Estado atual da implementação da Diretiva NIS2 na legislação portuguesa
Portugal publicou o Decreto-Lei n.º 125/2025 em 4 de dezembro de 2025, aprovando o Regime Jurídico da Cibersegurança e transpondo integralmente a Diretiva NIS2. O diploma entra em vigor 120 dias após a publicação (abril 2026).
| Data | Evento |
|---|---|
| 4 Dez 2025 | Publicação do DL 125/2025 |
| 3 Abr 2026 | Entrada em vigor |
| 4 Mai 2026 | Prazo para nomear responsável de cibersegurança (20 dias úteis após entrada em vigor) |
| Abr 2027 | Fim do período de carência de coimas (12 meses) |
| Abr 2028 | Fim do período de implementação (24 meses) |
Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho publicada.
Portugal não cumpriu o prazo estabelecido pela UE devido a instabilidade política e sucessivas mudanças governamentais.
Portugal é um dos 19 Estados-membros notificados por não terem transposto integralmente a diretiva. Este é o passo 2 do procedimento de infração da UE.
Assembleia da República aprova proposta de lei de autorização legislativa com 93 votos a favor (PSD, CDS-PP, PAN, JPP) e 67 contra (PS, Livre, PCP).
Lei de autorização legislativa publicada em Diário da República, autorizando o Governo a aprovar o regime jurídico completo da cibersegurança.
Conselho de Ministros aprova o Decreto-Lei que estabelece o Regime Jurídico da Cibersegurança.
Regime Jurídico da Cibersegurança publicado em Diário da República, transpondo integralmente a Diretiva NIS2. Entrada em vigor em 120 dias (abril 2026).
Período de 120 dias até entrada em vigor do regime. Entidades devem preparar-se para conformidade com as novas obrigações.
Decreto-Lei n.º 125/2025 entra oficialmente em vigor (120 dias após publicação). Todas as obrigações de cibersegurança passam a ser aplicáveis.
Prazo final (20 dias úteis após entrada em vigor) para as entidades abrangidas nomearem um responsável de cibersegurança junto do órgão de gestão.
CNCS e autoridades setoriais identificam entidades essenciais e importantes que devem cumprir a NIS2.
Após 12 meses de carência, as coimas passam a ser aplicadas nos valores máximos estabelecidos por lei. Durante o primeiro ano, as penalizações podem ser mais brandas.
Conclusão do período de implementação de 24 meses. Todas as entidades devem ter implementado integralmente as 10 medidas técnicas e organizacionais obrigatórias.
Portugal não cumpriu o prazo de 17 de outubro de 2024 estabelecido pela União Europeia para transpor a Diretiva NIS2.
Sucessivas crises governamentais e mudanças de governo entre 2024 e 2025 atrasaram o processo legislativo.
Em 7 de maio de 2025, a Comissão Europeia enviou um parecer fundamentado a Portugal (e outros 18 Estados-membros).
Em setembro de 2025, o novo Parlamento aprovou finalmente a lei de autorização legislativa.
Estado: Concluída
Lei n.º 59/2025 publicada em 22 de outubro de 2025, autorizando o Governo a aprovar o regime jurídico completo da cibersegurança.
Estado: Concluído
Decreto-Lei n.º 125/2025 publicado em 4 de dezembro de 2025, estabelecendo o Regime Jurídico da Cibersegurança completo.
Estado: Concluída (2024)
A consulta pública foi realizada em setembro de 2024, permitindo contributos do setor privado e organizações afetadas.
Estado: Período de Transição
Entrada em vigor prevista para abril de 2026 (120 dias após publicação). Entidades devem preparar-se para conformidade.
O Decreto-Lei n.º 125/2025 define as autoridades nacionais com responsabilidades específicas na implementação da NIS2 em Portugal.
A NIS2 representa uma evolução significativa face à Diretiva NIS anterior, com requisitos mais abrangentes e rigorosos.
O processo de transposição e implementação da NIS2 em Portugal seguirá várias fases distintas.
Processo legislativo completo com aprovação parlamentar em 19 de setembro de 2025. A consulta pública foi realizada em setembro de 2024, recolhendo contributos de organizações, especialistas e partes interessadas.
Responsável: Governo Português (coordenação do CNCS)
Duração: 2024-2025 (concluído)
O Governo aprovou e publicou o Decreto-Lei n.º 125/2025 em 4 de dezembro de 2025, estabelecendo o Regime Jurídico da Cibersegurança completo, incluindo todas as regras, obrigações, autoridades competentes e penalidades.
Responsável: Governo (Decreto-Lei)
Data: 4 de dezembro de 2025
Período de 120 dias entre a publicação (4 dezembro 2025) e a entrada em vigor (abril 2026). As entidades abrangidas devem utilizar este período para preparar a implementação das medidas de conformidade obrigatórias.
Responsável: Entidades abrangidas
Prazo: Até abril de 2026
Em abril de 2026, o Decreto-Lei entra em vigor. O CNCS e as autoridades setoriais identificarão as entidades essenciais e importantes dos respetivos setores. As entidades abrangidas deverão registar-se junto das autoridades competentes.
Responsável: CNCS, autoridades competentes e entidades abrangidas
Data estimada: Abril 2026 e seguintes
As entidades abrangidas deverão implementar as 10 medidas de cibersegurança obrigatórias previstas no Artigo 21 da NIS2. As autoridades competentes iniciarão as atividades de supervisão, incluindo auditorias, inspeções e verificação de conformidade. Início da aplicação de sanções em caso de incumprimento.
Responsável: Entidades abrangidas e autoridades de supervisão
Data estimada: 2026-2027 (contínuo)
Portal oficial do CNCS com informações sobre cibersegurança nacional e orientações sobre a NIS2.
Visitar website →Texto completo da Diretiva (UE) 2022/2555 publicado no Jornal Oficial da União Europeia.
Ler diretiva completa →Orientações, ferramentas e recursos da ENISA sobre a implementação da NIS2.
Aceder recursos ENISA →Acompanhe o processo legislativo de transposição no portal da Assembleia da República.
Seguir legislação →Informações oficiais da Comissão Europeia sobre a Diretiva NIS2 e o seu estado de transposição nos Estados-Membros.
Ver informações CE →Utilize as nossas ferramentas gratuitas para avaliar se está abrangido e preparar a conformidade.
Usar ferramentas →O Decreto-Lei n.º 125/2025 introduz obrigações específicas com prazos concretos para as entidades abrangidas
Nomeação obrigatória de um responsável de cibersegurança:
Obrigatório para todas as entidades essenciais e importantes:
O CNCS disponibilizará uma plataforma eletrónica para registo obrigatório:
Sim! Portugal publicou o Decreto-Lei n.º 125/2025 em 4 de dezembro de 2025, aprovando o Regime Jurídico da Cibersegurança e transpondo integralmente a Diretiva NIS2.
Situação atual:
Cronograma confirmado:
Recomendação: Utilize o período de transição de 120 dias para avaliar se está abrangido e começar a implementar as 10 medidas do Artigo 21.
Uma organização estará abrangida pela NIS2 em Portugal se cumprir ambos os critérios:
Exceções: Alguns prestadores (como DNS, TLD, registos de nomes de domínio) estão abrangidos independentemente da dimensão.
O Decreto-Lei n.º 125/2025 (Art. 8.º) define o processo de registo junto do CNCS:
Acompanhe o website do CNCS (www.cncs.gov.pt) para informações sobre a disponibilização da plataforma.
O Decreto-Lei n.º 125/2025 estabelece os seguintes limites de coimas:
Mecanismo de Dispensa Temporária de Coimas:
As sanções aplicam-se por incumprimento das medidas de cibersegurança, não notificação de incidentes, obstrução à fiscalização, entre outras infrações.
Mantenha-se informado através dos seguintes canais oficiais:
Este website será atualizado regularmente com as últimas informações sobre o processo de transposição em Portugal.
Não espere pela conclusão da transposição. Comece já a avaliar o seu grau de conformidade e a implementar as medidas necessárias.