Contexto: o longo caminho até à lei

A Diretiva (UE) 2022/2555, a NIS2, foi adotada pelo Parlamento Europeu em novembro de 2022, com prazo para transposição pelos Estados-Membros até 17 de outubro de 2024. Portugal, como vários outros países, não cumpriu esse prazo e publicou o Decreto-Lei n.º 125/2025 apenas em 4 de dezembro de 2025, com 13 meses de atraso face à exigência europeia.

O diploma foi publicado no Diário da República, 1.ª série, e estabeleceu uma vacatio legis de 120 dias. Esse período termina a 3 de abril de 2026, data em que o Regime Jurídico da Cibersegurança passa a produzir plenos efeitos jurídicos.

Artigos-chave e o que mudam na prática

O diploma estrutura-se em 8 capítulos e dois anexos, Anexo I com setores de alta criticidade e Anexo II com outros setores críticos. Os artigos com impacto operacional imediato são:

• Art. 10.º do DL 125/2025, Obrigações das entidades essenciais (OE): compliance pleno, supervisão ex-ante pelo CNCS.
• Art. 11.º do DL 125/2025, Obrigações das entidades importantes (OI): compliance com supervisão ex-post.
• Art. 25.º do DL 125/2025 (Art. 20 da Diretiva NIS2), Responsabilidade do órgão de gestão: obrigação de formação e aprovação de medidas de segurança pela administração.
• Art. 27.º do DL 125/2025 (Art. 21 da Diretiva NIS2), Medidas de gestão de risco de cibersegurança: 10 domínios obrigatórios incluindo MFA, criptografia, segurança da cadeia de abastecimento e business continuity.
• Art. 40.º e 42.º do DL 125/2025 (Art. 23 da Diretiva NIS2), Notificação de incidentes ao CNCS: alerta precoce em 24h (Art. 42.º), notificação completa em 72h, relatório final em 30 dias (Art. 44.º).
• Art. 54.º/55.º do DL 125/2025 (Art. 32/33 da Diretiva NIS2), Supervisão e enforcement: poderes do CNCS para inspeção, auditoria e imposição de medidas corretivas.

Prazos-chave para 2026–2028

Prazo	Obrigação	Referência legal
3 Abr 2026	DL 125/2025 em vigor, lei aplicável	Art. 1.º + vacatio legis
≈ 4 Mai 2026	Nomeação do responsável de segurança da informação (20 dias úteis após entrada em vigor)	Art. 25.º DL 125/2025
Mai–Jun 2026	Registo no portal eletrónico do CNCS (prazo dependente de regulamento)	Art. 14.º
2027 em diante	Aplicação plena do regime sancionatório (coimas até 10 M€ / 2%)	Arts. 61.º–63.º DL 125/2025
Abr 2028	Conformidade técnica plena obrigatória para todas as entidades	Disposições transitórias

Implicações por dimensão e setor

Médias e grandes empresas (OE/OI obrigatórias)

Empresas com mais de 50 trabalhadores ou volume de negócios superior a 10 milhões de euros, em setores dos Anexos I e II, devem autoidentificar-se como entidade essencial ou importante e iniciar o processo de registo junto do CNCS. A negligência em fazê-lo é, por si só, infração administrativa.

Setor público

Administrações públicas centrais e municipalidades de maior dimensão estão expressamente incluídas no Anexo I. Os municípios com mais de 50.000 habitantes estão abrangidos, bem como todos os serviços e organismos da administração direta do Estado.

Cadeia de fornecimento

O Art. 27.º do DL 125/2025 (Art. 21 da Diretiva NIS2) inclui explicitamente a segurança da cadeia de abastecimento como medida obrigatória. Fornecedores de TIC, prestadores de serviços geridos (MSP) e operadores de infraestruturas digitais veem os seus clientes obrigados a incluí-los em avaliações de risco formais.

Próximos passos recomendados

1. Verificar se a organização está nos Anexos I ou II e qual a classificação (OE vs OI) usando a Calculadora de Classificação.
2. Nomear formalmente o responsável de segurança da informação (20 dias úteis após a entrada em vigor, até cerca de 4 de maio de 2026).
3. Realizar uma gap analysis face ao Art. 27.º do DL 125/2025 com a ferramenta de auditoria NIS2.
4. Implementar as medidas prioritárias do Roadmap de 90 dias.
5. Acompanhar a publicação do regulamento do CNCS sobre o portal de registo.