Sobre a Diretiva NIS2
Conheça a nova legislação europeia de cibersegurança que redefine os requisitos de proteção para entidades essenciais e importantes
O que é a Diretiva NIS2?
A Diretiva (UE) 2022/2555, conhecida como NIS2 (Network and Information Security 2), é a legislação europeia que estabelece medidas para garantir um elevado nível comum de cibersegurança em toda a União Europeia.
🇵🇹 Transposição Portugal: Decreto-Lei n.º 125/2025 (4 de dezembro de 2025)
⏰ Prazo de implementação: 120 dias após transposição (abril de 2026)
Esta diretiva substitui a NIS1 (2016) e expande significativamente o âmbito de aplicação, os requisitos técnicos e as penalizações por não conformidade.
Objetivos Principais
🎯 Harmonização
Criar um quadro regulamentar uniforme em todos os Estados-Membros da UE, eliminando discrepâncias e lacunas na aplicação.
🛡️ Resiliência
Aumentar a capacidade de prevenção, deteção e resposta a incidentes de cibersegurança nas infraestruturas críticas.
⚖️ Responsabilização
Estabelecer responsabilidade direta dos órgãos de gestão pela conformidade e implementação de medidas de segurança.
🤝 Cooperação
Promover a colaboração entre Estados-Membros através de partilha de informações e coordenação de respostas a incidentes.
Quem Deve Cumprir?
Critérios de Aplicabilidade
A NIS2 aplica-se a entidades médias e grandes que cumpram pelo menos um dos seguintes critérios:
funcionários
faturação anual
balanço anual
18 Setores Abrangidos
A NIS2 divide as entidades em dois anexos com níveis de criticidade diferentes:
📋 Anexo I - Entidades Essenciais
- ⚡ Energia
- 🚂 Transportes
- 🏦 Banca
- 💰 Infraestruturas dos mercados financeiros
- 🏥 Saúde
- 💧 Água potável
- 🚰 Águas residuais
- 🌐 Infraestruturas digitais
- 🛰️ Gestão de serviços TIC
📋 Anexo II - Entidades Importantes
- 📮 Serviços postais
- 🗑️ Gestão de resíduos
- 🏭 Fabricação de produtos químicos
- 🍽️ Produção e distribuição de alimentos
- 🏭 Fabricação de dispositivos médicos
- 💻 Fabricação de equipamentos eletrónica
- 🚗 Fabricação de veículos
- 🏢 Fornecedores de serviços digitais
- 🔬 Investigação
Requisitos Principais
10 Medidas de Segurança Obrigatórias
A NIS2 estabelece 10 categorias de medidas técnicas, operacionais e organizacionais que todas as entidades abrangidas devem implementar:
1. Análise de Risco
Avaliação regular de riscos de cibersegurança
2. Gestão de Incidentes
Políticas e procedimentos para gestão de incidentes
3. Continuidade de Negócio
Planos de continuidade e recuperação de desastres
4. Segurança da Cadeia de Fornecimento
Avaliação e gestão de riscos de fornecedores
5. Aquisição e Desenvolvimento
Segurança no ciclo de vida de sistemas
6. Controlo de Acessos
Políticas de gestão de acessos e autenticação
7. Gestão de Ativos
Inventário e classificação de ativos
8. Criptografia
Uso adequado de criptografia
9. Segurança de Recursos Humanos
Formação e sensibilização de colaboradores
10. Segurança nas Comunicações
Proteção de redes e comunicações
⏰ Notificação de Incidentes
A NIS2 estabelece prazos rigorosos para notificação de incidentes significativos:
Notificação inicial
Alerta precoce sobre o incidente
Relatório intermédio
Análise preliminar e medidas tomadas
Relatório final
Análise completa e lições aprendidas
💰 Penalizações
A NIS2 estabelece penalizações significativas e harmonizadas em toda a UE para entidades que não cumpram os requisitos:
Entidades Essenciais (Anexo I)
Até €10.000.000
ou
2% da faturação global anual
O valor que for mais elevado
Entidades Importantes (Anexo II)
Até €7.000.000
ou
1,4% da faturação global anual
O valor que for mais elevado
📅 Cronograma de Implementação
Publicação da Diretiva NIS2
Publicação oficial no Jornal Oficial da União Europeia
Prazo de Transposição
Data limite para Estados-Membros transporem a diretiva
Transposição em Portugal
Aprovação do Decreto-Lei n.º 125/2025 que transpõe a NIS2
Prazo de Implementação
120 dias após transposição para implementação completa