NIS2 Portugal

NIS2 no setor da saúde

Guia prático de conformidade NIS2 e DL 125/2025 para hospitais, unidades locais de saúde, clínicas e laboratórios em Portugal.

Enquadramento NIS2

O setor da saúde está incluído no Anexo I: Setores de alta criticidade da Diretiva NIS2 (transposta pelo DL 125/2025). OE (Operadores Essenciais) para entidades de maior dimensão e criticidade; OI (Operadores Importantes) nos restantes casos.

Ver todos os 18 setores abrangidos

Classificacao setorial

Anexo I: Setores de alta criticidade

OE (Operadores Essenciais) para entidades de maior dimensão e criticidade; OI (Operadores Importantes) nos restantes casos.

Exemplos de entidades abrangidas

  • Hospitais e Unidades Locais de Saúde (ULS) do SNS
  • Centros hospitalares e hospitais privados (CUF, Lusíadas, HPA)
  • Clínicas e centros de saúde privados
  • Laboratórios de análises clínicas
  • Prestadores de cuidados de saúde ao domicílio

Autoridades competentes

CNCS : Centro Nacional de Cibersegurança : autoridade nacional NIS2 competente.
ERS : Entidade Reguladora da Saúde : supervisão da qualidade e acesso aos cuidados.
DGS / ACSS : Direção-Geral da Saúde e Administração Central do Sistema de Saúde.
INFARMED : Autoridade Nacional do Medicamento : supervisão de dispositivos médicos (MDR/IVDR).
CNPD : Comissão Nacional de Proteção de Dados : tratamento de dados de saúde (RGPD Art. 9.º).

Ameacas especificas do setor

Segundo o ENISA Health Threat Landscape, o setor da saúde é um dos mais visados por ataques informáticos na Europa. A digitalização acelerada dos registos clínicos e a proliferação de dispositivos médicos ligados em rede (IoMT) ampliam a superfície de ataque.

Ransomware : 45% dos incidentes

O ransomware representa 45% dos incidentes no setor da saúde (ENISA). O grupo Qilin foi o mais ativo globalmente em 2026 e tem o setor da saúde como alvo prioritário. Casos documentados de hospitais europeus forçados a encerrar urgências e a desviar ambulâncias após ataques de ransomware.

Violações de dados clínicos : 28% dos incidentes

Os dados de saúde são categoria especial ao abrigo do RGPD (Art. 9.º) e atingem preços elevados em mercados clandestinos. Registos com diagnósticos, medicação e dados biométricos são alvos de exfiltração sistemática.

Compromisso de sistemas críticos hospitalares

Os sistemas SClínico, SONHO, Glintt, ALERT e PEM são infraestrutura crítica do SNS. A interligação destes sistemas com dispositivos IoMT cria vetores de movimento lateral que permitem a um atacante comprometer toda a rede hospitalar.

Ataques a dispositivos médicos ligados (IoMT)

Bombas de infusão, monitores de sinais vitais e equipamentos de imagiologia com conectividade IP são frequentemente alvo de exploração de vulnerabilidades não corrigidas. O MDR/IVDR estabelece requisitos de cibersegurança para fabricantes, mas o parque instalado continua exposto.

Phishing e engenharia social dirigida

Profissionais de saúde são alvo de campanhas de spear-phishing que exploram contextos clínicos (resultados de exames, urgências). O acesso às credenciais de um médico ou enfermeiro abre caminho a sistemas com dados altamente sensíveis.

Ação da Comissão Europeia Em 22 de janeiro de 2025, a Comissão Europeia adotou o Action Plan on the Cybersecurity of Hospitals and Healthcare Providers, que reforça as obrigações NIS2 para o setor e prevê apoio técnico do ENISA a hospitais de menor dimensão.

Regulacao aplicavel

Para além do DL 125/2025 (transposição da Diretiva NIS2), o setor da saúde está sujeito a regulação setorial específica que se articula com as obrigações NIS2.

DL 125/2025 : Art. 27.º (9 medidas)

Transposição da Diretiva NIS2 em Portugal. Todas as entidades do setor da saúde abrangidas devem implementar as 9 medidas de cibersegurança previstas no Art. 27.º.

RGPD : Art. 9.º (dados de saúde)

Os dados de saúde são categoria especial. O tratamento exige base legal reforçada, avaliações de impacto (DPIA) e medidas técnicas e organizacionais adicionais.

MDR / IVDR (Regulamentos UE 2017/745 e 2017/746)

Os fabricantes de dispositivos médicos devem garantir a cibersegurança ao longo do ciclo de vida do produto, incluindo gestão de vulnerabilidades pós-comercialização.

DL 14/2021 : Segurança do SNS

Regulação setorial portuguesa sobre segurança da informação no Serviço Nacional de Saúde, complementar às obrigações NIS2.

As 9 medidas do Art. 27.º aplicadas ao setor

O Art. 27.º do DL 125/2025 (que transpõe o Art. 21 da Diretiva NIS2) estabelece 9 medidas de cibersegurança obrigatórias para operadores essenciais e importantes. Aqui mostramos como cada medida se aplica especificamente ao setor da saúde.

al. a)

Políticas de análise de risco e segurança

Inventariar e classificar sistemas clínicos críticos (SClínico, SONHO, IoMT). Avaliar impacto de indisponibilidade sobre a continuidade de cuidados.

al. b)

Gestão de incidentes

Definir procedimentos específicos para ransomware hospitalar: isolamento de segmentos de rede clínica, comunicação ao CNCS em 24 horas (Art. 42.º do DL 125/2025).

al. c)

Continuidade de atividade e gestão de crises

Garantir operação em modo degradado durante ataques: processos em papel para prescrição e triagem, backups offline de registos críticos de doentes.

al. d)

Segurança da cadeia de abastecimento

Avaliar fornecedores de sistemas de informação clínica (Glintt, ALERT, etc.) e fabricantes de dispositivos IoMT quanto aos seus requisitos de cibersegurança.

al. e)

Segurança na aquisição, desenvolvimento e manutenção

Incluir requisitos de cibersegurança nos cadernos de encargos de sistemas clínicos. Exigir testes de penetração antes da colocação em produção.

al. f)

Políticas e procedimentos para avaliar eficácia

Realizar auditorias e testes de resiliência regulares, incluindo simulações de ransomware com modo de recuperação.

al. g)

Práticas básicas de ciberhigiene e formação

Formar todos os profissionais de saúde em reconhecimento de phishing e uso seguro de credenciais. Simulações de ataques dirigidas ao contexto clínico.

al. h)

Criptografia e gestão de chaves

Cifrar registos de saúde em repouso e em trânsito. Especial atenção a dados de categoria especial (RGPD Art. 9.º) e a comunicações com laboratórios externos.

al. i)

Segurança dos recursos humanos e controlo de acessos

Implementar autenticação multifator para acesso a sistemas clínicos. Controlo de acessos baseado em funções (RBAC) com revisão periódica de privilégios.

Templates para o setor da saúde

Documentação pronta a usar, adaptada às especificidades regulatórias e de ameaças do setor da saúde.

Checklist NIS2 : Saúde

Lista de verificação das obrigações do DL 125/2025 adaptada ao setor da saúde, com referências ao RGPD Art. 9.º e MDR/IVDR.

Descarregar DOCX

Matriz de risco : Saúde

Matriz de avaliação de riscos cibernéticos específica para ambientes hospitalares, incluindo IoMT e sistemas clínicos críticos.

Descarregar XLSX

Plano de resposta a incidentes : Saúde

Plano estruturado para resposta a incidentes em ambiente hospitalar, com fluxos de comunicação ao CNCS e procedimentos de continuidade clínica.

Descarregar DOCX

Ferramentas relacionadas

Explore as ferramentas da plataforma para aprofundar a sua conformidade NIS2.

Radar de ameacas

Vulnerabilidades exploradas ativamente (CISA KEV) com contexto NIS2.

Observatorio de ransomware

Grupos ativos, setores alvo e tendencias de ransomware em 2025-2026.

Calculadora de classificacao

Determine se a sua organizacao e OE ou OI ao abrigo do DL 125/2025.

Sistema de auditoria NIS2

Avalie a maturidade da sua conformidade com as 9 medidas do Art. 27.

Setores abrangidos

Todos os 18 setores NIS2 e as suas obrigacoes especificas.

Perguntas frequentes

Questoes comuns sobre a conformidade NIS2 no setor da saúde.

O meu hospital ou clínica está abrangido pela NIS2 / DL 125/2025?

Os prestadores de cuidados de saúde estão incluídos no Anexo I da Diretiva NIS2 (setores de alta criticidade), transposta em Portugal pelo DL 125/2025. A classificação como Operador Essencial (OE) ou Operador Importante (OI) depende da dimensão e criticidade da entidade. Hospitais públicos do SNS e grandes grupos privados serão tipicamente OE. Use a calculadora de classificação para verificar o seu caso específico.

Que prazo tenho para notificar um incidente de cibersegurança ao CNCS?

O DL 125/2025 prevê notificação inicial ao CNCS em 24 horas após tomar conhecimento de um incidente significativo (Art. 42.º). Segue-se uma atualização em 72 horas com mais detalhes e um relatório final no prazo de 30 dias (Art. 44.º). No setor da saúde, um incidente que comprometa dados de saúde pode também implicar notificação à CNPD ao abrigo do RGPD (72 horas).

Os dispositivos médicos ligados em rede (IoMT) estão cobertos pela NIS2?

Sim. A cibersegurança de dispositivos médicos conectados é abrangida pelo Art. 27.º do DL 125/2025 na perspetiva do operador (hospital/clínica), e pelos Regulamentos MDR/IVDR na perspetiva do fabricante. Os hospitais devem inventariar todos os dispositivos IoMT e incluí-los na sua análise de risco NIS2.

Qual a diferença entre as obrigações NIS2 e as obrigações do RGPD para dados de saúde?

As obrigações são complementares. O RGPD (Art. 9.º) regula o tratamento de dados de saúde como categoria especial e exige medidas reforçadas de proteção e DPIA em muitos casos. A NIS2 (DL 125/2025, Art. 27.º) exige medidas de cibersegurança técnicas e organizacionais para proteger as redes e sistemas de informação. Em caso de violação de dados de saúde na sequência de um incidente NIS2, ambas as autoridades (CNPD e CNCS) podem ser competentes.