade NIS2 no setor da infraestrutura digital.

O meu centro de dados ou fornecedor de cloud está abrangido pela NIS2 / DL 125/2025?

Os fornecedores de serviços de computação em nuvem, os operadores de centros de dados, as redes de distribuição de conteúdos, os pontos de troca de tráfego e os fornecedores de serviços DNS estão incluídos no Anexo I da Diretiva NIS2 (setores de alta criticidade), transposta em Portugal pelo DL 125/2025. A classificação como Operador Essencial (OE) ou Operador Importante (OI) depende da dimensão e criticidade da entidade.

O que muda com o Regulamento de Execução (UE) 2024/2690?

O Regulamento de Execução (UE) 2024/2690 é diretamente aplicável em Portugal e estabelece requisitos técnicos específicos para as entidades de infraestrutura digital abrangidas pela NIS2. Detalha as medidas exigidas pelo Art. 27.º do DL 125/2025 (Art. 21 da Diretiva) com orientações concretas para DNS, TLD, cloud, centros de dados e CDN.

Que prazo tenho para notificar um incidente de cibersegurança ao CNCS?

O DL 125/2025 prevê notificação inicial ao CNCS em 24 horas após tomar conhecimento de um incidente significativo (Art. 42.º). Segue-se uma atualização em 72 horas com mais detalhes e um relatório final no prazo de 30 dias (Art. 44.º). Para entidades de infraestrutura digital, um incidente que afete múltiplos clientes downstream pode ser classificado como significativo mesmo que o impacto direto na entidade seja limitado.

Como avaliar o risco da cadeia de fornecimento de software em infraestrutura digital?

O caso SolarWinds (2020) demonstrou que o vetor de compromisso mais crítico para infraestrutura digital pode ser o próprio software de gestão. O DL 125/2025 (Art. 27.º, al. c) exige avaliação da segurança da cadeia de abastecimento, incluindo verificação de integridade de atualizações de software, inventário de dependências de terceiros e controlos de acesso à cadeia de compilação e distribuição de software.