Contexto: o atraso de Portugal
A Diretiva NIS2 estabeleceu outubro de 2024 como prazo para todos os Estados-Membros transporem o diploma para direito nacional. Portugal foi um dos países que não cumpriu esse prazo, tendo publicado o seu diploma de transposição apenas a 4 de dezembro de 2025, 13 meses após o deadline europeu.
O atraso não eximiu as entidades abrangidas das obrigações da Diretiva, que tem efeito direto na ordem jurídica europeia. No entanto, o DL 125/2025 é necessário para operacionalizar o regime de supervisão e enforcement pelo CNCS, bem como para definir com precisão o âmbito de aplicação em Portugal.
Estrutura do diploma
O DL 125/2025 organiza-se em 8 capítulos, cobrindo:
- Cap. I, Disposições gerais: Objeto, âmbito de aplicação, definições e autoridade nacional (CNCS).
- Cap. II, Identificação e registo de entidades: Autoidentificação, portal eletrónico, obrigações de notificação de alterações.
- Cap. III, Medidas de gestão de risco: Os 10 domínios do Art. 21.º, incluindo políticas, gestão de incidentes, business continuity, cadeia de abastecimento, MFA e criptografia.
- Cap. IV, Notificação de incidentes: Prazos 24h/72h/30d, critérios de significância, cooperação transfronteiriça.
- Cap. V, Supervisão e enforcement: Poderes do CNCS, auditorias, inspeções, medidas corretivas.
- Cap. VI, Regime sancionatório: Coimas até 10M€ ou 2% do volume de negócios global para OE; até 7M€ ou 1,4% para OI.
- Cap. VII, Cooperação e partilha de informação: CSIRTs, rede CyCLONe, mecanismo de peer review.
- Cap. VIII, Disposições finais e transitórias.
Principais novidades face ao DL 65/2021 (anterior regime)
| Aspeto | DL 65/2021 (NIS1) | DL 125/2025 (NIS2) |
|---|---|---|
| Responsabilidade gestão | Não explícita | Art. 20.º, órgão de gestão formalmente responsável |
| Coimas máximas | 250.000 € (OE) | 10.000.000 € ou 2% vol. negócios (OE) |
| Setores abrangidos | 7 setores essenciais | Anexo I (11 setores alta criticidade) + Anexo II (7 setores importantes) |
| Administração pública | Parcialmente incluída | Expressamente incluída com regime próprio |
| Cadeia de abastecimento | Não obrigatória | Art. 21.º alínea d), medida obrigatória |
| Portal de registo | Não previsto | Art. 14.º, portal eletrónico CNCS obrigatório |
Vacatio legis de 120 dias: O diploma entra em vigor 120 dias após a publicação, ou seja, a 3 de abril de 2026. Este período deve ser usado para preparação, avaliação interna e início da implementação das medidas do Art. 21.º.
Fases de implementação previstas
O DL 125/2025 e as disposições transitórias preveem uma implementação faseada:
- Fase 1, Registo e identificação (Abr–Jun 2026): Autoidentificação como OE/OI e registo no portal CNCS. Nomeação do responsável de segurança da informação (prazo: 4 de maio de 2026).
- Fase 2, Conformidade técnica básica (Jun 2026–Abr 2027): Implementação das medidas prioritárias do Art. 21.º. Período sem coimas plenas para entidades importantes.
- Fase 3, Conformidade plena (Abr 2027–Abr 2028): Conformidade total com todos os requisitos, incluindo certificações onde aplicável. Início de supervisão sistemática pelo CNCS.