Com a publicação, esta quinta-feira, do Decreto-Lei n.º 125/2025, Portugal transpõe finalmente a Directiva (UE) 2022/2555, conhecida nos corredores de Bruxelas como NIS2. O diploma, que entra em vigor no início de Abril (120 dias após a publicação), vem alterar profundamente a forma como o Estado e as empresas encaram as ameaças digitais, impondo uma cultura de prevenção obrigatória e um regime sancionatório que promete doer na carteira dos infractores.
A nova legislação nasce da consciência de que as ameaças cibernéticas aumentaram em sofisticação e quantidade, colocando em risco não só dados, mas o próprio funcionamento da economia e a segurança nacional. O objectivo é garantir um nível elevado comum de cibersegurança em toda a União Europeia, eliminando os elos mais fracos da cadeia.
O alargamento da rede: quem é apanhado?
A primeira grande mudança reside no âmbito de aplicação. Até agora, a lei focava-se essencialmente nos operadores de infra-estruturas críticas. O novo regime expande significativamente este universo, dividindo as organizações em duas categorias principais: entidades essenciais e entidades importantes.
No grupo das entidades essenciais, encontramos sectores óbvios como a energia (electricidade, petróleo, gás, hidrogénio), transportes (aéreo, ferroviário, aquático e rodoviário), sector bancário, saúde e água potável. Mas a lista cresce para incluir infra-estruturas digitais, como pontos de troca de tráfego, prestadores de serviços de DNS (sistema de nomes de domínio) e de computação em nuvem (cloud), bem como a administração pública e o sector espacial.
Já as entidades importantes abrangem sectores que ganharam peso estratégico, como os serviços postais e de estafeta, a gestão de resíduos, a produção e distribuição de produtos químicos e alimentares, e a indústria transformadora. Também aqui se incluem os prestadores de serviços digitais que moldam o nosso quotidiano: motores de pesquisa online, mercados digitais e plataformas de redes sociais.
Para determinar quem fica sujeito a estas regras, a lei utiliza critérios de dimensão. Em regra, aplicam-se a médias e grandes empresas, embora existam excepções para entidades mais pequenas, mas críticas, como os prestadores de serviços de confiança ou de registo de domínios.
A responsabilidade sobe ao topo
Uma das alterações mais significativas prende-se com a governação. A cibersegurança deixa de ser um problema técnico para se tornar uma responsabilidade legal da gestão de topo. Os órgãos de administração são agora obrigados a aprovar as medidas de gestão de risco e a supervisionar a sua aplicação.
Mais relevante ainda: os administradores e directores podem ser responsabilizados pessoalmente. O diploma prevê que os titulares destes órgãos respondam pelo incumprimento das normas, inclusive por omissão, se houver culpa grave. Para garantir que sabem o que estão a fazer, a lei impõe-lhes a frequência de acções de formação em cibersegurança.
Prevenção e notificação relâmpago
O novo regime pretende trocar a reacção pela prevenção. As entidades são obrigadas a adoptar medidas técnicas e organizativas para gerir os riscos, o que inclui a segurança na cadeia de abastecimento, a gestão de vulnerabilidades, a utilização de criptografia e a autenticação multifactor.
Quando a prevenção falha, a rapidez de comunicação torna-se o factor crítico. As empresas passam a ter prazos muito apertados para notificar o Centro Nacional de Cibersegurança (CNCS) ou a autoridade sectorial competente. Uma notificação inicial de um incidente significativo deve ser feita no prazo de 24 horas após o conhecimento da ocorrência. Segue-se uma actualização nas 72 horas seguintes e um relatório final no prazo de um mês.
O conceito de “incidente significativo” é balizado por critérios objectivos: se causar perturbações graves nos serviços, perdas financeiras ou afectar outras pessoas singulares ou colectivas. Além disso, se o incidente afectar os utilizadores, as empresas têm o dever de os informar sem demora, explicando as medidas de protecção que estes devem adoptar.
Um novo mapa de autoridades
Para gerir este ecossistema complexo, o decreto-lei reorganiza o quadro institucional. O CNCS reforça o estatuto de Autoridade Nacional de Cibersegurança, funcionando como ponto de contacto único para a cooperação europeia e coordenador da resposta a incidentes.
No entanto, o CNCS não estará sozinho. Foram criadas autoridades nacionais sectoriais e especiais. Por exemplo, a ANACOM supervisionará o sector das comunicações, o Gabinete Nacional de Segurança (GNS) ficará com os serviços de confiança, e entidades como o Banco de Portugal ou a Comissão do Mercado de Valores Mobiliários (CMVM) assumem a pasta no sector financeiro.
Para situações de crise grave, formaliza-se a existência de um gabinete de crise, convocado pelo Secretário-Geral do Sistema de Segurança Interna, que reunirá a Polícia Judiciária, o SIS e o CNCS para coordenar a resposta a ciberataques de grande escala.
Multas “pesadas”
Tal como aconteceu com o Regulamento Geral de Protecção de Dados (RGPD), o legislador apostou em sanções dissuasoras. As coimas para contra-ordenações muito graves, como falhar a adopção de medidas de risco ou não notificar incidentes, podem atingir valores elevados.
Para as entidades essenciais, as multas podem chegar aos 10 milhões de euros ou 2% do volume de negócios anual (a nível mundial), consoante o que for mais elevado. Para as entidades “importantes”, o tecto é de sete milhões de euros ou 1,4% do volume de negócios. Na Administração Pública, as coimas variam consoante a dimensão do serviço, podendo chegar aos quatro milhões de euros para as maiores entidades.
O que se segue?
Apesar da publicação, o processo de implementação será gradual. O diploma entra em vigor 120 dias após a publicação, mas muitas das obrigações práticas dependem de regulamentação que o CNCS terá de produzir, nomeadamente quanto aos requisitos técnicos e à plataforma de notificação.
Para preparar o terreno, o CNCS lançou já o “Roteiro NIS2”, um programa de 60 acções de formação gratuitas que percorrerá o país para explicar às empresas e organismos públicos o que se espera deles.