• Alameda F.C. Infesta 47, São Mamede de Infesta, Porto
  • info@orbcom.pt
  • (+351) 225 400 069
Linkedin
PIVOT
Contacte-nos

O que muda com o novo Regime Jurídico da Cibersegurança?

A publicação do Decreto-Lei n.º 125/2025, de 4 de dezembro, marca um momento relevante na evolução do enquadramento legal da cibersegurança em Portugal.

O diploma aprova o novo Regime Jurídico da Cibersegurança e transpõe para a ordem jurídica nacional a Diretiva (UE) 2022/2555, conhecida como Diretiva NIS 2.

Na prática, este novo regime alarga o universo de entidades abrangidas, reforça obrigações de gestão de risco e notificação de incidentes e consolida o papel do Centro Nacional de Cibersegurança (CNCS) enquanto autoridade nacional de cibersegurança.

O que aprova o Decreto-Lei n.º 125/2025?

O diploma estabelece o novo regime jurídico aplicável à cibersegurança em Portugal e define a base legal para a aplicação nacional da NIS 2. Além do regime principal, prevê ainda instrumentos complementares que serão determinantes para a sua execução prática.

Três instrumentos fundamentais para as políticas públicas de cibersegurança

O novo regime será complementado por três instrumentos centrais da Segurança do Ciberespaço:

  • Estratégia Nacional de Segurança do Ciberespaço (ENSC), que define prioridades, objetivos e modelo de governação;
  • Plano nacional de resposta a crises e incidentes de cibersegurança em grande escala, que estabelece a resposta a situações de crise;
  • Quadro Nacional de Referência para a Cibersegurança (QNRCS), que serve de referência para normas, padrões e boas práticas de cibersegurança e segurança da informação.

Overview geral do Novo Regime Jurídico da Cibersegurança

O novo Regime Jurídico da Cibersegurança aplica-se a diferentes tipos de entidades, consoante o seu setor de atividade, dimensão, grau de exposição ao risco e relevância operacional. De forma geral, o enquadramento distingue entre entidades essenciais, entidades importantes e entidades públicas relevantes.

Quando uma entidade possa enquadrar-se em mais do que uma categoria, prevalece a qualificação mais exigente do ponto de vista dos requisitos aplicáveis, segundo a seguinte ordem:

  • Entidade Essencial
  • Entidade Importante
  • Entidade Pública Relevante – Grupo A
  • Entidade Pública Relevante – Grupo B

Entidades essenciais

São consideradas entidades essenciais, nomeadamente:

  • Entidades de um dos tipos referidos no Anexo I que excedam os limiares previstos para as médias empresas;
  • Prestadores de serviços de confiança qualificados;
  • Entidades de registo de nomes de domínio de topo;
  • Prestadores de serviços de sistemas de nomes de domínio, independentemente da sua dimensão;
  • Empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público que sejam consideradas médias empresas;
  • Entidades da Administração Pública com atribuições na prestação de serviços nas áreas do desenvolvimento, manutenção e gestão de infraestruturas de tecnologias de informação e comunicação;
  • Entidades da Administração Pública com grau particularmente elevado de integração digital na prestação dos seus serviços;
  • A entidade pública responsável pela área da avaliação educativa;
  • Entidades identificadas como críticas nos termos da Diretiva (UE) 2022/2557, relativa à resiliência das entidades críticas;
  • Qualquer outra entidade dos tipos constantes dos Anexos I ou II que seja qualificada como essencial com base:
  • no grau de exposição aos riscos;
  • na dimensão da entidade;
  • na probabilidade de ocorrência de incidentes;
  • na gravidade desses incidentes, incluindo o seu impacto social e económico.
Nota explicativa:
No caso das empresas, a referência às médias empresas remete para entidades com menos de 250 trabalhadores e com volume de negócios anual não superior a 50 milhões de euros ou balanço total anual não superior a 43 milhões de euros.

Entidades Importantes

São consideradas entidades importantes:

  • Entidades dos tipos referidos nos Anexos I e II que não sejam consideradas entidades essenciais;
  • Outras entidades de um dos tipos constantes dos Anexos I ou II que sejam identificadas como entidades importantes, com base:
  • no grau de exposição aos riscos;
  • na dimensão da entidade;
  • na probabilidade de ocorrência de incidentes;
  • na gravidade desses incidentes, incluindo o seu impacto social e económico.

Entidades Públicas Relevantes

As entidades públicas que não sejam qualificadas como entidades essenciais ou importantes são consideradas Entidades Públicas Relevantes.

Para efeitos de aplicação do Regime Jurídico da Cibersegurança, estas entidades dividem-se em dois grupos.

 

Grupo A

Incluem-se no Grupo A:

  • Serviços da administração direta do Estado, central e periférica, com 250 ou mais trabalhadores;
  • Serviços da administração direta das Regiões Autónomas, central e periférica, com 250 ou mais trabalhadores;
  • Entidades da administração indireta do Estado, com mais de 250 trabalhadores;
  • Entidades da administração indireta das Regiões Autónomas, com mais de 250 trabalhadores;
  • Entidades da administração autónoma, com mais de 250 trabalhadores;
  • Entidades públicas empresariais que excedam os limiares das médias empresas;
  • Entidades administrativas independentes;
  • Conselho Económico e Social;
  • Provedoria da Justiça;
  • Serviços técnicos e administrativos da Presidência da República;
  • Serviços técnicos e administrativos da Assembleia da República;
  • Serviços técnicos e administrativos dos Tribunais;
  • Conselho Superior da Magistratura;
  • Conselho Superior dos Tribunais Administrativos e Fiscais;
  • Conselho Superior do Ministério Público.

Grupo B

Incluem-se no Grupo B:

  • Serviços da administração direta do Estado, central e periférica, que tenham entre 50 e 249 trabalhadores;
  • Serviços da administração direta das Regiões Autónomas, central e periférica, que tenham entre 50 e 249 trabalhadores;
  • Entidades da administração indireta do Estado, que tenham entre 50 e 249 trabalhadores;
  • Entidades da administração indireta das Regiões Autónomas, que tenham entre 50 e 249 trabalhadores;
  • Entidades da administração autónoma, que tenham entre 50 e 249 trabalhadores;
  • Entidades públicas empresariais qualificadas como médias empresas.

O que este novo regime altera

Este diploma alarga significativamente o leque de entidades abrangidas e reforça três dimensões centrais:

  • obrigações de gestão de risco de cibersegurança;
  • obrigações de notificação de incidentes;
  • papel do CNCS como autoridade nacional de cibersegurança.

Além disso, o diploma entra em vigor 120 dias após a publicação, ou seja, a 3 de abril de 2026, e prevê coimas que podem atingir 10 milhões de euros ou 2 % do volume de negócios, consoante o montante mais elevado.

Setores abrangidos

Anexo I – Setores de importância crítica

  • Energia
  • Transportes
  • Setor bancário
  • Infraestruturas do mercado financeiro
  • Saúde
  • Água potável
  • Águas residuais
  • Infraestruturas digitais
  • Gestão de serviços TIC
  • Espaço

Anexo II – Outros setores críticos

  • Serviços postais e de estafeta
  • Gestão de resíduos
  • Produção, fabrico e distribuição de produtos químicos
  • Produção, transformação e distribuição de produtos alimentares
  • Indústria transformadora
  • Prestação de serviços digitais
  • Investigação

Qualificação das entidades

As entidades abrangidas devem identificar-se numa plataforma eletrónica disponibilizada pelo CNCS. Em regra, essa identificação deve ocorrer no prazo de 30 dias após o início da atividade ou, no caso de entidades já em funcionamento, no prazo de 60 dias após a disponibilização da plataforma, mantendo depois a informação atualizada. O projeto de regulamento em consulta pública detalha precisamente as funcionalidades desta plataforma, incluindo o registo das entidades, a comunicação do relatório anual, a indicação do responsável de cibersegurança, do ponto de contacto permanente e a notificação de incidentes.

A qualificação das entidades como essenciais ou importantes é realizada pelo CNCS, devendo ser fundamentada e assentar nos mecanismos previstos no artigo 8.º do diploma.

Principais obrigações e deveres

Os órgãos de gestão, direção e administração das entidades essenciais e importantes passam a ter responsabilidades diretas, nomeadamente:

  • aprovar medidas de gestão de risco de cibersegurança;
  • supervisionar a sua aplicação;
  • assegurar o cumprimento das medidas de supervisão e execução;
  • promover ações regulares de formação em cibersegurança.

Além disso:

  • os titulares destes órgãos podem responder por ação ou omissão, com dolo ou culpa grave, pelas infrações aplicáveis;
  • estas responsabilidades não podem, em regra, ser delegadas fora destes órgãos.

As entidades essenciais e importantes devem adotar medidas:

  • técnicas;
  • operacionais;
  • organizativas.

Estas medidas devem:

  • gerir os riscos que afetam as redes e sistemas de informação utilizados nas suas operações;
  • seguir uma abordagem sistémica;
  • ser proporcionais ao grau de exposição ao risco.

O regime remete ainda para regulamentação do CNCS:

  • a definição de medidas mínimas específicas;
  • a definição de níveis de conformidade.

Entre as áreas que devem ser abrangidas pelas medidas de cibersegurança estão:

  • tratamento de incidentes;
  • continuidade das atividades;
  • segurança da cadeia de abastecimento;
  • segurança na aquisição, desenvolvimento e manutenção dos sistemas de rede e informação;
  • avaliação da eficácia das medidas adotadas;
  • práticas básicas de ciber-higiene;
  • formação em cibersegurança;
  • criptografia e cifragem;
  • segurança dos recursos humanos;
  • controlo de acessos;
  • gestão de ativos;
  • autenticação multifator ou autenticação contínua.

No caso das entidades públicas relevantes:

  • ficam sujeitas às medidas que vierem a ser estabelecidas pelo CNCS por regulamento.

O diploma dedica atenção específica à segurança da cadeia de abastecimento. As medidas a adotar devem ter em conta:

  • as vulnerabilidades de cada fornecedor direto e prestador de serviços;
  • a qualidade global dos produtos na componente de cibersegurança;
  • as práticas de segurança dos fornecedores;
  • as avaliações coordenadas dos riscos de cadeias de abastecimento de produtos, sistemas ou serviços TIC críticos.

As entidades essenciais e importantes devem:

  • realizar uma análise de riscos;
  • documentar essa análise;
  • gerir os riscos relativos aos ativos que asseguram a continuidade do funcionamento das redes e sistemas de informação.

Com base nessa avaliação, devem ainda:

  • adotar medidas adequadas;
  • aplicar medidas proporcionais para gerir os riscos identificados.

As entidades essenciais e importantes devem elaborar e manter um relatório anual com, entre outros, os seguintes elementos:

  • descrição sumária das principais atividades desenvolvidas em matéria de segurança das redes e serviços de informação;
  • estatísticas trimestrais dos incidentes;
  • análise agregada dos incidentes com impacto significativo;
  • recomendações de melhoria;
  • problemas identificados;
  • medidas implementadas.

Quanto ao envio do relatório:

  • no caso das entidades essenciais, deve ser remetido ao CNCS;
  • no caso das entidades importantes, é comunicado quando solicitado.

As entidades essenciais e importantes devem designar um responsável de cibersegurança para a gestão da cibersegurança e da segurança da informação.

Este responsável deve:

  • ser membro dos órgãos de gestão, direção ou administração;
  • ou responder organicamente a esses órgãos de forma direta.

As entidades que já estavam em atividade à data da entrada em vigor do diploma dispõem de:

  • 20 dias úteis para comunicar essa designação ao CNCS.

Na prática, este prazo remete para:

  • o início de maio de 2026.

Entre as funções mínimas deste responsável estão:

  • propor medidas de gestão de risco;
  • apoiar a supervisão;
  • promover a cultura de cibersegurança;
  • gerir o risco residual;
  • garantir a elaboração do relatório anual;
  • coordenar as ações do ponto de contacto permanente, quando aplicável.

As entidades essenciais e importantes devem assegurar e comunicar ao CNCS um ponto de contacto permanente com disponibilidade contínua.

Esse ponto de contacto deve garantir:

  • os fluxos de informação operacional e técnica com a autoridade de cibersegurança;
  • a partilha de informação com a autoridade de cibersegurança durante a ativação de planos de emergência ou resiliência relacionados com a cibersegurança;
  • a aplicação dos procedimentos definidos em planos de emergência de proteção civil que impactem as redes e sistemas de informação;
  • a receção de orientações, recomendações, instruções técnicas e ordens emitidas pela autoridade de cibersegurança.

Tal como sucede com o responsável de cibersegurança:

  • a comunicação deve ser efetuada pelas entidades já em atividade no prazo de 20 dias úteis após a entrada em vigor do diploma.

O CNCS pode exigir às entidades essenciais, importantes e públicas relevantes:

  • a obtenção de certificação em cibersegurança, nacional, europeia ou internacional, que comprove o cumprimento das medidas aplicáveis;
  • a utilização de produtos, serviços e processos TIC certificados no âmbito de sistemas nacionais e europeus de certificação da cibersegurança.

As entidades essenciais, importantes e públicas relevantes devem notificar ao CNCS qualquer incidente significativo.

Para essa avaliação, devem ser considerados fatores como:

  • o número de utilizadores afetados;
  • o total de utilizadores do serviço perturbado;
  • a duração do incidente;
  • a gravidade da perturbação;
  • o impacto nas atividades económicas e sociais.

O regime prevê:

  • uma notificação inicial sem demora injustificada e até 24 horas após a verificação de que existe, ou pode vir a existir, um incidente significativo;
  • uma atualização até 72 horas, quando necessária;
  • uma notificação do fim de impacto significativo até 24 horas após o fim desse impacto;
  • um relatório final nos termos do regime aplicável.

Além disso:

  • a autoridade de cibersegurança deve responder, se possível, no prazo de 24 horas após a receção da notificação inicial.

O regime distingue a intensidade da supervisão consoante o tipo de entidade.

Entidades essenciais

As entidades essenciais ficam sujeitas a medidas de supervisão mais abrangentes, incluindo:

  • inspeções no local;
  • supervisão remota;
  • auditorias de segurança regulares ou direcionadas;
  • auditorias ad hoc;
  • verificações de segurança;
  • pedidos de informação, documentos e provas de cumprimento.

Entidades importantes e entidades públicas relevantes

As entidades importantes e as entidades públicas relevantes ficam sujeitas a um regime de supervisão ex post, aplicável quando existam provas, indícios ou informações de incumprimento.

Esse regime pode incluir:

  • inspeções no local;
  • supervisão remota ex post;
  • auditorias direcionadas;
  • auditorias ad hoc;
  • verificações de segurança;
  • pedidos de acesso a documentação e evidências.

O incumprimento das obrigações previstas no novo Regime Jurídico da Cibersegurança pode dar origem a coimas muito relevantes.

No caso das entidades essenciais, as contraordenações muito graves podem atingir:

  • 10 milhões de euros;
  • ou 2 % do volume de negócios anual a nível mundial, consoante o montante mais elevado.

O CNCS destaca este agravamento do quadro sancionatório como um dos sinais do reforço da responsabilização.

Além disso:

  • as decisões e medidas adotadas pelas autoridades são impugnáveis nos termos previstos no diploma.

Próximos passos

Embora o diploma já esteja em vigor, uma parte relevante da sua execução depende ainda de regulamentação complementar do CNCS. O projeto de regulamento do Regime Jurídico da Cibersegurança encontra-se em consulta pública, prevendo matérias como a plataforma eletrónica, os níveis de conformidade, os critérios de verificação e as medidas aplicáveis às entidades públicas relevantes.

Além disso, o próprio decreto-lei determina que algumas disposições só produzem efeitos 24 meses após a publicação da regulamentação referida em vários artigos do regime, o que torna especialmente importante acompanhar a evolução regulamentar e preparar a organização com antecedência.

Por isso, o passo mais importante neste momento é perceber se a organização está, direta ou indiretamente, abrangida pelo diploma, garantir a sua identificação junto do CNCS quando aplicável e avaliar, de forma integrada, o nível de cumprimento legal, processual, organizativo e tecnológico. Só depois dessa análise será possível definir um roadmap realista de adaptação, com prioridades claras, medidas proporcionais ao risco e menor exposição a incumprimentos.

A antecipação será decisiva. Num regime que reforça obrigações, supervisão e sanções, preparar cedo continua a ser a forma mais inteligente de reduzir risco e ganhar margem de execução.

Quer perceber como transformar os requisitos da NIS 2 num plano de ação concreto?

Fale connosco através de info@orbcom.pt.

Categorias

Partilhar

Linkedin Facebook X-twitter Whatsapp

Em destaque

Gostou?

Subscreva a nossa newsletter e fique a par de todas as novidades!

Quer saber mais sobre a ORBCOM? Fale com um especialista

Se quiser conhecer melhor a ORBCOM e perceber como os nossos produtos, serviços de consultoria e outsourcing se enquadram na sua realidade, fale com um especialista.

Falar com um especialista
Ver outros artigos

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *