NIS2 Portugal

NIS2 no setor das telecomunicações

Guia prático de conformidade NIS2 e DL 125/2025 para operadores de comunicações eletrónicas (MEO, NOS, Vodafone) e operadores de rede móvel e fixa em Portugal.

Enquadramento NIS2

O setor da telecomunicações está incluído no Anexo I: Setores de alta criticidade da Diretiva NIS2 (transposta pelo DL 125/2025). OE (Operadores Essenciais) para operadores de comunicações eletrónicas que prestem serviços a um número significativo de utilizadores finais ou que operem infraestrutura de rede crítica; OI (Operadores Importantes) nos restantes casos, conforme os critérios do DL 125/2025.

Ver todos os 18 setores abrangidos

Classificacao setorial

Anexo I: Setores de alta criticidade

OE (Operadores Essenciais) para operadores de comunicações eletrónicas que prestem serviços a um número significativo de utilizadores finais ou que operem infraestrutura de rede crítica; OI (Operadores Importantes) nos restantes casos, conforme os critérios do DL 125/2025.

Exemplos de entidades abrangidas

  • MEO (Altice Portugal) como operador de rede fixa e móvel de referência
  • NOS como operador de comunicações eletrónicas convergentes
  • Vodafone Portugal como operador de rede móvel
  • Operadores de redes móveis virtuais (MVNO) de grande dimensão
  • Operadores de infraestrutura de rede de backbone nacional

Autoridades competentes

ANACOM : Autoridade Nacional de Comunicações: regulação e supervisão dos operadores de comunicações eletrónicas em Portugal, incluindo obrigações de segurança de redes ao abrigo do EECC.
CNCS : Centro Nacional de Cibersegurança: autoridade nacional NIS2 competente para notificação de incidentes e supervisão de medidas de cibersegurança.

Ameacas especificas do setor

O setor das telecomunicações é simultaneamente alvo e vetor de ataques informáticos: as redes de comunicação eletrónica são infraestrutura crítica horizontal que suporta todos os outros setores da economia e da sociedade. A transição para redes 5G, a virtualização de funções de rede (NFV) e a crescente dependência de fornecedores de equipamento de origem não europeia criam riscos de segurança com dimensão geopolítica.

Riscos de cadeia de fornecimento em equipamentos 5G

A 5G Toolbox da UE identifica os fornecedores de equipamento de rede de alto risco como a principal ameaça à segurança das redes 5G. A presença de fornecedores com potenciais ligações a governos de países terceiros na infraestrutura de rede core representa um risco sistémico de espionagem, backdoors e capacidade de interrupção remota. Em Portugal, a ANACOM e o CNCS coordenam a avaliação de risco de fornecedores ao abrigo das medidas TM01-TM11 da Toolbox.

IMSI catchers: interceção de comunicações móveis

Os IMSI catchers (também chamados Stingrays ou fake base stations) são dispositivos que simulam antenas de rede móvel para intercetar comunicações e identificar assinantes. A sua utilização por atores estatais e grupos criminosos organizado para vigilância de alvos de alto valor (jornalistas, políticos, executivos) é documentada em vários países europeus. As redes 5G com autenticação mútua reduzem, mas não eliminam, este vetor.

Exploração do protocolo de sinalização SS7

O protocolo SS7 (Signaling System 7), concebido nos anos 1970, contém vulnerabilidades estruturais que permitem a um atacante com acesso à rede de sinalização desviar chamadas e SMS, rastrear a localização de qualquer assinante em tempo real e interceptar códigos OTP de autenticação de dois fatores. As redes legadas 2G/3G que coexistem com o 5G mantêm exposição a este vetor de ataque de difícil mitigação.

Ataques à infraestrutura de rede core

Os elementos de rede core (IMS, EPC, 5GC) são alvos de ataques DDoS, intrusão por vulnerabilidades em software de virtualização de funções de rede (NFV/SDN) e comprometimento de sistemas de gestão e orquestração (MANO). Um ataque bem-sucedido ao core de um operador nacional pode afetar simultaneamente todos os utilizadores finais e os setores críticos que dependem das suas comunicações.

5G Toolbox da UE como referência de mitigação A 5G Toolbox da UE (adotada pelo NIS Cooperation Group em janeiro de 2020 e atualizada em 2023) define medidas técnicas (TM01-TM11) e estratégicas (SM01-SM09) para mitigar os riscos de segurança das redes 5G. Em Portugal, a implementação destas medidas é coordenada pela ANACOM e pelo CNCS, com especial foco na avaliação de risco de fornecedores de equipamento e na restrição de fornecedores de alto risco em funções críticas da rede core.

Regulacao aplicavel

Para além do DL 125/2025 (transposição da Diretiva NIS2), o setor da telecomunicações está sujeito a regulação setorial específica que se articula com as obrigações NIS2.

DL 125/2025: Art. 27.º (9 medidas)

Transposição da Diretiva NIS2 em Portugal. Todos os operadores de comunicações eletrónicas abrangidos devem implementar as 9 medidas de cibersegurança previstas no Art. 27.º, com especial atenção à segurança da rede core, à gestão de vulnerabilidades em equipamentos de rede e à continuidade de serviço.

Código Europeu das Comunicações Eletrónicas (EECC, Diretiva 2018/1972)

O EECC (transposto em Portugal pelo DL 92/2017 e subsequentes alterações) impõe obrigações de segurança das redes e de notificação de incidentes aos operadores de comunicações eletrónicas, complementares às obrigações NIS2 e supervisionadas pela ANACOM.

5G Toolbox da UE (medidas TM01-TM11 e SM01-SM09)

Conjunto de medidas técnicas e estratégicas adotadas ao nível europeu para mitigar os riscos de segurança das redes 5G, incluindo a avaliação e restrição de fornecedores de alto risco, requisitos de diversificação de fornecedores e medidas de reforço da segurança da rede core e de acesso.

ENISA Guidelines on Security of 5G Networks

As orientações técnicas da ENISA para a segurança das redes 5G fornecem recomendações detalhadas sobre arquitetura de segurança, gestão de vulnerabilidades e requisitos de resiliência, constituindo uma referência técnica aceite para demonstrar conformidade com as obrigações do Art. 27.º do DL 125/2025.

As 9 medidas do Art. 27.º aplicadas ao setor

O Art. 27.º do DL 125/2025 (que transpõe o Art. 21 da Diretiva NIS2) estabelece 9 medidas de cibersegurança obrigatórias para operadores essenciais e importantes. Aqui mostramos como cada medida se aplica especificamente ao setor da telecomunicações.

al. a)

Tratamento de incidentes

Definir procedimentos de deteção, resposta e recuperação, com notificação ao CNCS em 24 horas (Art. 42.º) e relatório final em 30 dias (Art. 44.º).

al. b)

Continuidade das atividades e gestão de crises

Manter cópias de segurança offline e testadas, planos de recuperação de desastres e capacidade de operação em modo degradado.

al. c)

Segurança da cadeia de abastecimento

Avaliar a cibersegurança de fornecedores e prestadores de serviços diretos e incluir cláusulas contratuais adequadas.

al. d)

Segurança na aquisição, desenvolvimento e manutenção

Incluir requisitos de cibersegurança em sistemas e equipamentos, com tratamento e divulgação de vulnerabilidades.

al. e)

Avaliação da eficácia das medidas

Realizar auditorias e testes de resiliência periódicos para validar a eficácia dos controlos.

al. f)

Práticas básicas de ciber-higiene e formação

Formar todos os colaboradores e os órgãos de gestão; simular ataques de phishing dirigidos ao contexto do setor.

al. g)

Criptografia e cifragem

Cifrar dados sensíveis em repouso e em trânsito, com gestão adequada de chaves.

al. h)

Segurança dos recursos humanos, controlo de acessos e gestão de ativos

Aplicar controlo de acessos baseado em funções (RBAC), inventário de ativos e revisão periódica de privilégios.

al. i)

Autenticação multifator e comunicações seguras

Exigir autenticação multifator para acessos remotos e privilegiados e proteger as comunicações internas.

Templates para o setor da telecomunicações

Documentação pronta a usar, adaptada às especificidades regulatórias e de ameaças do setor da telecomunicações.

Checklist NIS2: Telecomunicações

Lista de verificação das obrigações do DL 125/2025 adaptada ao setor das telecomunicações, com referências ao EECC, à 5G Toolbox e às orientações ENISA para redes 5G.

Descarregar DOCX

Matriz de risco: Telecomunicações

Matriz de avaliação de riscos cibernéticos específica para operadores de comunicações eletrónicas, incluindo riscos de cadeia de fornecimento 5G, vulnerabilidades SS7 e ataques à rede core.

Descarregar XLSX

Plano de resposta a incidentes: Telecomunicações

Plano estruturado para resposta a incidentes em redes de comunicações eletrónicas, com fluxos de comunicação ao CNCS e à ANACOM e procedimentos de continuidade de serviço.

Descarregar DOCX

Ferramentas relacionadas

Explore as ferramentas da plataforma para aprofundar a sua conformidade NIS2.

Radar de ameacas

Vulnerabilidades exploradas ativamente (CISA KEV) com contexto NIS2.

Observatorio de ransomware

Grupos ativos, setores alvo e tendencias de ransomware em 2025-2026.

Calculadora de classificacao

Determine se a sua organizacao e OE ou OI ao abrigo do DL 125/2025.

Sistema de auditoria NIS2

Avalie a maturidade da sua conformidade com as 9 medidas do Art. 27.

Setores abrangidos

Todos os 18 setores NIS2 e as suas obrigacoes especificas.

Perguntas frequentes

Questoes comuns sobre a conformidade NIS2 no setor da telecomunicações.

O meu operador de telecomunicações está abrangido pela NIS2 / DL 125/2025?

Os operadores de comunicações eletrónicas estão incluídos no Anexo I da Diretiva NIS2 (setores de alta criticidade), transposta em Portugal pelo DL 125/2025. A classificação como Operador Essencial (OE) ou Operador Importante (OI) depende da dimensão (número de utilizadores finais servidos e quota de mercado) e da criticidade da infraestrutura operada. Operadores de rede nacionais como MEO, NOS e Vodafone serão tipicamente OE. Use a calculadora de classificação disponível no portal para verificar o seu caso específico.

Que prazo tenho para notificar um incidente de cibersegurança ao CNCS e à ANACOM?

O DL 125/2025 prevê notificação inicial ao CNCS em 24 horas após tomar conhecimento de um incidente significativo (Art. 42.º). Segue-se uma atualização em 72 horas e um relatório final no prazo de 30 dias (Art. 44.º). Paralelamente, as obrigações de notificação ao abrigo do EECC (transposto em Portugal) exigem a comunicação de incidentes com impacto significativo na continuidade do serviço à ANACOM. Ambos os prazos devem ser cumpridos em simultâneo.

O que significa a restrição de fornecedores de alto risco na 5G Toolbox para os operadores portugueses?

A 5G Toolbox da UE (medida SM03) prevê a possibilidade de os Estados-Membros excluírem ou restringirem fornecedores de equipamento de alto risco de funções críticas das redes 5G, nomeadamente o core de rede. Em Portugal, a ANACOM e o CNCS coordenam a avaliação de risco de fornecedores ao abrigo destas medidas. Os operadores devem ter em conta estas restrições nos seus processos de aquisição de equipamento e de gestão de risco da cadeia de fornecimento, obrigação explicitamente prevista no Art. 27.º, alínea d), do DL 125/2025.

As vulnerabilidades do protocolo SS7 são consideradas um risco NIS2 para os operadores?

Sim. As vulnerabilidades do SS7 e do protocolo Diameter (utilizado em redes 4G) são vetores de ataque conhecidos que os operadores devem endereçar no âmbito das suas obrigações de análise de risco e de implementação de medidas técnicas ao abrigo do Art. 27.º do DL 125/2025. A ENISA publicou orientações específicas sobre a mitigação destas vulnerabilidades em redes de nova geração, incluindo a implementação de firewalls de sinalização e de monitorização de tráfego de rede de sinalização.