Contacte-nos!  geral@dqa.pt

2025-12-09

Transposição da NIS2 em Portugal

Finalmente, Portugal concluiu a tão aguardada transposição da Diretiva NIS2.

Foi publicado no dia 4 de dezembro o Decreto-Lei n.º 125/2025, que transpõe para a ordem jurídica nacional a Diretiva (UE) 2022/2555, reforçando de forma significativa o quadro de cibersegurança aplicável às entidades públicas e privadas. Este passo era aguardado há largos meses, já que Portugal ultrapassou o prazo máximo definido pela União Europeia, tal como ocorreu com vários outros Estados-Membros.

Embora a situação varie entre países, a verdade é que uma parte considerável dos Estados-Membros ainda se encontra em fase atrasada ou parcial de transposição - um sinal de que a complexidade das exigências da NIS2 está a desafiar toda a Europa. A publicação do diploma português representa, assim, um marco importante num contexto europeu onde a implementação prática continua a avançar de forma desigual.

A entrada em vigor do novo enquadramento implica um conjunto reforçado de obrigações para as organizações abrangidas, desde o mapeamento de ativos e cadeias de fornecimento até à implementação de políticas de gestão de risco, autenticação forte, formação contínua e capacidade de reporte de incidentes dentro dos prazos nacionais.

Importa destacar que o diploma alarga significativamente o número e o tipo de entidades sujeitas ao regime, estendendo a cibersegurança obrigatória à 'economia real' (resíduos, alimentação, indústria, administração pública) e preenche as lacunas críticas da infraestrutura digital, integrando finalmente Data Centers, redes de distribuição de conteúdos (CDNs) e gestores de serviços TI (MSPs). Além disso, muda a lógica de inclusão: em vez de o Estado escolher quem entra, passam a estar automaticamente abrangidas todas as médias e grandes empresas que operem nestes setores.

Paralelamente, prevê-se uma atuação mais exigente das autoridades competentes no que respeita à supervisão e auditoria.

Apesar da lei só entrar em vigor 120 dias após a publicação (abril de 2026), as empresas devem usar este período para se adaptarem às novas obrigações do diploma, como por exemplo obrigações de notificação de incidentes e gestão de risco, áreas que podem exigir mudanças estruturais nas organizações.

Entre os benefícios esperados da NIS2 destacam-se:

  • Redução significativa do risco de incidentes e das suas consequências operacionais.
  • Aumento da confiança de clientes, parceiros e reguladores na maturidade de segurança das organizações.
  • Reforço da resiliência interna, com processos mais claros para gestão de riscos, continuidade e resposta a incidentes.
  • Harmonização europeia, facilitando operações transfronteiriças e reduzindo incertezas regulatórias.
  • Maior segurança da cadeia de fornecimento, com critérios mínimos que se estendem a fornecedores externos.

A sua organização precisa de apoio?

Ajudamos a sua organização a compreender as novas exigências, avaliar o nível de preparação ou implementar um plano de conformidade eficaz, tornando este processo mais claro, estruturado e orientado para resultados.