Transposição NIS2 Portugal | Lei n.º 59/2025

Transposição da NIS2 em Portugal

Estado atual da implementação da Diretiva NIS2 na legislação portuguesa

✅

Lei n.º 59/2025 Aprovada

Portugal aprovou a Lei de Autorização Legislativa n.º 59/2025 em 22 de outubro de 2025, autorizando o Governo a aprovar o regime jurídico completo da cibersegurança. O Governo tem agora 180 dias para publicar o regime jurídico final.

Status Atual

Lei Aprovada ✓

Lei n.º 59/2025

22 Out 2025

Prazo Governo

180 dias

Cronograma de Implementação

✓

16 Jan 2023

Diretiva NIS2 entra em vigor na UE

Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho publicada.

⚠

17 Out 2024

Prazo UE para transposição (NÃO CUMPRIDO)

Portugal não cumpriu o prazo estabelecido pela UE devido a instabilidade política e sucessivas mudanças governamentais.

⚠

7 Mai 2025

Comissão Europeia envia parecer fundamentado

Portugal é um dos 19 Estados-membros notificados por não terem transposto integralmente a diretiva. Este é o passo 2 do procedimento de infração da UE.

✓

19 Set 2025

Aprovação no Parlamento

Assembleia da República aprova proposta de lei de autorização legislativa com 93 votos a favor (PSD, CDS-PP, PAN, JPP) e 67 contra (PS, Livre, PCP).

✓

22 Out 2025

Publicação da Lei n.º 59/2025

Lei publicada em Diário da República, autorizando o Governo a aprovar o regime jurídico completo da cibersegurança. Prazo de 180 dias para conclusão.

⟳

Out 2025 - Abr 2026

Governo elabora regime jurídico (180 dias)

Prazo de 180 dias para o Governo aprovar e publicar o regime jurídico completo da cibersegurança através de Decreto-Lei.

Abr 2026 (estimado)

Publicação do regime jurídico completo

Regime jurídico final publicado com todas as regras, obrigações e penalidades definidas.

2026 (a confirmar)

Identificação e registo de entidades

CNCS e autoridades setoriais identificam entidades essenciais e importantes que devem cumprir a NIS2.

2026-2027 (a confirmar)

Fiscalização e aplicação de penalidades

Início da fiscalização ativa e aplicação de coimas por incumprimento das medidas de cibersegurança.

Porquê o Atraso na Transposição?

📅

Prazo UE Perdido

Portugal não cumpriu o prazo de 17 de outubro de 2024 estabelecido pela União Europeia para transpor a Diretiva NIS2.

🏛️

Instabilidade Política

Sucessivas crises governamentais e mudanças de governo entre 2024 e 2025 atrasaram o processo legislativo.

⚠️

Parecer da Comissão

Em 7 de maio de 2025, a Comissão Europeia enviou um parecer fundamentado a Portugal (e outros 18 Estados-membros).

✅

Aprovação Finalmente

Em setembro de 2025, o novo Parlamento aprovou finalmente a lei de autorização legislativa.

Estado Atual da Transposição em Portugal

Atualização (26 de outubro de 2025): A Lei n.º 59/2025 foi publicada em Diário da República a 22 de outubro de 2025. O Governo tem agora 180 dias para aprovar o regime jurídico completo através de Decreto-Lei.

✓

Lei de Autorização

Estado: Concluída

Lei n.º 59/2025 publicada em 22 de outubro de 2025, autorizando o Governo a aprovar o regime jurídico completo da cibersegurança.

⟳

Elaboração do Regime Jurídico

Estado: Em Curso

O Governo tem 180 dias (até abril de 2026) para elaborar e publicar o regime jurídico completo através de Decreto-Lei.

✓

Consulta Pública

Estado: Concluída (2024)

A consulta pública foi realizada em setembro de 2024, permitindo contributos do setor privado e organizações afetadas.

Publicação Final

Estado: Pendente

Publicação do regime jurídico completo prevista para abril de 2026 (após conclusão do período de 180 dias).

Autoridades Portuguesas Responsáveis

Várias autoridades nacionais terão responsabilidades específicas no âmbito da implementação da NIS2 em Portugal.

🛡️

CNCS

Autoridade Nacional de Cibersegurança

O Centro Nacional de Cibersegurança é a principal autoridade responsável pela coordenação e supervisão da cibersegurança em Portugal. No âmbito da NIS2, o CNCS desempenhará um papel central na supervisão das entidades abrangidas.

Website:

www.cncs.gov.pt

📡

ANACOM

Autoridade para Comunicações

A Autoridade Nacional de Comunicações será responsável pela supervisão das entidades do setor das comunicações eletrónicas e dos prestadores de serviços digitais, garantindo o cumprimento dos requisitos de cibersegurança.

Website:

www.anacom.pt

🏦

Banco de Portugal

Autoridade para Setor Financeiro

O Banco de Portugal será a autoridade competente para a supervisão das entidades do setor bancário e das infraestruturas dos mercados financeiros, assegurando a conformidade com os requisitos de cibersegurança da NIS2.

Website:

www.bportugal.pt

⚡

ERSE / DGEG

Autoridades para Energia

A Entidade Reguladora dos Serviços Energéticos (ERSE) e a Direção-Geral de Energia e Geologia (DGEG) terão competências no âmbito da supervisão das entidades dos setores da eletricidade, petróleo, gás e hidrogénio.

Websites:

www.erse.pt | www.dgeg.gov.pt

🏥

Ministério da Saúde

Autoridade para Setor da Saúde

O Ministério da Saúde, através das suas estruturas competentes, será responsável pela supervisão das entidades prestadoras de cuidados de saúde e dos laboratórios de referência, garantindo a segurança dos sistemas de informação de saúde.

Website:

www.sns.gov.pt

🚂

IMT / ANAC / AMT / DGRM

Autoridades para Transportes

Diversas autoridades setoriais supervisionarão os transportes: IMT (rodoviário), ANAC (aéreo), AMT (marítimo) e IP/Infraestruturas de Portugal (ferroviário), assegurando a cibersegurança nas infraestruturas de transporte.

Websites:

www.imt-ip.pt | www.anac.pt

Nota: A designação específica das autoridades competentes para cada setor será confirmada aquando da publicação da legislação nacional de transposição. As autoridades aqui indicadas baseiam-se nas competências setoriais atuais e nas melhores práticas europeias.

Principais Mudanças face à Diretiva NIS1

A NIS2 representa uma evolução significativa face à Diretiva NIS anterior, com requisitos mais abrangentes e rigorosos.

NIS1 (Anterior)

Revogada

7 setores abrangidos
Âmbito limitado a operadores de serviços essenciais
Penalizações pouco harmonizadas entre Estados-Membros
Sem obrigação de responsabilização do órgão de gestão
Requisitos de segurança menos específicos
Notificação de incidentes sem prazos rígidos

NIS2 (Nova)

Em vigor

18 setores abrangidos (expansão significativa)
Entidades essenciais + entidades importantes
Coimas harmonizadas até €10M ou 2% do volume de negócios
Responsabilização pessoal do órgão de gestão (Artigo 20)
10 medidas técnicas e organizacionais específicas (Artigo 21)
Prazos rígidos: 24h alerta / 72h notificação / 30 dias relatório final

Impacto: Estima-se que a NIS2 abranja cerca de 10 vezes mais entidades do que a NIS1, com requisitos significativamente mais rigorosos e penalizações substancialmente mais elevadas. As organizações devem preparar-se desde já para garantir a conformidade.

Fases de Implementação em Portugal

O processo de transposição e implementação da NIS2 em Portugal seguirá várias fases distintas.

Elaboração Legislativa e Consulta Pública

Concluída

Processo legislativo completo com aprovação parlamentar em 19 de setembro de 2025. A consulta pública foi realizada em setembro de 2024, recolhendo contributos de organizações, especialistas e partes interessadas.

Responsável: Governo Português (coordenação do CNCS)

Duração: 2024-2025 (concluído)

Aprovação do Regime Jurídico pelo Governo

Em Curso

O Governo tem 180 dias desde 22 de outubro de 2025 para aprovar o regime jurídico completo da cibersegurança. Este será publicado através de Decreto-Lei e incluirá todas as regras, obrigações e penalidades.

Responsável: Governo (Decreto-Lei)

Prazo: Até abril de 2026 (180 dias)

Publicação do Regime Jurídico Completo

Pendente

Após conclusão pelo Governo, o regime jurídico completo será publicado em Diário da República, entrando oficialmente em vigor. A partir deste momento, as entidades abrangidas terão um prazo específico para implementar as medidas de conformidade.

Responsável: Governo Português

Data estimada: Abril de 2026

Identificação e Registo de Entidades

Pendente

O CNCS e as autoridades setoriais identificarão as entidades essenciais e importantes dos respetivos setores. As entidades abrangidas deverão registar-se junto das autoridades competentes, fornecendo informações sobre os seus serviços, infraestruturas críticas e pontos de contacto para cibersegurança.

Responsável: CNCS, autoridades competentes e entidades abrangidas

Data estimada: 2026 (após publicação do regime jurídico)

Implementação de Medidas e Fiscalização

Pendente

As entidades abrangidas deverão implementar as 10 medidas de cibersegurança obrigatórias previstas no Artigo 21 da NIS2. As autoridades competentes iniciarão as atividades de supervisão, incluindo auditorias, inspeções e verificação de conformidade. Início da aplicação de sanções em caso de incumprimento.

Responsável: Entidades abrangidas e autoridades de supervisão

Data estimada: 2026-2027 (contínuo)

Atenção: Embora o processo de transposição esteja em curso, as organizações que se enquadram no âmbito da NIS2 devem começar desde já a preparar-se para a conformidade. O prazo de implementação das medidas técnicas e organizacionais após a publicação da lei portuguesa será limitado (estimado em 180 dias).

Recursos Oficiais

🛡️

CNCS - Centro Nacional de Cibersegurança

Portal oficial do CNCS com informações sobre cibersegurança nacional e orientações sobre a NIS2.

Visitar website →

🇪🇺

Diretiva NIS2 (Texto Oficial UE)

Texto completo da Diretiva (UE) 2022/2555 publicado no Jornal Oficial da União Europeia.

Ler diretiva completa →

📚

ENISA - Agência da UE para Cibersegurança

Orientações, ferramentas e recursos da ENISA sobre a implementação da NIS2.

Aceder recursos ENISA →

⚖️

Assembleia da República

Acompanhe o processo legislativo de transposição no portal da Assembleia da República.

Seguir legislação →

📊

Comissão Europeia - NIS2

Informações oficiais da Comissão Europeia sobre a Diretiva NIS2 e o seu estado de transposição nos Estados-Membros.

Ver informações CE →

🔧

Ferramentas de Conformidade NIS2 Portugal

Utilize as nossas ferramentas gratuitas para avaliar se está abrangido e preparar a conformidade.

Usar ferramentas →

Perguntas frequentes sobre Transposição

O que acontece por Portugal ter perdido o prazo de transposição?

▼

Portugal não cumpriu o prazo de 17 de outubro de 2024. A Comissão Europeia já enviou um parecer fundamentado em maio de 2025 (passo 2 do procedimento de infração).

Consequências possíveis:

Multas diárias aplicadas pelo Tribunal de Justiça da UE
Pressão diplomática e reputacional
Empresas portuguesas já devem começar a preparar-se mesmo sem lei nacional

A boa notícia é que a Lei n.º 59/2025 foi publicada em 22 de outubro de 2025, e o Governo tem agora 180 dias para concluir a transposição.

Quando é que as organizações portuguesas devem estar em conformidade?

▼

Cronograma esperado:

Outubro 2025: Lei n.º 59/2025 publicada
Abril 2026: Regime jurídico completo esperado (180 dias após publicação)
2026: CNCS identifica e notifica entidades essenciais e importantes
2026-2027: Organizações devem implementar medidas e estar prontas para fiscalização

Recomendação: Não espere pela lei final! Comece já a avaliar se está abrangido e a implementar as 10 medidas do Artigo 21.

Como saber se a minha organização ficará abrangida pela NIS2 em Portugal?

▼

Uma organização estará abrangida pela NIS2 em Portugal se cumprir ambos os critérios:

Critério setorial: Operar num dos 18 setores definidos nos Anexos I (essenciais) e II (importantes) da Diretiva
Critério dimensional: Ser classificada como média ou grande empresa (≥50 empregados E faturação ≥€10M)

Exceções: Alguns prestadores (como DNS, TLD, registos de nomes de domínio) estão abrangidos independentemente da dimensão.

Utilize a nossa Calculadora de classificação →

Como registar a minha organização junto das autoridades competentes?

▼

O processo de registo será definido na legislação portuguesa de transposição. Tipicamente incluirá:

Identificação da autoridade competente: Depende do setor de atividade (CNCS, ANACOM, Banco de Portugal, etc.)
Portal de registo: Plataforma online para submissão de informações
Informações necessárias: Dados da entidade, setor, serviços prestados, contacto para cibersegurança
Prazo: Normalmente 3-6 meses após entrada em vigor da lei

Aguarde comunicações oficiais do CNCS e das autoridades setoriais após a publicação da lei de transposição.

Quais são as penalizações por não conformidade em Portugal?

▼

A Diretiva NIS2 estabelece limites máximos que serão refletidos na legislação portuguesa:

Entidades essenciais: Até €10.000.000 ou 2% do volume de negócios anual global (o que for superior)
Entidades importantes: Até €7.000.000 ou 1,4% do volume de negócios anual global (o que for superior)
Responsabilização pessoal: Membros do órgão de gestão podem ser sancionados (suspensão temporária, proibição de exercer funções)

As penalizações específicas e critérios de aplicação serão definidos na lei portuguesa de transposição.

Saiba mais sobre penalizações →

Onde posso encontrar atualizações sobre o estado da transposição?

▼

Mantenha-se informado através dos seguintes canais oficiais:

CNCS: www.cncs.gov.pt - Comunicados e orientações oficiais
Assembleia da República: www.parlamento.pt - Acompanhamento legislativo
Diário da República: dre.pt - Publicação oficial de diplomas
ENISA: www.enisa.europa.eu - Estado da transposição em todos os Estados-Membros

Este website será atualizado regularmente com as últimas informações sobre o processo de transposição em Portugal.

Prepare-se para a NIS2

Não espere pela conclusão da transposição. Comece já a avaliar o seu grau de conformidade e a implementar as medidas necessárias.

Verificar se estou abrangido Ver requisitos do Artigo 21 Avaliar conformidade