A (tão aguardada) transposição da NIS2

Foi publicado hoje, dia 4 de dezembro, em Diário da República o Decreto-Lei n.º 125/2025 que transpõe a Diretiva (UE) 2022/2555 (diretiva NIS2), relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União Europeia. Este diploma entra em vigor 120 dias após a sua publicação.

Para empresas, organizações públicas ou privadas que estejam sujeitas ao cumprimento com a NIS2 / legislação nacional, indicamos algumas implicações concretas:

• Necessidade de mapear ativos digitais, redes, sistemas de informação, cadeias de fornecimento de TIC, fornecedores externos — identificação dos riscos.
• Estabelecer ou reforçar políticas de gestão de risco: análise dos riscos, atualização de planos de resposta, avaliação de vulnerabilidades, continuidade de negócio, etc.
• Implementar práticas de formação, autenticação com nível elevado de segurança, práticas seguras de desenvolvimento de software, entre outras.
• Estar prontas para notificar incidentes dentro dos prazos definidos a nível nacional e cooperar com autoridades competentes.
• Preparar‑se para fiscalizações / auditorias / supervisão por parte das autoridades competentes.

A Diretiva NIS2 tem como objetivo reforçar obrigações a nível de cibersegurança na União Europeia, num momento em que existem cada vez mais ameaças, incidentes de segurança, vulnerabilidade dos sistemas, interdependência, cadeias globais e infraestruturas críticas vulneráveis.

Portugal, como Estado‑Membro, teve que transpor a Diretiva NIS2 para que integrasse a ordem jurídica nacional. Esta transposição, de um modo geral, encontra-se alinhada com o que consta da NIS2.

No entanto, o sucesso desta transposição dependerá fortemente não só do conteúdo do decreto-lei, mas da sua aplicação prática: existência de recursos, clareza regulatória, comunicação eficaz com entidades afetadas, fiscalização realista e justa, e acompanhamento contínuo da evolução das ameaças tecnológicas.

O regime é aplicável a:

1. Entidades da Administração Pública, incluindo organismos e serviços dependentes do Estado, salvo aqueles com funções especificamente excluídas no diploma (defesa nacional, segurança interna, serviços de informações e investigação criminal)
2. Entidades privadas consideradas essenciais ou relevantes para a segurança do ciberespaço, designadamente:
   1. operadores de serviços essenciais,
   2. operadores de infraestruturas críticas,
   3. prestadores de serviços digitais,
   4. entidades cuja dimensão ou natureza da atividade determine risco elevado para a continuidade de serviços essenciais ou para a segurança nacional.
3. Demais entidades abrangidas por critérios setoriais específicos, a definir pelas autoridades competentes no âmbito do Quadro Nacional de Referência para a Cibersegurança.

   Devem, ainda, ter em atenção a qualificação prevista nos Anexos I e II, que identificam os setores de importância crítica e os outros setores críticos, determinando assim as áreas principais abrangidas pelo diploma.

   Por fim, as empresas públicas e privadas que estejam sujeitas à aplicabilidade da NIS2, em Portugal, devem preparar-se para a sua entrada em vigor, sugerindo-se a título de exemplo que:

1. 1. revejam as suas políticas de segurança;
   2. mapeiem vulnerabilidades;
   3. elaborem listagens completas dos prestadores de serviços e apliquem processos de due diligence à contratação de prestadores de serviços;
   4. preparar colaboradores e processos para resposta a incidentes, com formação e elaboração de procedimentos claros.