NIS2 Portugal

Transposição da NIS2 em Portugal

Estado atual da implementação da Diretiva NIS2 na legislação portuguesa

Decreto-Lei n.º 125/2025 Publicado

Portugal publicou o Decreto-Lei n.º 125/2025 em 4 de dezembro de 2025, aprovando o Regime Jurídico da Cibersegurança e transpondo integralmente a Diretiva NIS2. O diploma entra em vigor 120 dias após a publicação (abril 2026).

Status Atual
Regime Publicado ✓
DL n.º 125/2025
4 Dez 2025
Entrada em Vigor
Abril 2026

Cronograma de Implementação

16 Jan 2023

Diretiva NIS2 entra em vigor na UE

Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho publicada.

17 Out 2024

Prazo UE para transposição (NÃO CUMPRIDO)

Portugal não cumpriu o prazo estabelecido pela UE devido a instabilidade política e sucessivas mudanças governamentais.

7 Mai 2025

Comissão Europeia envia parecer fundamentado

Portugal é um dos 19 Estados-membros notificados por não terem transposto integralmente a diretiva. Este é o passo 2 do procedimento de infração da UE.

19 Set 2025

Aprovação no Parlamento

Assembleia da República aprova proposta de lei de autorização legislativa com 93 votos a favor (PSD, CDS-PP, PAN, JPP) e 67 contra (PS, Livre, PCP).

22 Out 2025

Publicação da Lei n.º 59/2025

Lei de autorização legislativa publicada em Diário da República, autorizando o Governo a aprovar o regime jurídico completo da cibersegurança.

6 Nov 2025

Aprovação em Conselho de Ministros

Conselho de Ministros aprova o Decreto-Lei que estabelece o Regime Jurídico da Cibersegurança.

4 Dez 2025

Publicação do Decreto-Lei n.º 125/2025

Regime Jurídico da Cibersegurança publicado em Diário da República, transpondo integralmente a Diretiva NIS2. Entrada em vigor em 120 dias (abril 2026).

Dez 2025 - Abr 2026

Período de Transição (120 dias)

Período de 120 dias até entrada em vigor do regime. Entidades devem preparar-se para conformidade com as novas obrigações.

?
Abril 2026

Entrada em Vigor do Regime Jurídico

Decreto-Lei n.º 125/2025 entra oficialmente em vigor. Todas as obrigações de cibersegurança passam a ser aplicáveis.

?
2026

Identificação e registo de entidades

CNCS e autoridades setoriais identificam entidades essenciais e importantes que devem cumprir a NIS2.

?
2026-2027

Fiscalização e aplicação de penalidades

Início da fiscalização ativa e aplicação de coimas por incumprimento das medidas de cibersegurança.

Porquê o Atraso na Transposição?

📅

Prazo UE Perdido

Portugal não cumpriu o prazo de 17 de outubro de 2024 estabelecido pela União Europeia para transpor a Diretiva NIS2.

🏛️

Instabilidade Política

Sucessivas crises governamentais e mudanças de governo entre 2024 e 2025 atrasaram o processo legislativo.

⚠️

Parecer da Comissão

Em 7 de maio de 2025, a Comissão Europeia enviou um parecer fundamentado a Portugal (e outros 18 Estados-membros).

Aprovação Finalmente

Em setembro de 2025, o novo Parlamento aprovou finalmente a lei de autorização legislativa.

Estado Atual da Transposição em Portugal

Atualização (4 de dezembro de 2025): O Decreto-Lei n.º 125/2025 foi publicado em Diário da República, aprovando o Regime Jurídico da Cibersegurança. Entrada em vigor em 120 dias (abril 2026).

Lei de Autorização

Estado: Concluída

Lei n.º 59/2025 publicada em 22 de outubro de 2025, autorizando o Governo a aprovar o regime jurídico completo da cibersegurança.

Regime Jurídico Publicado

Estado: Concluído

Decreto-Lei n.º 125/2025 publicado em 4 de dezembro de 2025, estabelecendo o Regime Jurídico da Cibersegurança completo.

Consulta Pública

Estado: Concluída (2024)

A consulta pública foi realizada em setembro de 2024, permitindo contributos do setor privado e organizações afetadas.

Entrada em Vigor

Estado: Período de Transição

Entrada em vigor prevista para abril de 2026 (120 dias após publicação). Entidades devem preparar-se para conformidade.

Autoridades Portuguesas Responsáveis

O Decreto-Lei n.º 125/2025 define as autoridades nacionais com responsabilidades específicas na implementação da NIS2 em Portugal.

CNCS

Autoridade Nacional - Coordenação e Ponto de Contacto UE

O Centro Nacional de Cibersegurança é a Autoridade Nacional de Cibersegurança, responsável pela coordenação geral, ponto de contacto único com a União Europeia e supervisão transversal da implementação da NIS2 em Portugal.

Website:

www.cncs.gov.pt

ANACOM

Comunicações Eletrónicas e Serviço Postal

A Autoridade Nacional de Comunicações é a autoridade setorial para comunicações eletrónicas, incluindo redes e serviços de comunicações eletrónicas, e para o serviço postal.

Website:

www.anacom.pt

GNS

Serviços de Confiança

O Gabinete Nacional de Segurança é a autoridade setorial para prestadores de serviços de confiança qualificados e não qualificados.

Website:

www.gns.gov.pt

Banco de Portugal

Setor Bancário

O Banco de Portugal é a autoridade setorial para entidades do setor bancário e infraestruturas dos mercados financeiros.

Website:

www.bportugal.pt

CMVM

Mercado de Valores Mobiliários

A Comissão do Mercado de Valores Mobiliários é a autoridade setorial para entidades do mercado de valores mobiliários.

Website:

www.cmvm.pt

ASF

Seguros e Fundos de Pensões

A Autoridade de Supervisão de Seguros e Fundos de Pensões é a autoridade setorial para o setor de seguros e fundos de pensões.

Website:

www.asf.com.pt

ERSE / DGEG

Energia

A Entidade Reguladora dos Serviços Energéticos (ERSE) e a Direção-Geral de Energia e Geologia (DGEG) são as autoridades setoriais para os setores da eletricidade, petróleo, gás e hidrogénio.

Websites:

www.erse.pt | www.dgeg.gov.pt

IMT / ANAC / AMT / DGRM

Transportes

Autoridades setoriais para transportes: IMT (rodoviário), ANAC (aéreo), AMT (marítimo) e DGRM (recursos do mar), assegurando a cibersegurança nas infraestruturas de transporte.

Websites:

www.imt-ip.pt | www.anac.pt
Gabinete de Crise: O Decreto-Lei n.º 125/2025 prevê um Gabinete de Crise convocado pelo Secretário-Geral do Sistema de Segurança Interna, composto por representantes da Polícia Judiciária, SIS e CNCS, para resposta a incidentes graves de cibersegurança.

Principais Mudanças face à Diretiva NIS1

A NIS2 representa uma evolução significativa face à Diretiva NIS anterior, com requisitos mais abrangentes e rigorosos.

NIS1 (Anterior)

Revogada
  • 7 setores abrangidos
  • Âmbito limitado a operadores de serviços essenciais
  • Penalizações pouco harmonizadas entre Estados-Membros
  • Sem obrigação de responsabilização do órgão de gestão
  • Requisitos de segurança menos específicos
  • Notificação de incidentes sem prazos rígidos

NIS2 (Nova)

Em vigor
  • 18 setores abrangidos (expansão significativa)
  • Entidades essenciais + entidades importantes
  • Coimas harmonizadas até €10M ou 2% do volume de negócios
  • Responsabilização pessoal do órgão de gestão (Artigo 20)
  • 10 medidas técnicas e organizacionais específicas (Artigo 21)
  • Prazos rígidos: 24h alerta / 72h notificação / 30 dias relatório final
Impacto: Estima-se que a NIS2 abranja cerca de 10 vezes mais entidades do que a NIS1, com requisitos significativamente mais rigorosos e penalizações substancialmente mais elevadas. As organizações devem preparar-se desde já para garantir a conformidade.

Fases de Implementação em Portugal

O processo de transposição e implementação da NIS2 em Portugal seguirá várias fases distintas.

1

Elaboração Legislativa e Consulta Pública

Concluída

Processo legislativo completo com aprovação parlamentar em 19 de setembro de 2025. A consulta pública foi realizada em setembro de 2024, recolhendo contributos de organizações, especialistas e partes interessadas.

Responsável: Governo Português (coordenação do CNCS)

Duração: 2024-2025 (concluído)

2

Aprovação e Publicação do Regime Jurídico

Concluída

O Governo aprovou e publicou o Decreto-Lei n.º 125/2025 em 4 de dezembro de 2025, estabelecendo o Regime Jurídico da Cibersegurança completo, incluindo todas as regras, obrigações, autoridades competentes e penalidades.

Responsável: Governo (Decreto-Lei)

Data: 4 de dezembro de 2025

3

Período de Transição (120 dias)

Em Curso

Período de 120 dias entre a publicação (4 dezembro 2025) e a entrada em vigor (abril 2026). As entidades abrangidas devem utilizar este período para preparar a implementação das medidas de conformidade obrigatórias.

Responsável: Entidades abrangidas

Prazo: Até abril de 2026

4

Entrada em Vigor e Identificação de Entidades

Pendente

Em abril de 2026, o Decreto-Lei entra em vigor. O CNCS e as autoridades setoriais identificarão as entidades essenciais e importantes dos respetivos setores. As entidades abrangidas deverão registar-se junto das autoridades competentes.

Responsável: CNCS, autoridades competentes e entidades abrangidas

Data estimada: Abril 2026 e seguintes

5

Implementação de Medidas e Fiscalização

Pendente

As entidades abrangidas deverão implementar as 10 medidas de cibersegurança obrigatórias previstas no Artigo 21 da NIS2. As autoridades competentes iniciarão as atividades de supervisão, incluindo auditorias, inspeções e verificação de conformidade. Início da aplicação de sanções em caso de incumprimento.

Responsável: Entidades abrangidas e autoridades de supervisão

Data estimada: 2026-2027 (contínuo)

Atenção: O Decreto-Lei n.º 125/2025 foi publicado e entra em vigor em abril de 2026. As organizações que se enquadram no âmbito da NIS2 devem utilizar o período de transição de 120 dias para preparar a conformidade com as medidas técnicas e organizacionais obrigatórias.

Recursos Oficiais

🛡️
CNCS - Centro Nacional de Cibersegurança

Portal oficial do CNCS com informações sobre cibersegurança nacional e orientações sobre a NIS2.

Visitar website →
🇪🇺
Diretiva NIS2 (Texto Oficial UE)

Texto completo da Diretiva (UE) 2022/2555 publicado no Jornal Oficial da União Europeia.

Ler diretiva completa →
📚
ENISA - Agência da UE para Cibersegurança

Orientações, ferramentas e recursos da ENISA sobre a implementação da NIS2.

Aceder recursos ENISA →
⚖️
Assembleia da República

Acompanhe o processo legislativo de transposição no portal da Assembleia da República.

Seguir legislação →
📊
Comissão Europeia - NIS2

Informações oficiais da Comissão Europeia sobre a Diretiva NIS2 e o seu estado de transposição nos Estados-Membros.

Ver informações CE →
🔧
Ferramentas de Conformidade NIS2 Portugal

Utilize as nossas ferramentas gratuitas para avaliar se está abrangido e preparar a conformidade.

Usar ferramentas →

Perguntas frequentes sobre Transposição

Portugal completou a transposição da NIS2?

Sim! Portugal publicou o Decreto-Lei n.º 125/2025 em 4 de dezembro de 2025, aprovando o Regime Jurídico da Cibersegurança e transpondo integralmente a Diretiva NIS2.

Situação atual:

  • Portugal não cumpriu o prazo inicial de 17 de outubro de 2024
  • A Comissão Europeia enviou parecer fundamentado em maio de 2025
  • Lei de autorização n.º 59/2025 publicada em 22 de outubro de 2025
  • Decreto-Lei n.º 125/2025 publicado em 4 de dezembro de 2025
  • Entrada em vigor prevista para abril de 2026 (120 dias após publicação)
Quando é que as organizações portuguesas devem estar em conformidade?

Cronograma confirmado:

  • 4 Dezembro 2025: Decreto-Lei n.º 125/2025 publicado
  • Dezembro 2025 - Abril 2026: Período de transição de 120 dias
  • Abril 2026: Entrada em vigor do regime jurídico
  • 2026: CNCS e autoridades setoriais identificam e notificam entidades essenciais e importantes
  • 2026-2027: Organizações devem implementar medidas e estar prontas para fiscalização

Recomendação: Utilize o período de transição de 120 dias para avaliar se está abrangido e começar a implementar as 10 medidas do Artigo 21.

Como saber se a minha organização ficará abrangida pela NIS2 em Portugal?

Uma organização estará abrangida pela NIS2 em Portugal se cumprir ambos os critérios:

  • Critério setorial: Operar num dos 18 setores definidos nos Anexos I (essenciais) e II (importantes) da Diretiva
  • Critério dimensional: Ser classificada como média ou grande empresa (≥50 empregados E faturação ≥€10M)

Exceções: Alguns prestadores (como DNS, TLD, registos de nomes de domínio) estão abrangidos independentemente da dimensão.

Utilize a nossa Calculadora de classificação →

Como registar a minha organização junto das autoridades competentes?

O processo de registo será definido na legislação portuguesa de transposição. Tipicamente incluirá:

  • Identificação da autoridade competente: Depende do setor de atividade (CNCS, ANACOM, Banco de Portugal, etc.)
  • Portal de registo: Plataforma online para submissão de informações
  • Informações necessárias: Dados da entidade, setor, serviços prestados, contacto para cibersegurança
  • Prazo: Normalmente 3-6 meses após entrada em vigor da lei

Aguarde comunicações oficiais do CNCS e das autoridades setoriais após a publicação da lei de transposição.

Quais são as penalizações por não conformidade em Portugal?

O Decreto-Lei n.º 125/2025 estabelece os seguintes limites de coimas:

  • Entidades essenciais: Até €10.000.000 ou 2% do volume de negócios anual global (o que for superior)
  • Entidades importantes: Até €7.000.000 ou 1,4% do volume de negócios anual global (o que for superior)
  • Administração Pública: Até €4.000.000
  • Responsabilização pessoal: Membros do órgão de gestão podem ser sancionados (suspensão temporária, proibição de exercer funções)

As sanções aplicam-se por incumprimento das medidas de cibersegurança, não notificação de incidentes, obstrução à fiscalização, entre outras infrações.

Saiba mais sobre penalizações →

Onde posso encontrar atualizações sobre o estado da transposição?

Mantenha-se informado através dos seguintes canais oficiais:

Este website será atualizado regularmente com as últimas informações sobre o processo de transposição em Portugal.

Prepare-se para a NIS2

Não espere pela conclusão da transposição. Comece já a avaliar o seu grau de conformidade e a implementar as medidas necessárias.

Verificar se estou abrangido Ver requisitos do Artigo 21 Avaliar conformidade