NIS2 Portugal

O que é a NIS2?

Compreenda a Diretiva (UE) 2022/2555 e a sua transposição para Portugal através da Lei n.º 59/2025

O que é a Diretiva NIS2?

A Diretiva (UE) 2022/2555, conhecida como NIS2 (Network and Information Security 2), foi publicada a 14 de dezembro de 2022 pelo Parlamento Europeu e pelo Conselho da União Europeia. Esta diretiva estabelece medidas destinadas a garantir um elevado nível comum de cibersegurança em toda a União Europeia.

Em Portugal: A NIS2 foi transposta para o direito português através da Lei n.º 59/2025, aprovada a 22 de outubro de 2025. As entidades abrangidas dispõem de um prazo de 180 dias para implementação completa das medidas de cibersegurança, o que significa uma data limite em abril de 2026.

O principal objetivo da NIS2 é melhorar a resiliência cibernética das infraestruturas críticas e dos serviços essenciais da economia europeia, protegendo cidadãos, empresas e instituições contra ameaças digitais cada vez mais sofisticadas.

Da NIS à NIS2: a evolução

NIS1 (2016)

A primeira Diretiva NIS foi adotada em 2016, estabelecendo os requisitos iniciais de segurança de redes e sistemas de informação na UE. Apesar de inovadora, revelou limitações na sua aplicação prática.

  • Âmbito limitado a 7 setores
  • Requisitos genéricos e pouco específicos
  • Falta de harmonização entre Estados-Membros
  • Penalizações inconsistentes

NIS2 (2022)

A NIS2 surge como uma evolução substancial, corrigindo as lacunas da anterior e adaptando-se ao panorama de ameaças atual. Traz melhorias significativas em todas as dimensões.

  • Âmbito alargado para 18 setores críticos
  • 10 medidas de segurança específicas e obrigatórias
  • Harmonização total entre Estados-Membros
  • Penalizações severas e uniformes
  • Responsabilização direta dos gestores
Principais melhorias da NIS2:
  • Âmbito alargado: de 7 para 18 setores críticos
  • Critérios claros de aplicabilidade baseados na dimensão das empresas
  • Requisitos técnicos específicos e mensuráveis
  • Prazos de notificação de incidentes mais rigorosos (24h + 72h + 30 dias)
  • Penalizações harmonizadas: até €10M ou 2% da faturação global
  • Responsabilidade pessoal dos órgãos de gestão

Quem está abrangido?

A NIS2 aplica-se a empresas médias e grandes que operam em 18 setores críticos da economia europeia.

Critério de dimensão

Uma entidade está abrangida pela NIS2 se cumprir pelo menos um dos seguintes critérios:

≥ 250

funcionários

≥ €50M

faturação anual

≥ €43M

balanço anual

Nota importante: Mesmo empresas de menor dimensão podem estar abrangidas se forem consideradas de importância crítica para a continuidade de serviços essenciais.

18 setores críticos abrangidos

Anexo I - Entidades essenciais (9 setores)

Setores de importância crítica com requisitos mais rigorosos

1. Energia

Eletricidade, petróleo, gás natural e hidrogénio

2. Transportes

Aéreo, ferroviário, marítimo e rodoviário

3. Setor bancário

Instituições de crédito

4. Infraestruturas financeiras

Mercados regulamentados, contrapartes centrais

5. Saúde

Prestadores de cuidados de saúde, laboratórios de referência

6. Água potável

Abastecimento e distribuição de água potável

7. Águas residuais

Recolha, eliminação ou tratamento de águas residuais

8. Infraestruturas digitais

IXP, DNS, TLD, cloud computing, data centers, CDN

9. Administração pública

Administração central dos Estados-Membros

Anexo II - Entidades importantes (9 setores)

Setores de relevância significativa para a economia e sociedade

1. Serviços postais

Operadores postais designados

2. Gestão de resíduos

Recolha, transporte e tratamento de resíduos

3. Produtos químicos

Fabrico, produção e distribuição de produtos químicos

4. Produção de alimentos

Produção, transformação e distribuição de alimentos

5. Indústria transformadora

Dispositivos médicos, eletrónica, máquinas, veículos automóveis

6. Fornecedores digitais

Mercados online, motores de pesquisa, redes sociais

7. Investigação

Organismos de investigação

8. Espaço

Operadores de infraestruturas terrestres espaciais

9. Águas (não essencial)

Produção e distribuição quando não classificada como essencial

Os 3 objetivos da NIS2

🛡️

1. Aumentar o nível de cibersegurança

Estabelecer medidas mínimas obrigatórias de cibersegurança que todas as entidades abrangidas devem implementar, garantindo um patamar comum de proteção em toda a UE.

  • 10 medidas técnicas obrigatórias
  • Gestão de riscos baseada em standards internacionais
  • Testes e auditorias regulares
⚖️

2. Harmonizar a legislação

Criar requisitos uniformes em todos os Estados-Membros, eliminando as discrepâncias que dificultavam a conformidade para empresas que operam em múltiplos países.

  • Critérios de aplicabilidade uniformes
  • Penalizações harmonizadas
  • Procedimentos de supervisão consistentes
🤝

3. Melhorar a cooperação

Promover a partilha de informação sobre ameaças e incidentes entre Estados-Membros, entidades privadas e autoridades competentes, fortalecendo a resposta coletiva.

  • Rede de CSIRTs (Computer Security Incident Response Teams)
  • Grupo de Cooperação NIS
  • Partilha de boas práticas e threat intelligence

Diferenças principais NIS1 vs NIS2

Compreenda as mudanças significativas entre a primeira e segunda diretivas

Aspecto NIS1 (2016) NIS2 (2022)
Setores abrangidos 7 setores 18 setores críticos
Empresas abrangidas Apenas grandes empresas Médias e grandes empresas
Penalizações Variáveis por país Até €10M ou 2% faturação global
Responsabilidade Não definida claramente Gestores diretamente responsáveis
Requisitos técnicos Genéricos e pouco específicos 10 medidas específicas obrigatórias
Notificação de incidentes 72 horas 24h (alerta) + 72h (notificação) + 30 dias (relatório final)
Cadeia de abastecimento Não regulada Segurança obrigatória de fornecedores
Harmonização UE Implementação fragmentada Total harmonização entre Estados-Membros

Princípios fundamentais da NIS2

Abordagem baseada em risco

As medidas de segurança devem ser proporcionais aos riscos identificados, com avaliações contínuas e adaptação às ameaças emergentes.

Segurança por design

A cibersegurança deve ser integrada desde a conceção de sistemas, produtos e serviços, não como uma adição posterior.

Responsabilidade partilhada

A gestão de topo e as equipas técnicas devem trabalhar em conjunto, com responsabilidades claras e formação adequada.

Melhoria contínua

Auditorias regulares, testes de segurança e revisão de políticas garantem a eficácia contínua das medidas implementadas.

Quer saber se a sua empresa está abrangida?

Utilize as nossas ferramentas para avaliar a conformidade da sua organização com a NIS2

Usar calculadora de conformidade Ver requisitos obrigatórios

Recursos adicionais:

Guia de implementação Quiz de avaliação Templates prontos