NIS2 no setor da gestão de resíduos
Guia prático de conformidade NIS2 e DL 125/2025 para operadores de resíduos urbanos, industriais, perigosos, hospitalares e de equipamentos elétricos e eletrónicos em Portugal.
Enquadramento NIS2
O setor da gestão de resíduos está incluído no Anexo II: Outros setores críticos da Diretiva NIS2 (transposta pelo DL 125/2025). OI (Operadores Importantes) na generalidade; operadores de maior dimensão ou com gestão de resíduos perigosos de escala nacional podem ser classificados como OE (Operadores Essenciais).
Ver todos os 18 setores abrangidosClassificacao setorial
Anexo II: Outros setores críticosOI (Operadores Importantes) na generalidade; operadores de maior dimensão ou com gestão de resíduos perigosos de escala nacional podem ser classificados como OE (Operadores Essenciais).
Exemplos de entidades abrangidas
- Operadores de sistemas de gestão de resíduos urbanos (SGRU) intermunicipais
- Gestores de aterros sanitários e instalações de tratamento de resíduos industriais
- Operadores licenciados de resíduos perigosos e hospitalares
- Sistemas integrados de gestão de REEE (resíduos de equipamentos elétricos e eletrónicos)
- Operadores de centros de triagem e unidades de valorização orgânica
Autoridades competentes
Ameacas especificas do setor
O setor da gestão de resíduos depende crescentemente de sistemas digitais para monitorização de aterros, controlo de equipamentos de tratamento e rastreabilidade legal de resíduos. A digitalização de processos de reporte e a interligação com plataformas nacionais como SIRER e e-GAR criam pontos de falha com impacto regulatório, operacional e ambiental.
Manipulação de básculas e sistemas de pesagem
Os sistemas de pesagem (básculas) em aterros e instalações de triagem são pontos críticos de medição para faturação, reporte regulatório e cumprimento de metas de desvio de aterro. A manipulação fraudulenta de dados de pesagem, por comprometimento do software de gestão ou adulteração direta do sistema, constitui uma ameaça de integridade com consequências legais e financeiras significativas.
Comprometimento de SCADA de aterros
Os aterros sanitários modernos utilizam sistemas SCADA para gerir a captação e queima de biogás, o tratamento de lixiviados e a monitorização de sensores ambientais. O comprometimento destes sistemas pode resultar em emissões não controladas de gases de efeito de estufa, contaminação de lençóis freáticos ou falhas em equipamentos de tratamento com impacto ambiental e legal.
Falsificação de guias eletrónicas de acompanhamento (e-GAR)
As guias eletrónicas de acompanhamento de resíduos (e-GAR) na plataforma SIRER são documentos legalmente vinculativos que rastreiam a movimentação de resíduos. A falsificação ou manipulação destes registos, seja por comprometimento das contas de utilizadores ou por ataque à plataforma, constitui uma violação do DL 102-D/2020 e pode encobrir tráfico ilegal de resíduos perigosos.
Indisponibilidade de SIRER e e-GAR como ponto único de falha
A plataforma SIRER e o sistema e-GAR são infraestrutura crítica centralizada para o cumprimento de obrigações legais de reporte por todos os operadores de resíduos em Portugal. A indisponibilidade destas plataformas por ataque DDoS, ransomware ou falha técnica pode paralisar a rastreabilidade de resíduos a nível nacional e impedir o cumprimento de obrigações regulatórias por parte dos operadores.
Regulacao aplicavel
Para além do DL 125/2025 (transposição da Diretiva NIS2), o setor da gestão de resíduos está sujeito a regulação setorial específica que se articula com as obrigações NIS2.
DL 125/2025: Art. 27.º (9 medidas)
Transposição da Diretiva NIS2 em Portugal. Os operadores de resíduos abrangidos devem implementar as 9 medidas de cibersegurança do Art. 27.º, com foco na proteção de sistemas de controlo de instalações e na integridade dos dados de reporte regulatório.
DL 102-D/2020: regime geral de gestão de resíduos
Estabelece o regime jurídico geral de gestão de resíduos em Portugal, incluindo obrigações de rastreabilidade via e-GAR e reporte ao SIRER. A integridade digital destes sistemas é um requisito implícito de conformidade que o DL 125/2025 torna explícito.
Regulamento (CE) n.º 1013/2006: transferências de resíduos
Regula a transferência de resíduos entre países da UE e com países terceiros. Exige documentação eletrónica precisa e rastreável; a integridade dos sistemas de gestão de transferências é crítica para cumprir as obrigações de notificação e acompanhamento.
Plataformas SIRER, e-GAR e SILiAmb
O SIRER (Sistema Integrado de Registo Eletrónico de Resíduos), o e-GAR e o SILiAmb são plataformas nacionais geridas pela APA, essenciais para o cumprimento das obrigações de reporte. Os operadores devem implementar controlos de acesso robustos e autenticação forte para estas plataformas.
As 9 medidas do Art. 27.º aplicadas ao setor
O Art. 27.º do DL 125/2025 (que transpõe o Art. 21 da Diretiva NIS2) estabelece 9 medidas de cibersegurança obrigatórias para operadores essenciais e importantes. Aqui mostramos como cada medida se aplica especificamente ao setor da gestão de resíduos.
Tratamento de incidentes
Definir procedimentos de deteção, resposta e recuperação, com notificação ao CNCS em 24 horas (Art. 42.º) e relatório final em 30 dias (Art. 44.º).
Continuidade das atividades e gestão de crises
Manter cópias de segurança offline e testadas, planos de recuperação de desastres e capacidade de operação em modo degradado.
Segurança da cadeia de abastecimento
Avaliar a cibersegurança de fornecedores e prestadores de serviços diretos e incluir cláusulas contratuais adequadas.
Segurança na aquisição, desenvolvimento e manutenção
Incluir requisitos de cibersegurança em sistemas e equipamentos, com tratamento e divulgação de vulnerabilidades.
Avaliação da eficácia das medidas
Realizar auditorias e testes de resiliência periódicos para validar a eficácia dos controlos.
Práticas básicas de ciber-higiene e formação
Formar todos os colaboradores e os órgãos de gestão; simular ataques de phishing dirigidos ao contexto do setor.
Criptografia e cifragem
Cifrar dados sensíveis em repouso e em trânsito, com gestão adequada de chaves.
Segurança dos recursos humanos, controlo de acessos e gestão de ativos
Aplicar controlo de acessos baseado em funções (RBAC), inventário de ativos e revisão periódica de privilégios.
Autenticação multifator e comunicações seguras
Exigir autenticação multifator para acessos remotos e privilegiados e proteger as comunicações internas.
Templates para o setor da gestão de resíduos
Documentação pronta a usar, adaptada às especificidades regulatórias e de ameaças do setor da gestão de resíduos.
Checklist NIS2: Gestão de resíduos
Lista de verificação das obrigações do DL 125/2025 adaptada ao setor da gestão de resíduos, com referências a SIRER, e-GAR, DL 102-D/2020 e proteção de sistemas SCADA de aterros.
Descarregar DOCXMatriz de risco: Gestão de resíduos
Matriz de avaliação de riscos cibernéticos para o setor da gestão de resíduos, com critérios adaptados ao impacto ambiental, regulatório e de integridade de dados de rastreabilidade.
Descarregar XLSXPlano de resposta a incidentes: Gestão de resíduos
Plano estruturado para resposta a incidentes no setor da gestão de resíduos, com procedimentos de continuidade de rastreabilidade em caso de indisponibilidade de SIRER/e-GAR e comunicação ao CNCS.
Descarregar DOCXFerramentas relacionadas
Explore as ferramentas da plataforma para aprofundar a sua conformidade NIS2.
Radar de ameacas
Vulnerabilidades exploradas ativamente (CISA KEV) com contexto NIS2.
Observatorio de ransomware
Grupos ativos, setores alvo e tendencias de ransomware em 2025-2026.
Calculadora de classificacao
Determine se a sua organizacao e OE ou OI ao abrigo do DL 125/2025.
Sistema de auditoria NIS2
Avalie a maturidade da sua conformidade com as 9 medidas do Art. 27.
Setores abrangidos
Todos os 18 setores NIS2 e as suas obrigacoes especificas.
Perguntas frequentes
Questoes comuns sobre a conformidade NIS2 no setor da gestão de resíduos.
Os operadores de resíduos estão abrangidos pela NIS2 / DL 125/2025?
A gestão de resíduos está incluída no Anexo II da Diretiva NIS2 (outros setores críticos), transposta em Portugal pelo DL 125/2025. A classificação como Operador Importante (OI) ou Essencial (OE) depende da dimensão e da criticidade do operador. Sistemas intermunicipais de grande escala, gestores de resíduos perigosos e operadores de instalações críticas são tipicamente abrangidos. Use a calculadora de classificação para verificar o seu caso.
Como proteger o acesso às plataformas SIRER e e-GAR ao abrigo do Art. 27.º do DL 125/2025?
O Art. 27.º do DL 125/2025 exige medidas de controlo de acessos e autenticação adequadas ao risco, que para plataformas como SIRER e e-GAR incluem autenticação multifator para todos os utilizadores com acesso de escrita, revisão periódica de acessos, monitorização de operações anómalas e procedimentos de contingência para operação sem acesso às plataformas (alinhados com as orientações da APA).
Que prazo tenho para notificar um incidente ao CNCS?
O DL 125/2025 prevê notificação inicial ao CNCS em 24 horas após tomar conhecimento de um incidente significativo (Art. 42.º), com atualização em 72 horas e relatório final em 30 dias (Art. 44.º). Um incidente que comprometa a integridade de guias e-GAR ou o acesso ao SIRER deve ser comunicado ao CNCS e, dependendo da natureza, à APA e à IGAMAOT.
A manipulação de dados de pesagem constitui um incidente NIS2?
Sim, se a manipulação resultar de um ciberataque ou comprometimento de sistemas de informação. O Art. 27.º do DL 125/2025 exige a integridade dos sistemas de rede e informação, o que abrange os sistemas de pesagem ligados à rede. Um incidente que afete a integridade de dados de reporte regulatório é tipicamente classificado como significativo ao abrigo do DL 125/2025, independentemente de ter ou não impacto de disponibilidade.