Contexto: o longo caminho até à lei
A Diretiva (UE) 2022/2555, a NIS2, foi adotada pelo Parlamento Europeu em novembro de 2022, com prazo para transposição pelos Estados-Membros até 17 de outubro de 2024. Portugal, como vários outros países, não cumpriu esse prazo e publicou o Decreto-Lei n.º 125/2025 apenas em 4 de dezembro de 2025, com 13 meses de atraso face à exigência europeia.
O diploma foi publicado no Diário da República, 1.ª série, e estabeleceu uma vacatio legis de 120 dias. Esse período termina a 3 de abril de 2026, data em que o Regime Jurídico da Cibersegurança passa a produzir plenos efeitos jurídicos.
Em vigor desde 3 de abril de 2026: O DL 125/2025 é agora direito positivo em Portugal. Ignorar as suas obrigações expõe entidades a coimas até 10 milhões de euros ou 2% do volume de negócios global anual.
Artigos-chave e o que mudam na prática
O diploma estrutura-se em 8 capítulos e dois anexos, Anexo I com setores de alta criticidade e Anexo II com outros setores críticos. Os artigos com impacto operacional imediato são:
- Art. 10.º, Obrigações das entidades essenciais (OE): compliance pleno, supervisão ex-ante pelo CNCS.
- Art. 11.º, Obrigações das entidades importantes (OI): compliance com supervisão ex-post.
- Art. 20.º, Responsabilidade do órgão de gestão: obrigação de formação e aprovação de medidas de segurança pela administração.
- Art. 21.º, Medidas de gestão de risco de cibersegurança: 10 domínios obrigatórios incluindo MFA, criptografia, segurança da cadeia de abastecimento e business continuity.
- Art. 23.º, Notificação de incidentes ao CNCS: alerta precoce em 24h, notificação completa em 72h, relatório final em 30 dias.
- Art. 32.º, Supervisão e enforcement: poderes do CNCS para inspeção, auditoria e imposição de medidas corretivas.
Prazos-chave para 2026–2028
| Prazo | Obrigação | Referência legal |
|---|---|---|
| 3 Abr 2026 | DL 125/2025 em vigor, lei aplicável | Art. 1.º + vacatio legis |
| 4 Mai 2026 | Nomeação do responsável de segurança da informação | Art. 20.º n.º 2 |
| Mai–Jun 2026 | Registo no portal eletrónico do CNCS (prazo dependente de regulamento) | Art. 14.º |
| Abr 2027 | Fim do período de transição sem coimas plenas para OI | Disposições transitórias |
| Abr 2028 | Conformidade técnica plena obrigatória para todas as entidades | Disposições transitórias |
Implicações por dimensão e setor
Médias e grandes empresas (OE/OI obrigatórias)
Empresas com mais de 50 trabalhadores ou volume de negócios superior a 10 milhões de euros, em setores dos Anexos I e II, devem autoidentificar-se como entidade essencial ou importante e iniciar o processo de registo junto do CNCS. A negligência em fazê-lo é, por si só, infração administrativa.
Setor público
Administrações públicas centrais e municipalidades de maior dimensão estão expressamente incluídas no Anexo I. Os municípios com mais de 50.000 habitantes estão abrangidos, bem como todos os serviços e organismos da administração direta do Estado.
Cadeia de fornecimento
O Art. 21.º inclui explicitamente a segurança da cadeia de abastecimento como medida obrigatória. Fornecedores de TIC, prestadores de serviços geridos (MSP) e operadores de infraestruturas digitais veem os seus clientes obrigados a incluí-los em avaliações de risco formais.
Atenção ao prazo de 4 de maio de 2026: A nomeação do responsável de segurança da informação é a primeira obrigação com prazo fixo após a entrada em vigor. A falha neste requisito é diretamente verificável pelo CNCS nas ações de supervisão.
Próximos passos recomendados
- Verificar se a organização está nos Anexos I ou II e qual a classificação (OE vs OI) usando a Calculadora de Classificação.
- Nomear formalmente o responsável de segurança da informação (antes de 4 de maio de 2026).
- Realizar uma gap analysis face ao Art. 21.º com a ferramenta de auditoria NIS2.
- Implementar as medidas prioritárias do Roadmap de 90 dias.
- Acompanhar a publicação do regulamento do CNCS sobre o portal de registo.