NIS2 Portugal

O que é a NIS2?

Compreenda a Diretiva (UE) 2022/2555 e a sua transposição para Portugal através da Decreto-Lei n.º 125/2025

O que é a Diretiva NIS2?

A Diretiva (UE) 2022/2555, conhecida como NIS2 (Network and Information Security 2), foi publicada a 14 de dezembro de 2022 pelo Parlamento Europeu e pelo Conselho da União Europeia. Esta diretiva estabelece medidas destinadas a garantir um elevado nível comum de cibersegurança em toda a União Europeia.

Em Portugal: A NIS2 foi transposta para o direito português através do Decreto-Lei n.º 125/2025 (publicado no Diário da República a 4 de dezembro de 2025). A lei entrou em vigor a 3 de abril de 2026 — a conformidade é agora obrigatória. As entidades têm 20 dias úteis após a entrada em vigor (até cerca de 4 de maio de 2026) para nomear o responsável de segurança junto do CNCS. O regime está plenamente em vigor desde 3 de abril de 2026 e a conformidade é obrigatória. Embora seja expectável alguma ponderação na aplicação inicial das coimas, as entidades devem assumir conformidade imediata e estar preparadas para demonstrar boa-fé e esforço genuíno.

O principal objetivo da NIS2 é melhorar a resiliência cibernética das infraestruturas críticas e dos serviços essenciais da economia europeia, protegendo cidadãos, empresas e instituições contra ameaças digitais cada vez mais sofisticadas.

Da NIS à NIS2: a evolução

NIS1 (2016)

A primeira Diretiva NIS foi adotada em 2016, estabelecendo os requisitos iniciais de segurança de redes e sistemas de informação na UE. Apesar de inovadora, revelou limitações na sua aplicação prática.

  • Âmbito limitado a 7 setores
  • Requisitos genéricos e pouco específicos
  • Falta de harmonização entre Estados-Membros
  • Penalizações inconsistentes

NIS2 (2022)

A NIS2 surge como uma evolução substancial, corrigindo as lacunas da anterior e adaptando-se ao panorama de ameaças atual. Traz melhorias significativas em todas as dimensões.

  • Âmbito alargado para 17 setores críticos + Administração Pública
  • 9 medidas de segurança específicas e obrigatórias
  • Harmonização total entre Estados-Membros
  • Penalizações severas e uniformes
  • Responsabilização direta dos gestores
Principais melhorias da NIS2:
  • Âmbito alargado: de 7 para 17 setores + Administração Pública
  • Critérios claros de aplicabilidade baseados na dimensão das empresas
  • Requisitos técnicos específicos e mensuráveis
  • Prazos de notificação de incidentes mais rigorosos (24h + 72h + relatório final em 30 dias úteis)
  • Penalizações harmonizadas: até €10M ou 2% da faturação global
  • Responsabilidade pessoal dos órgãos de gestão

Novidades: Digital Omnibus Package (Janeiro 2026)

Em 20 de janeiro de 2026, a Comissão Europeia propôs alterações à NIS2 para simplificar a conformidade

📊

Nova categoria "Small Mid-Cap"

A proposta introduz uma nova categoria para empresas de média capitalização mais pequenas, reduzindo os custos de conformidade para cerca de 22.500 empresas na UE.

🔗

Single Entry Point (SEP)

Plataforma única da ENISA para notificação de incidentes, unificando os requisitos da NIS2, GDPR, DORA, CER e eIDAS num só portal.

💼

Simplificação para PMEs

As alterações propostas beneficiarão cerca de 28.700 empresas, incluindo 6.200 PMEs, através de regras mais simples e custos reduzidos de conformidade.

🇪🇺

Papel Reforçado da ENISA

A ENISA terá um papel mais forte na coordenação de entidades transfronteiriças e na gestão do Single Entry Point para notificações.

Nota: As alterações do Digital Omnibus Package são uma proposta da Comissão Europeia de janeiro de 2026, ainda sujeita a aprovação pelo Parlamento Europeu e Conselho. A implementação destas simplificações não é imediata.
Saber mais sobre Digital Omnibus 2026 →

Quem está abrangido?

A NIS2 aplica-se a empresas médias e grandes que operam em 17 setores críticos da economia europeia, mais a Administração Pública.

Critério de dimensão

Uma entidade está abrangida pela NIS2 se cumprir pelo menos um dos seguintes critérios:

≥ 250

funcionários

≥ €50M

faturação anual

≥ €43M

balanço anual

Nota importante: Mesmo empresas de menor dimensão podem estar abrangidas se forem consideradas de importância crítica para a continuidade de serviços essenciais.

Setores críticos abrangidos

Anexo I - Setores de importância crítica (10 setores)

Setores de importância crítica com requisitos mais rigorosos

1. Energia

Eletricidade, petróleo, gás natural e hidrogénio

2. Transportes

Aéreo, ferroviário, marítimo e rodoviário

3. Setor bancário

Instituições de crédito

4. Infraestruturas financeiras

Mercados regulamentados, contrapartes centrais

5. Saúde

Prestadores de cuidados de saúde, laboratórios de referência

6. Água potável

Abastecimento e distribuição de água potável

7. Águas residuais

Recolha, eliminação ou tratamento de águas residuais

8. Infraestruturas digitais

IXP, DNS, TLD, cloud computing, data centers, CDN

9. Gestão de Serviços TIC (B2B)

Serviços geridos de TIC, incluindo segurança

10. Espaço

Operadores de infraestruturas terrestres espaciais

Anexo II - Outros setores críticos (7 setores)

Setores de relevância significativa para a economia e sociedade

1. Serviços postais

Operadores postais designados

2. Gestão de resíduos

Recolha, transporte e tratamento de resíduos

3. Produtos químicos

Fabrico, produção e distribuição de produtos químicos

4. Produção de alimentos

Produção, transformação e distribuição de alimentos

5. Indústria transformadora

Dispositivos médicos, eletrónica, máquinas, veículos automóveis

6. Fornecedores digitais

Mercados online, motores de pesquisa, redes sociais

7. Investigação

Organismos de investigação

Administração Pública (tratamento especial)

Classificação por Grupo A e Grupo B conforme o DL 125/2025

A Administração Pública é tratada separadamente na transposição portuguesa, com uma classificação própria em dois grupos:

Grupo A — Entidades Essenciais

  • Entidades públicas com ≥250 trabalhadores
  • Entidades administrativas independentes
  • Requisitos equivalentes às entidades essenciais do setor privado

Grupo B — Entidades Importantes

  • Entidades públicas com 50–249 trabalhadores
  • Requisitos equivalentes às entidades importantes do setor privado
Hierarquia de classificação: Essencial > Importante > Grupo A > Grupo B

Os 3 objetivos da NIS2

🛡️

1. Aumentar o nível de cibersegurança

Estabelecer medidas mínimas obrigatórias de cibersegurança que todas as entidades abrangidas devem implementar, garantindo um patamar comum de proteção em toda a UE.

  • 9 medidas técnicas obrigatórias
  • Gestão de riscos baseada em standards internacionais
  • Testes e auditorias regulares
⚖️

2. Harmonizar a legislação

Criar requisitos uniformes em todos os Estados-Membros, eliminando as discrepâncias que dificultavam a conformidade para empresas que operam em múltiplos países.

  • Critérios de aplicabilidade uniformes
  • Penalizações harmonizadas
  • Procedimentos de supervisão consistentes
🤝

3. Melhorar a cooperação

Promover a partilha de informação sobre ameaças e incidentes entre Estados-Membros, entidades privadas e autoridades competentes, fortalecendo a resposta coletiva.

  • Rede de CSIRTs (Computer Security Incident Response Teams)
  • Grupo de Cooperação NIS
  • Partilha de boas práticas e threat intelligence

Diferenças principais NIS1 vs NIS2

Compreenda as mudanças significativas entre a primeira e segunda diretivas

Aspecto NIS1 (2016) NIS2 (2022)
Setores abrangidos 7 setores 17 setores + Admin. Pública
Empresas abrangidas Apenas grandes empresas Médias e grandes empresas
Penalizações Variáveis por país Até €10M ou 2% faturação global
Responsabilidade Não definida claramente Gestores diretamente responsáveis
Requisitos técnicos Genéricos e pouco específicos 9 medidas específicas obrigatórias
Notificação de incidentes 72 horas 24h (alerta) + 72h (notificação) + 30 dias (relatório final)
Cadeia de abastecimento Não regulada Segurança obrigatória de fornecedores
Harmonização UE Implementação fragmentada Total harmonização entre Estados-Membros

Princípios fundamentais da NIS2

Abordagem baseada em risco

As medidas de segurança devem ser proporcionais aos riscos identificados, com avaliações contínuas e adaptação às ameaças emergentes.

Segurança por design

A cibersegurança deve ser integrada desde a conceção de sistemas, produtos e serviços, não como uma adição posterior.

Responsabilidade partilhada

A gestão de topo e as equipas técnicas devem trabalhar em conjunto, com responsabilidades claras e formação adequada.

Melhoria contínua

Auditorias regulares, testes de segurança e revisão de políticas garantem a eficácia contínua das medidas implementadas.

Quer saber se a sua empresa está abrangida?

Utilize as nossas ferramentas para avaliar a conformidade da sua organização com a NIS2

Usar calculadora de conformidade Ver requisitos obrigatórios

Recursos adicionais:

Roadmap 90 dias Quiz de avaliação Templates prontos