Do prazo perdido ao quase cumprimento universal
A Diretiva (UE) 2022/2555 (NIS2) fixou o prazo de transposicao para 17 de outubro de 2024. A maioria dos Estados-Membros nao cumpriu: em novembro de 2024 a Comissao Europeia enviou cartas de notificacao formal, seguidas de pareceres fundamentados a 19 Estados-Membros em 7 de maio de 2025.
O mecanismo de pressao funcionou. Ao longo do segundo semestre de 2025 e primeiro trimestre de 2026, a maioria dos visados publicou a sua legislacao nacional. A 29 de maio de 2026, os trackers ECSO e Cullen International confirmavam 23 dos 27 EM com transposicao concluida.
Fonte: Cullen International, relatorio de 29 de maio de 2026: "Four member states have not yet transposed NIS2." Confirmado pelo ECSO NIS2 Transposition Tracker, maio 2026.
Portugal: DL 125/2025 em vigor desde 3 de abril de 2026
Portugal publicou o Decreto-Lei n.o 125/2025 em 4 de dezembro de 2025, com 13 meses de atraso face ao prazo europeu mas apos a recepcao do parecer fundamentado da Comissao. A lei estabeleceu uma vacatio legis de 120 dias, terminando a 3 de abril de 2026, data em que o Regime Juridico da Ciberseguranca passou a produzir plenos efeitos.
O CNCS (Centro Nacional de Ciberseguranca) e a autoridade competente nacional. O regulamento de execucao, incluindo os termos de funcionamento da plataforma MyCiber para registo de entidades, foi a consulta publica em marco de 2026.
Os 4 EM que ainda nao transpuseram
Quatro Estados-Membros continuam sem transposicao a maio de 2026. Os seus casos foram referidos ao Tribunal de Justica da UE (TJUE), onde a Comissao Europeia pode pedir coimas diarias ate ao cumprimento. Este precedente e relevante: a NIS2 nao e uma diretiva de baixa prioridade para Bruxelas.
A identificacao exacta dos 4 paises nao foi confirmada de forma publica e nominal pelas fontes disponíveis. Consulte o ECSO NIS2 Tracker para a informacao mais atualizada.
Implicacoes para organizacoes com operacoes em varios EM
Com 23 regimes nacionais ativos, a harmonizacao e real mas imperfeita. A NIS2 e uma diretiva de minimos: cada EM pode impor requisitos adicionais, diferentes prazos de notificacao de incidentes (mantendo os 24h/72h/30d como base), ou incluir setores suplementares. O tracker ECSO identifica variantes relevantes em varios paises, incluindo prazos de registo de entidades ate abril de 2027 em alguns casos.
O que os compliance officers de multinacionais devem fazer
- Mapear a presenca geografica face aos 23 regimes em vigor e identificar obrigacoes de registo pais a pais.
- Verificar se a entidade e considerada "essencial" ou "importante" em cada jurisdicao, pois os limiares variam.
- Articular os processos de notificacao de incidentes: embora os prazos base sejam identicos (24h/72h/30d), os canais e formularios diferem por pais.
- Acompanhar os 4 EM ainda por transpor: quando transpuserem, ativam obrigacoes imediatas para entidades ai sedeadas ou com operacoes significativas.
Atenção para grupos empresariais: A entidade juridica que presta o servico e a que e classificada como essencial ou importante, nao o grupo ou a holding. Um grupo pode ter obrigacoes em varios EM de forma independente, com diferentes autoridades competentes e diferentes prazos.
Linha do tempo: do prazo perdido ao enforcement
| Data | Evento |
|---|---|
| 17 out 2024 | Prazo de transposicao NIS2 para todos os EM |
| Nov 2024 | Cartas de notificacao formal a EM em atraso |
| 7 mai 2025 | Pareceres fundamentados a 19 EM |
| 4 dez 2025 | Portugal publica DL 125/2025; Alemanha publica BSI Act |
| 3 abr 2026 | DL 125/2025 em vigor em Portugal |
| 6 mar 2026 | Prazo de registo no BSI alemao; enforcement iniciado |
| 29 mai 2026 | 23/27 EM com transposicao concluida (Cullen International) |
| 2026 em diante | 4 EM restantes referidos ao TJUE |