NIS2 no setor dos mercados financeiros
Guia prático de conformidade NIS2, DL 125/2025 e DORA para Euronext Lisbon, contrapartes centrais, Interbolsa, intermediários financeiros e plataformas de negociação em Portugal.
Enquadramento NIS2
O setor da mercados financeiros está incluído no Anexo I: Setores de alta criticidade da Diretiva NIS2 (transposta pelo DL 125/2025). OE (Operadores Essenciais) para infraestruturas de mercado de importância sistémica; OI (Operadores Importantes) para intermediários e entidades de menor dimensão.
Ver todos os 18 setores abrangidosClassificacao setorial
Anexo I: Setores de alta criticidadeOE (Operadores Essenciais) para infraestruturas de mercado de importância sistémica; OI (Operadores Importantes) para intermediários e entidades de menor dimensão.
Exemplos de entidades abrangidas
- Euronext Lisbon (bolsa de valores)
- Interbolsa (central de valores mobiliários)
- Contrapartes centrais (CCP) autorizadas em Portugal
- Intermediários financeiros (bancos de investimento, corretoras)
- Plataformas de negociação multilateral (MTF/OTF)
Autoridades competentes
Ameacas especificas do setor
As infraestruturas de mercado financeiro operam com requisitos de latência e disponibilidade extremos, o que torna os incidentes de cibersegurança imediatamente visíveis e com potencial de impacto sistémico. A interligação entre bolsas, CCP, custódias e intermediários cria cadeias de risco que podem amplificar um incidente local em instabilidade de mercado generalizada.
Ataques a plataformas de negociação como a Euronext
As plataformas de negociação são alvos de ataques de negação de serviço e de intrusão com o objetivo de causar interrupções no mercado, manipular preços ou exfiltrar informação privilegiada. A Euronext sofreu perturbações operacionais em 2020 que, embora não classificadas como ataques, demonstraram a vulnerabilidade das infraestruturas de mercado a falhas tecnológicas com impacto imediato nos investidores.
Manipulação de feeds de preços e dados de mercado
A manipulação de feeds de preços em tempo real pode induzir decisões de negociação erróneas em algoritmos de trading de alta frequência, com impacto sistémico imediato. Ataques a fornecedores de dados de mercado (como os que ocorreram com a Bloomberg em 2016) ilustram este vetor, cujo impacto é amplificado pela dependência generalizada de poucas fontes de dados.
Spoofing e layering algorítmico
Técnicas de manipulação de mercado como o spoofing (colocação e cancelamento rápido de ordens para criar aparência de liquidez) e o layering são amplificadas quando combinadas com o compromisso de sistemas de negociação. O Regulamento MAR (Abuso de Mercado) proíbe estas práticas, mas a sua deteção em tempo real exige sistemas robustos de monitorização de atividade de negociação.
Ataques ao sistema de pagamentos TARGET2
O sistema de pagamentos TARGET2, infraestrutura de liquidação do Banco Central Europeu, processa diariamente transações de elevado valor. Ataques ou perturbações neste sistema podem impedir a liquidação de operações de mercado, com efeitos em cascata sobre a liquidez interbancária e a estabilidade financeira.
Regulacao aplicavel
Para além do DL 125/2025 (transposição da Diretiva NIS2), o setor da mercados financeiros está sujeito a regulação setorial específica que se articula com as obrigações NIS2.
DL 125/2025: Art. 27.º (transpõe o Art. 21 da Diretiva NIS2)
Transposição da Diretiva NIS2 em Portugal. Todas as infraestruturas de mercado e intermediários financeiros abrangidos devem implementar as 9 medidas de cibersegurança previstas no Art. 27.º do DL 125/2025.
DORA: Regulamento (UE) 2022/2554 (em vigor desde 17 jan 2025)
Diretamente aplicável a infraestruturas de mercado financeiro em toda a UE. Exige TLPT para entidades sistémicas, gestão de risco de terceiros ICT (Art. 28.º a 30.º) e reporte de incidentes ao supervisor setorial (CMVM / Banco de Portugal).
MiFID II / MiFIR (Diretiva UE 2014/65 e Reg. UE 600/2014)
Exige requisitos de robustez e resiliência operacional para sistemas de negociação, incluindo capacidade de recuperação de falhas e continuidade operacional em cenários de perturbação.
EMIR (Reg. UE 648/2012) e CSDR (Reg. UE 909/2014)
Regulam a compensação centralizada e a liquidação de valores mobiliários, impondo requisitos de resiliência operacional a CCP e centrais de valores mobiliários (como a Interbolsa).
MAR: Regulamento de Abuso de Mercado (Reg. UE 596/2014)
Proíbe a manipulação de mercado e exige sistemas de deteção e reporte de operações suspeitas, complementando os controlos de cibersegurança para proteção da integridade do mercado.
As 9 medidas do Art. 27.º aplicadas ao setor
O Art. 27.º do DL 125/2025 (que transpõe o Art. 21 da Diretiva NIS2) estabelece 9 medidas de cibersegurança obrigatórias para operadores essenciais e importantes. Aqui mostramos como cada medida se aplica especificamente ao setor da mercados financeiros.
Tratamento de incidentes
Definir procedimentos de deteção, resposta e recuperação, com notificação ao CNCS em 24 horas (Art. 42.º) e relatório final em 30 dias (Art. 44.º).
Continuidade das atividades e gestão de crises
Manter cópias de segurança offline e testadas, planos de recuperação de desastres e capacidade de operação em modo degradado.
Segurança da cadeia de abastecimento
Avaliar a cibersegurança de fornecedores e prestadores de serviços diretos e incluir cláusulas contratuais adequadas.
Segurança na aquisição, desenvolvimento e manutenção
Incluir requisitos de cibersegurança em sistemas e equipamentos, com tratamento e divulgação de vulnerabilidades.
Avaliação da eficácia das medidas
Realizar auditorias e testes de resiliência periódicos para validar a eficácia dos controlos.
Práticas básicas de ciber-higiene e formação
Formar todos os colaboradores e os órgãos de gestão; simular ataques de phishing dirigidos ao contexto do setor.
Criptografia e cifragem
Cifrar dados sensíveis em repouso e em trânsito, com gestão adequada de chaves.
Segurança dos recursos humanos, controlo de acessos e gestão de ativos
Aplicar controlo de acessos baseado em funções (RBAC), inventário de ativos e revisão periódica de privilégios.
Autenticação multifator e comunicações seguras
Exigir autenticação multifator para acessos remotos e privilegiados e proteger as comunicações internas.
Templates para o setor da mercados financeiros
Documentação pronta a usar, adaptada às especificidades regulatórias e de ameaças do setor da mercados financeiros.
Checklist NIS2: Mercados financeiros
Lista de verificação das obrigações do DL 125/2025 adaptada a infraestruturas de mercado e intermediários financeiros, com mapeamento para os requisitos DORA, MiFID II e EMIR.
Descarregar DOCXMatriz de risco: Mercados financeiros
Matriz de avaliação de riscos cibernéticos específica para infraestruturas de mercado, incluindo ameaças a plataformas de negociação, feeds de dados e sistemas de liquidação.
Descarregar XLSXPlano de resposta a incidentes: Mercados financeiros
Plano estruturado para resposta a incidentes em infraestruturas de mercado, com fluxos de comunicação ao CNCS (NIS2), CMVM e Banco de Portugal (DORA), e procedimentos de suspensão de negociação.
Descarregar DOCXFerramentas relacionadas
Explore as ferramentas da plataforma para aprofundar a sua conformidade NIS2.
Radar de ameacas
Vulnerabilidades exploradas ativamente (CISA KEV) com contexto NIS2.
Observatorio de ransomware
Grupos ativos, setores alvo e tendencias de ransomware em 2025-2026.
Calculadora de classificacao
Determine se a sua organizacao e OE ou OI ao abrigo do DL 125/2025.
Sistema de auditoria NIS2
Avalie a maturidade da sua conformidade com as 9 medidas do Art. 27.
Setores abrangidos
Todos os 18 setores NIS2 e as suas obrigacoes especificas.
Perguntas frequentes
Questoes comuns sobre a conformidade NIS2 no setor da mercados financeiros.
A Euronext Lisbon, a Interbolsa e as CCP estão sujeitas ao DL 125/2025?
Sim. As infraestruturas de mercado financeiro, incluindo os operadores de plataformas de negociação, as contrapartes centrais e as centrais de valores mobiliários, estão incluídas no Anexo I da Diretiva NIS2 (setores de alta criticidade), transposta pelo DL 125/2025. Adicionalmente, ficam sujeitas ao Regulamento DORA (UE 2022/2554), em vigor desde 17 de janeiro de 2025, que prevalece como lex specialis nos domínios que regula especificamente.
O que é o TLPT e a quem se aplica nos mercados financeiros?
O TLPT (Threat-Led Penetration Testing) é um teste de intrusão baseado em cenários de ameaças reais, conduzido por equipas vermelhas externas acreditadas segundo a framework TIBER-EU. O Art. 26.º do DORA torna o TLPT obrigatório para entidades financeiras de importância sistémica, incluindo infraestruturas de mercado. A CMVM, em coordenação com a ESMA, é responsável por identificar as entidades sujeitas a este requisito em Portugal.
Que prazo tenho para notificar um incidente de cibersegurança?
Ao abrigo do DL 125/2025 (NIS2), a notificação inicial ao CNCS deve ocorrer em 24 horas após tomar conhecimento de um incidente significativo (Art. 42.º), com relatório final em 30 dias (Art. 44.º). O DORA impõe adicionalmente o reporte ao supervisor setorial (CMVM ou Banco de Portugal). As entidades devem coordenar as notificações para evitar inconsistências entre os dois regimes.
Como o DORA se articula com a NIS2 para infraestruturas de mercado?
O DORA (UE 2022/2554) é lex specialis para as entidades financeiras nos domínios que regula especificamente, prevalecendo sobre a NIS2 nesses domínios (Art. 1.º, n.º 2 da NIS2). Para as infraestruturas de mercado, o DORA define requisitos mais detalhados de resiliência operacional digital, TLPT e gestão de risco de terceiros ICT. O DL 125/2025 continua a aplicar-se nos domínios não cobertos pelo DORA.