Cibersegurança: o novo regime entrou em vigor, está preparado?

Em 4 de dezembro de 2025 foi publicado o Decreto-Lei n.º 125/2025, que transpõe para Portugal a Diretiva (UE) 2022/2555 (NIS2) e aprova o novo regime jurídico da cibersegurança, o qual entrou em vigor no passado dia 03.04.2026.

Este diploma representa uma mudança estrutural no enquadramento da cibersegurança, impondo obrigações exigentes às empresas, introduzindo um regime sancionatório mais severo e exigindo uma adaptação rápida e estruturada.

Âmbito e entidades abrangidas

O Novo Regime Jurídico de Cibersegurança aplica-se a entidades que atuem em setores críticos e relevantes para a economia e a sociedade, designadamente:

Energia, transportes, saúde, setor bancário;
Infraestruturas digitais e serviços TIC;
Administração Pública;
Serviços digitais, indústria, gestão de resíduos, entre outros.

São abrangidas, em regra:

Médias e grandes empresas destes setores; e
Determinadas entidades independentemente da sua dimensão, quando a sua atividade seja crítica ou com elevado impacto sistémico.

O regime distingue entre:

Entidades Essenciais: entidades de setores críticos que excedem os limiares para as médias empresas, empresas de comunicações eletrónicas classificadas como médias empresas, prestadores de serviços de confiança qualificados, entidades responsáveis pelo registo de nomes de domínio de topo e prestadores de serviços de sistemas de nomes de domínio. A qualificação abrange ainda outras entidades e depende igualmente do grau de exposição a riscos e do impacto potencial.
Entidades Importantes: entidades dos mesmos setores críticos que não sejam consideradas Entidades Essenciais, ou que como tal possam ser identificadas em função do seu grau de risco, dimensão e impacto potencial; e
Entidades Públicas Relevantes: categoria que abrange entidades públicas não classificadas como essenciais ou importantes, distribuídas pelos Grupos A e B consoante, em regra, a respetiva dimensão.

As entidades abrangidas devem identificar-se como entidade essencial, importante ou pública relevante através do registo na plataforma eletrónica disponibilizada pelo Centro Nacional de Cibersegurança (CNCS), fundamentando devidamente a sua qualificação.

Esse registo deve ser efetuado no prazo de 60 dias após a disponibilização da plataforma pelo CNCS ou, no caso de novas entidades, no prazo de 30 dias após o início de atividade.

Se a entidade se enquadrar em mais do que uma categoria, aplica-se sempre o regime mais exigente.

Principais obrigações (entidades essenciais e importantes)

Os órgãos de gestão, direção e administração devem aprovar e supervisionar as medidas de gestão de risco de cibersegurança, assegurar a periodicidade regular de ações de formação em cibersegurança e respondem por ação ou omissão, com dolo ou culpa grave, pelas infrações previstas no diploma;
As entidades devem gerir de forma contínua os riscos de cibersegurança, adotando medidas técnicas e organizativas adequadas para proteger as redes e os sistemas de informação utilizados nas suas operações e para impedir ou minimizar o impacto de incidentes;
Devem ser implementadas medidas de segurança abrangentes, incluindo, entre outros aspetos:
- Tratamento de incidentes;
- Continuidade das atividades;
- Segurança da cadeia de abastecimento;
- Segurança na aquisição, desenvolvimento e manutenção das redes e sistemas de informação;
- Políticas e procedimentos para avaliar a eficácia das medidas de gestão dos riscos de cibersegurança;
- Segurança dos recursos humanos.

Devem ser adotadas, sem demora injustificada, todas as medidas corretivas necessárias, adequadas e proporcionais, que sejam indispensáveis ao suprimento de falhas ou omissões no cumprimento das medidas previstas;
As entidades devem avaliar regularmente os seus riscos, incluindo riscos residuais, e adotar medidas proporcionais para os mitigar;
Deve ser elaborado um relatório anual de cibersegurança, contendo os elementos obrigatórios, a enviar ao CNCS ou a manter disponível, consoante o caso;
Deve ser designado um responsável de cibersegurança, com ligação direta à gestão;
Deve existir um ponto de contacto permanente (24/7) para questões de cibersegurança.

Prevenção e tratamento de incidentes

As entidades essenciais, importantes e públicas relevantes devem notificar qualquer incidente significativo à autoridade de cibersegurança competente.

Na prática, isso implica o seguinte:

Notificação de incidentes significativos à autoridade competente;
Em caso de incidente significativo:
- Envio de uma notificação inicial até 24 horas após a sua deteção;
- comunicação do fim do impacto até 24 horas após o mesmo;
- apresentação de um relatório final no prazo de 30 dias úteis a contar da notificação mencionada em ii.;
Em alguns casos, pode ser exigido um relatório intercalar;
Sempre que o incidente afete os destinatários dos serviços, estes devem ser informados sem demora;
Para além das obrigações das empresas, qualquer pessoa singular ou coletiva pode reportar incidentes, ameaças ou vulnerabilidades que identifique.

Supervisão e execução

O regime de supervisão varia consoante o tipo de entidade:

As entidades essenciais estão sujeitas a um regime de supervisão mais abrangente (ex ante e ex post);
As entidades importantes e públicas relevantes estão sujeitas a um regime de supervisão mais leve (ex post).

Estão previstas inspeções, auditorias, verificações e pedidos de informação. O CNCS pode emitir advertências, ordens vinculativas e, em último caso, suspender certificações ou licenças.

Regime sancionatório

O incumprimento das obrigações previstas no diploma pode dar lugar a coimas de até:

€10.000.000 ou 2% do volume de negócios anual a nível mundial (entidades essenciais);
€7.000.000 ou 1,4% do volume de negócios anual a nível mundial (entidades importantes);
€4.000.000 (entidades públicas relevantes).

Nota: entidades que venham a incorrer em contraordenações muito graves ou graves podem, mediante pedido devidamente fundamentado, requerer à autoridade de cibersegurança competente a dispensa da aplicação de coimas, com fundamento na inexistência de um procedimento interno de adaptação ao novo regime, durante um período de 12 meses a contar da respetiva entrada em vigor.

Recomendações práticas

Neste contexto, torna-se essencial que as empresas adotem uma abordagem estruturada:

Confirmar se estão abrangidas pelo regime, tendo em conta setor, dimensão e atividade e realizar comunicação/registo na plataforma do CNCS nos prazos aplicáveis;
Identificar sistemas críticos, vulnerabilidades e dependências tecnológicas;
Envolver a gestão e integrar a cibersegurança na estratégia global;
Designar responsáveis e preparar a comunicação ao CNCS (até 04.05.2026);
Atualizar políticas, procedimentos e medidas de segurança;
Definir processos claros para deteção e notificação de incidentes;
Investir em formação e sensibilização interna;
Documentar todas as medidas e preparar a organização para auditorias e fiscalizações.

Rute Gonçalves Janeiro | Carolina Caldeira Fernandes

Partilhar

Cookie	Duração	Descrição
_GRECAPTCHA	5 meses 27 dias	Este cookie é definido pelo Google. Além de certos cookies padrão do Google, o reCAPTCHA define um cookie necessário (_GRECAPTCHA) quando executado com a finalidade de fornecer sua análise de risco.
cookielawinfo-checbox-analytics	11 meses	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Analytics".
cookielawinfo-checbox-functional	11 meses	O cookie é definido pelo consentimento do cookie GDPR para registrar o consentimento do usuário para os cookies na categoria "Funcional".
cookielawinfo-checbox-others	11 meses	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Outros.
cookielawinfo-checkbox-advertisement	1 ano	O cookie é definido pelo consentimento do cookie GDPR para registrar o consentimento do usuário para os cookies na categoria "Publicidade".
cookielawinfo-checkbox-necessary	11 meses	Este cookie é definido pelo plug-in GDPR Cookie Consent. Os cookies são usados para armazenar o consentimento do usuário para os cookies na categoria "Necessário".
cookielawinfo-checkbox-performance	11 meses	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Desempenho".
viewed_cookie_policy	11 meses	O cookie é definido pelo plug-in GDPR Cookie Consent e é usado para armazenar se o usuário consentiu ou não com o uso de cookies. Ele não armazena nenhum dado pessoal.

Cookie	Duração	Descrição
_ga	2 anos	Este cookie é instalado pelo Google Analytics. O cookie é usado para calcular o visitante, a sessão, os dados da campanha e controlar o uso do site para o relatório de análise do site. Os cookies armazenam informações anonimamente e atribuem um número gerado aleatoriamente para identificar visitantes únicos.
_gid	1 dia	Este cookie é instalado pelo Google Analytics. O cookie é usado para armazenar informações de como os visitantes usam um site e ajuda na criação de um relatório analítico de como o website está se saindo. Os dados coletados incluem o número de visitantes, a fonte de onde vieram e as páginas visitadas de forma anónima.