Portugal deu um passo significativo na proteção digital com a aprovação do Decreto-Lei n.º 125/2025, que transpõe para a legislação nacional a Diretiva Europeia NIS2. Esta nova lei traz mudanças profundas, ampliando as responsabilidades. O que muda?
Âmbito alargado para 18 setores críticos
Um dos principais pontos da nova lei é o alargamento do número de entidades abrangidas. Agora, além dos setores tradicionalmente essenciais como a energia, transportes, saúde, abastecimento de água e bancos, também entram no regime de cibersegurança fornecedores de serviços digitais, incluindo cloud, centros de dados, redes sociais, marketplaces e motores de busca.
A administração pública também passa a ter obrigações reforçadas, tornando a lei mais abrangente e rigorosa.
Com a nova lei passamos a ter os setores qualificados como Entidades Essenciais e Entidades Importantes e os serviços do estado passam a estar em Administração Pública.
10 medidas de segurança específicas e obrigatórias
A Nova Lei da Cibersegurança impõe 10 medidas mínimas específicas e obrigatórias:
- Gestão de Riscos
- Implementar um sistema de gestão de riscos cibernéticos.
- Políticas e Procedimentos de Segurança
- Criar políticas internas de segurança da informação.
- Controlo de Acessos
- Definir perfis de utilizador e autenticação forte (MFA).
- Proteção de Sistemas e Dados
- Instalar firewalls, antivírus e utilizar criptografia de dados.
- Continuidade e Resiliência
- Elaborar planos de continuidade de negócio e recuperação de desastres.
- Gestão da Cadeia de Abastecimento
- Garantir segurança em fornecedores e parceiros.
- Monitorização e Deteção de Incidentes
- Monitorizar continuamente redes e sistemas e registar logs.
- Resposta a Incidentes
- Criar plano de resposta e notificar incidentes significativos ao CNCS em até 24 horas.
- Formação e Sensibilização
- Capacitar colaboradores em boas práticas de cibersegurança.
- Avaliações e Auditorias
- Realizar testes de penetração e auditorias periódicas para corrigir vulnerabilidades.
Responsabilização de Gestores e Líderes
A lei introduz um regime de responsabilidade direta para gestores e administradores, incluindo a possibilidade de sanções pessoais em caso de incumprimento.
A nomeação de um CISO ou responsável equivalente torna-se geralmente obrigatória, garantindo que haja supervisão direta da conformidade e implementação das medidas de cibersegurança.
Supervisão e Fiscalização
O Centro Nacional de Cibersegurança (CNCS) assume um papel central na fiscalização, complementado por órgãos setoriais de supervisão, como a ANACOM no setor das telecomunicações ou o Banco de Portugal no setor financeiro. Estes organismos terão poderes para verificar a conformidade e aplicar sanções.
Prazos de Notificação
- Notificação inicial
- dentro de 24 horas após detetar o incidente.
- Relatório detalhado
- deve ser entregue até 72 horas após a notificação inicial, com informações adicionais sobre impacto e mitigação.
Após a notificação inicial e o relatório detalhado, a entidade deve submeter um relatório final ou complementar ao CNCS.
Sanções e Penalizações
O regime sancionatório é significativamente reforçado. As multas podem atingir até 10 milhões de euros ou 2% do volume de negócios global anual da entidade, além de sanções administrativas e medidas corretivas. O objetivo é garantir um nível elevado de cumprimento das obrigações de segurança.
Incentivo à Investigação Ética
Uma novidade relevante é a criação de um regime de proteção legal para hackers éticos, ou security researchers. A lei protege ações realizadas em “boa-fé” e com objetivo de identificar vulnerabilidades, desde que não causem danos e que as falhas sejam reportadas imediatamente aos responsáveis do sistema e ao CNCS. Este “safe harbor” incentiva a deteção responsável de falhas de segurança.
O novo regime entra em vigor a 3 de abril de 2026, com alguns prazos graduais de implementação que podem se estender até 24 meses, dependendo da complexidade das medidas exigidas.