NIS2 Portugal

Penalizações e Fiscalização NIS2

Conheça as consequências do incumprimento e o papel das autoridades supervisoras

Coimas Administrativas

⚠️

Entidades Essenciais

Anexo I da Diretiva NIS2

€10.000.000 ou 2%

Do volume de negócios anual global (consoante o que for mais elevado)

⚠️

Entidades Importantes

Anexo II da Diretiva NIS2

€7.000.000 ou 1,4%

Do volume de negócios anual global (consoante o que for mais elevado)

🏛️

Administração Pública

Entidades essenciais da Administração Pública

€4.000.000

Limite específico para entidades da Administração Pública

Periodo de Transicao — Art. 65.º DL 125/2025

Durante os primeiros 12 meses apos a entrada em vigor do Decreto-Lei (ate abril de 2027), as entidades podem solicitar dispensa de aplicacao das coimas mediante pedido fundamentado a autoridade competente.

Esta disposicao visa permitir uma transicao ordenada para o novo regime de ciberseguranca. Nao e automatica — requer pedido expresso e justificado dirigido ao CNCS ou outra autoridade setorial competente.

Quadro Detalhado de Coimas (Arts. 61-62 DL 125/2025)

Contraordenacoes Muito Graves (Art. 61.º)
Tipo de Entidade Pessoa Coletiva Pessoa Singular
Entidade Essencial €2.000 — €10.000.000 ou 2% vol. negócios €350 — €200.000
Entidade Importante €1.250 — €7.000.000 ou 1,4% vol. negócios €350 — €200.000
Adm. Pública Relevante — Grupo A €16.000 — €4.000.000 €500 — €16.000
Adm. Pública Relevante — Grupo B €8.000 — €350.000 €500 — €16.000
Contraordenacoes Graves (Art. 62.º)
Tipo de Entidade Pessoa Coletiva Pessoa Singular
Entidade Essencial €1.250 — €5.000.000 ou 1% vol. negócios €250 — €125.000
Entidade Importante €875 — €3.500.000 ou 0,7% vol. negócios €250 — €125.000
Adm. Pública Relevante — Grupo A €10.000 — €2.500.000 €375 — €10.000
Adm. Pública Relevante — Grupo B €5.000 — €225.000 €375 — €10.000
⚠️ Aviso crítico: As penalizações são aplicadas por infração. Múltiplas infrações podem resultar em coimas acumuladas, aumentando significativamente o impacto financeiro total.

Fatores considerados na determinação das penalizações

As autoridades competentes avaliam vários critérios ao determinar o valor das coimas:

  • Gravidade e duração da infração: Impacto nos serviços, número de utilizadores afetados e extensão temporal
  • Natureza intencional ou negligente: Violações deliberadas são penalizadas mais severamente
  • Ações para mitigar o dano: Medidas tomadas para minimizar impactos após o incidente
  • Grau de responsabilidade: Nível de controlo da entidade sobre a situação
  • Infrações anteriores: Histórico de conformidade e penalizações prévias
  • Situação financeira: Capacidade económica da organização
  • Cooperação com autoridades: Nível de colaboração durante investigações e auditorias

Detalhes do Regime Sancionatório (DL 125/2025)

👤

Pessoas Singulares

Até €200.000

Em contraordenações muito graves, as pessoas singulares responsáveis podem ser sancionadas com coimas até €200.000.

Inclui membros dos órgãos de gestão que não cumpram as suas obrigações de supervisão de cibersegurança.

🕐

Dispensa Temporária de Coimas

As entidades podem solicitar dispensa temporária de coimas por um período de 12 meses, demonstrando:

  • Boa-fé no processo de adaptação
  • Esforço genuíno de implementação das medidas
  • Plano concreto de conformidade em execução
Atenção: Não é um período de carência automático. É um mecanismo de pedido que requer demonstração ativa de boa-fé.

Prescrição

Os prazos de prescrição para contraordenações no âmbito do DL 125/2025:

  • 3 anos para contraordenações graves
  • 3 anos para contraordenações muito graves

O prazo de prescrição conta-se a partir da data da prática da infração.

Outras Sanções e Medidas Corretivas

Além das coimas administrativas, as autoridades podem aplicar um conjunto de medidas corretivas e sanções adicionais:

🚫

Suspensão de Certificação

Suspensão temporária ou definitiva de certificações de segurança, exigindo recertificação após correção das não conformidades.

📛

Proibição de Tratamento de Dados

Proibição temporária ou definitiva de processar dados pessoais quando há riscos graves para a segurança.

📢

Aviso Público

Divulgação pública da infração com identificação da entidade, afetando a reputação e confiança do mercado.

📋

Ordens Corretivas

Ordens com prazos específicos para implementar medidas corretivas, sob pena de penalizações adicionais.

💰

Sanções Pecuniárias Periódicas

Pagamentos periódicos (diários ou semanais) para garantir o cumprimento de ordens corretivas.

🌍

Suspensão de Fluxos de Dados

Suspensão temporária de transferências de dados para países terceiros quando há riscos de segurança.

Responsabilidade da Gestão

🎯 Novo paradigma: A NIS2 introduz responsabilidade pessoal dos gestores. O artigo 20.º do Decreto-Lei n.º 125/2025 estabelece que os órgãos de gestão são diretamente responsáveis pela conformidade com as medidas de cibersegurança.

Obrigações dos Gestores

  • Aprovação formal: Devem aprovar as medidas de cibersegurança implementadas pela organização
  • Supervisão ativa: Acompanhar regularmente a implementação e eficácia das medidas
  • Formação obrigatória: Participar em formações específicas sobre riscos de cibersegurança
  • Recursos adequados: Garantir alocação de recursos humanos e financeiros suficientes
  • Prestação de contas: Responder pessoalmente perante as autoridades sobre o estado de conformidade

Sanções para Gestores

Restrições ao exercício de funções de gestão:

  • Temporárias: De 6 meses a 5 anos, para violações graves
  • Aplicação: Por decisão das autoridades competentes
  • Âmbito: Pode abranger toda a União Europeia

Responsabilidade criminal:

  • Para violações intencionais que causem danos graves
  • Prevista em legislação penal complementar
  • Pode incluir penas de prisão em casos extremos

ℹ️ Proteção legal: Gestores que demonstrem diligência razoável, aprovação formal das medidas e participação em formações têm defesas robustas contra penalizações.

Responsabilidade Civil e Indemnizações

Além das sanções administrativas e penais, as entidades abrangidas pela NIS2 podem enfrentar ações cíveis:

Direito a Indemnização

Indivíduos e organizações afetados por infrações à NIS2 têm direito a reclamar compensação por:

  • Danos patrimoniais (perdas financeiras diretas)
  • Danos não patrimoniais (reputação, stress)
  • Custos de mitigação (despesas com proteção adicional)

Ónus da Prova

A entidade deve provar que:

  • Não é responsável pelo evento que causou o dano
  • Implementou todas as medidas obrigatórias da NIS2
  • Agiu com a diligência esperada

A inversão do ónus da prova favorece as vítimas.

Seguros e Transferência de Risco

Considerações importantes:

  • Seguros de cibersegurança podem cobrir parte dos danos
  • Não cobrem coimas administrativas
  • Não eliminam responsabilidade dos gestores
  • Franchises e exclusões devem ser avaliadas

O Papel do CNCS (Centro Nacional de Cibersegurança)

ℹ️ Autoridade supervisora: O CNCS é a principal autoridade de supervisão da NIS2 em Portugal, responsável por garantir o cumprimento da diretiva pelas entidades abrangidas.

Poderes e Responsabilidades do CNCS

🔍
Inspeções e Auditorias

Realizar inspeções presenciais e auditorias remotas para verificar conformidade com os requisitos da NIS2.

📄
Requisição de Informação

Solicitar documentação, relatórios, evidências e qualquer informação necessária para avaliar conformidade.

🏢
Acesso a Instalações

Aceder a instalações, sistemas e infraestruturas (com autorização legal apropriada) para inspeções técnicas.

📜
Instruções Vinculativas

Emitir instruções obrigatórias para implementação de medidas de segurança ou correção de deficiências.

⚖️
Aplicação de Penalizações

Aplicar coimas, sanções administrativas e medidas corretivas conforme previsto na legislação.

📊
Relatórios Anuais

Publicar relatórios anuais sobre o estado de conformidade, incidentes reportados e tendências de ameaças.

Cooperação Europeia e Transfronteiriça

O CNCS colabora ativamente com autoridades de outros Estados-Membros:

  • Rede de CSIRTs: Partilha de informações sobre ameaças e incidentes
  • Grupo de Cooperação NIS: Coordenação de políticas e abordagens comuns
  • Incidentes transfronteiriços: Coordenação de respostas a incidentes que afetem múltiplos países
  • Assistência mútua: Apoio em inspeções e investigações de entidades com operações em vários Estados

Processo de Fiscalização

O processo de fiscalização pelo CNCS segue um procedimento estruturado que garante o direito de defesa das entidades:

1

Avaliação Inicial e Notificação

O CNCS identifica potenciais não conformidades (por auditoria aleatória, denúncia, ou análise de incidentes reportados) e notifica formalmente a entidade sobre o início do processo de fiscalização.

Duração: 1-2 semanas
2

Inspeção Presencial

Realização de inspeção nas instalações da entidade, com análise de sistemas, entrevistas com responsáveis, e recolha de evidências. A entidade deve facilitar o acesso e prestar todas as informações solicitadas.

Duração: 1-5 dias (dependendo da complexidade)
3

Revisão de Documentação e Auditoria Técnica

Análise detalhada de políticas, procedimentos, registos de incidentes, configurações de segurança e outras evidências recolhidas. Podem ser solicitadas informações complementares.

Duração: 2-8 semanas
4

Direito de Audição (Audiência Prévia)

A entidade tem o direito de ser ouvida antes de qualquer decisão final. Pode apresentar esclarecimentos, documentos adicionais e argumentos de defesa relativamente às conclusões preliminares.

Prazo: 10-15 dias úteis para resposta
5

Decisão e Notificação

O CNCS emite decisão fundamentada sobre a conformidade, incluindo eventuais sanções, coimas ou medidas corretivas. A decisão é notificada formalmente à entidade.

Duração: 2-4 semanas após audição
6

Direito de Recurso

A entidade pode apresentar recurso administrativo ou judicial da decisão. O recurso não suspende automaticamente a execução da decisão, salvo se for concedida providência cautelar.

Prazo: 30 dias úteis para interpor recurso
⏱️ Duração típica do processo: O processo completo de fiscalização, desde a notificação inicial até à decisão final, demora tipicamente entre 6 a 12 meses em casos complexos. Casos mais simples podem ser resolvidos em 2-3 meses.

Notificação de Incidentes ao CNCS

⚠️ Obrigação crítica: A notificação de incidentes significativos ao CNCS é obrigatória e está sujeita a prazos rigorosos. O incumprimento ou atraso na notificação é em si uma infração passível de penalização.
24 HORAS

Alerta Precoce

Notificação inicial informando sobre a ocorrência de um incidente significativo.

Deve incluir:
  • Identificação da entidade
  • Natureza do incidente (se conhecida)
  • Data e hora de deteção
  • Indicação preliminar de gravidade
72 HORAS

Notificação Intercalar

Relatório detalhado, 72 horas após verificar a existência do incidente significativo.

Deve incluir:
  • Atualização sobre a natureza e causa do incidente
  • Número de utilizadores/serviços afetados
  • Duração estimada do incidente
  • Medidas técnicas já implementadas
  • Indicadores de compromisso (IOCs)
30 DIAS ÚTEIS

Relatório Final

Relatório final completo, 30 dias úteis após a notificação de fim de impacto significativo.

Deve incluir:
  • Descrição completa do incidente
  • Causa raiz identificada
  • Impacto final nos serviços e utilizadores
  • Medidas de correção implementadas
  • Plano de ações preventivas
  • Lições aprendidas
SEMANAL

Relatório Intercalar

Relatórios semanais obrigatórios enquanto o incidente significativo estiver em curso.

Deve incluir:
  • Atualização do estado do incidente
  • Novas medidas de mitigação
  • Evolução do impacto
  • Previsão de resolução
FIM DE IMPACTO

Notificação de Fim de Impacto

24 horas após o fim do impacto significativo. Inicia a contagem dos 30 dias úteis para o relatório final.

Deve incluir:
  • Declaração de cessação do impacto
  • Data e hora do fim do impacto
  • Resumo das medidas de recuperação
  • Estado atual dos serviços

Penalizações por Falhas na Notificação

  • Não notificação: Coimas significativas, podendo atingir os valores máximos previstos
  • Notificação tardia: Coimas proporcionais ao atraso e gravidade do incidente
  • Informação incompleta: Obrigação de complementar a informação, com possíveis sanções adicionais
  • Informação falsa: Penalizações agravadas e possível responsabilização criminal
✅ Utilize as templates: Aceda à nossa página de templates para descarregar o modelo de relatório de incidente de cibersegurança, que facilita o cumprimento de todos os requisitos de notificação.

Como Evitar Penalizações

🎯 Siga o Nosso Guia de Implementação

O caminho mais seguro para garantir conformidade e evitar penalizações é seguir uma implementação estruturada e completa das medidas NIS2.

Ver guia passo a passo

Recomendações Essenciais para Conformidade

🎯
1. Avaliações de Risco Regulares

Realize avaliações de risco de cibersegurança pelo menos anualmente ou sempre que haja mudanças significativas na infraestrutura, ameaças ou no contexto operacional.

2. Implementar as 10 Medidas Obrigatórias

Garanta a implementação completa e documentada das 9 medidas de cibersegurança do artigo 21.º da NIS2. Não deixe nenhuma medida por implementar.

📚
3. Documentação e Evidências

Mantenha documentação atualizada de todas as políticas, procedimentos, avaliações de risco, incidentes, formações e auditorias. As evidências são cruciais em caso de fiscalização.

👥
4. Formação Contínua

Implemente programas de formação regulares para todos os colaboradores, equipa técnica e gestão de topo. Documente todas as formações realizadas e mantenha registos de participação.

🧪
5. Testes e Exercícios

Realize testes regulares do plano de resposta a incidentes, procedimentos de backup e recuperação, e plano de continuidade de negócio. Documente os resultados e implemente melhorias.

📖
6. Acompanhamento Regulatório

Mantenha-se atualizado sobre mudanças na legislação, orientações do CNCS, novas ameaças e melhores práticas. A NIS2 é um quadro regulatório dinâmico.

🤝
7. Cooperação Proativa com o CNCS

Estabeleça canais de comunicação com o CNCS, responda prontamente a solicitações, participe em iniciativas de partilha de informação e demonstre compromisso com a conformidade.

🔍
8. Auditorias Internas

Realize auditorias internas periódicas para identificar e corrigir deficiências antes de inspeções oficiais. Uma auditoria interna é significativamente menos custosa que uma penalização.

Casos Práticos e Exemplos

Exemplos ilustrativos de situações de incumprimento e respetivas penalizações (baseados em casos reais de diretivas similares):

Entidade Essencial

Caso 1: Hospital - Ataque de Ransomware

Situação:

Hospital de grande dimensão sofreu ataque de ransomware que afetou sistemas críticos de pacientes. O hospital demorou 72 horas (além do prazo de 24h) para notificar o CNCS, não tinha backups funcionais, e não realizava formações regulares de cibersegurança.

Violações identificadas:
  • Notificação tardia ao CNCS (48h de atraso)
  • Ausência de backups efetivos (medida 3 da NIS2)
  • Falta de formação em cibersegurança (medida 7)
  • Gestão inadequada de vulnerabilidades
Penalização aplicada:

€2.000.000 + Ordens corretivas vinculativas

  • Coima de €2M (considerando gravidade e impacto em serviços de saúde)
  • Ordem para implementar programa completo de backups em 3 meses
  • Ordem para implementar formação obrigatória para todos os colaboradores
  • Auditoria de seguimento após 6 meses
Entidade Importante

Caso 2: Prestador de Serviços Digitais

Situação:

Empresa de serviços cloud sofreu violação de dados por vulnerabilidade conhecida não corrigida. A empresa não tinha procedimentos formais de gestão de patches, não realizava avaliações de risco, e não tinha plano de resposta a incidentes documentado.

Violações identificadas:
  • Falta de gestão de vulnerabilidades (medida 6)
  • Ausência de avaliação de riscos (medida 1)
  • Inexistência de plano de resposta a incidentes (medida 2)
  • Ausência de políticas de segurança documentadas
Penalização aplicada:

€500.000 + Plano de conformidade obrigatório

  • Coima de €500k (entidade importante, primeira infração)
  • Obrigação de implementar plano de conformidade completo em 6 meses
  • Submissão de relatórios mensais de progresso ao CNCS
  • Auditoria externa obrigatória após implementação
Entidade Essencial

Caso 3: Operador de Energia

Situação:

Operador de rede elétrica sofreu múltiplos incidentes ao longo de 2 anos. Auditorias revelaram que a gestão de topo não aprovava formalmente as medidas de segurança, não participava em formações, e não alocava recursos adequados. Violações repetidas apesar de avisos prévios.

Violações identificadas:
  • Falta de compromisso da gestão de topo
  • Infrações múltiplas e repetidas
  • Não cumprimento de ordens corretivas anteriores
  • Recursos inadequados para cibersegurança
Penalização aplicada:

€5.000.000 + Restrições aos gestores

  • Coima de €5M (agravada por reincidência e negligência)
  • Restrição de 2 anos ao CEO para exercer funções de gestão em entidades NIS2
  • Aviso público com identificação da entidade
  • Supervisão reforçada pelo CNCS durante 3 anos
  • Obrigação de contratar CISO dedicado
ℹ️ Nota: Estes são exemplos ilustrativos baseados em casos reais de diretivas similares (RGPD, NIS1, etc.). Os valores e penalizações específicas variam conforme a gravidade, reincidência, cooperação com autoridades e outros fatores avaliados caso a caso.

Recursos Úteis

⚖️

Decreto-Lei n.º 125/2025

Texto completo da transposição portuguesa da Diretiva NIS2

Aceder ao documento
🇪🇺

Diretiva (UE) 2022/2555

Diretiva NIS2 original da União Europeia

Ver diretiva completa
🛡️

Portal CNCS

Website oficial do Centro Nacional de Cibersegurança

Visitar CNCS
📝

Templates de Notificação

Modelos de relatório de incidente para notificação ao CNCS

Descarregar templates
📋

Guia de Implementação

Roteiro passo a passo para conformidade NIS2

Ver guia completo
📞

Contactos e Apoio

Contactos do CNCS e consultores especializados

Ver recursos

⚠️ Não arrisque penalizações

As consequências do incumprimento da NIS2 são graves e podem comprometer a viabilidade da sua organização. Comece hoje a sua jornada para a conformidade.

Iniciar implementação Verificar se está abrangido