A “nova lei da cibersegurança” em Portugal refere-se ao Decreto-Lei n.º 125/2025, publicado em 4 de dezembro de 2025. Este diploma transpõe a diretiva europeia NIS 2 e substitui o regime anterior, trazendo obrigações muito mais rigorosas e abrangendo um maior número de setores. Conheças as 10 medidas mínimas obrigatórias de segurança.

Nova Lei da Cibersegurança: as 10 medidas mínimas de segurança

A lei foca-se numa abordagem de “gestão de todos os riscos” e estabelece um conjunto de medidas que as entidades (essenciais e importantes) devem adotar.

As 10 Medidas Mínimas de Segurança

De acordo com o novo regime, as organizações devem implementar medidas técnicas, operacionais e organizativas para gerir os riscos. As medidas mínimas obrigatórias incluem:

  • Políticas de Análise de Riscos e de Segurança
    • Documentação formal de como a organização identifica e trata ameaças.
  • Tratamento de Incidentes
    • Processos claros para deteção, análise, contenção e resposta a ciberataques.
  • Continuidade do Negócio
    • Planos de recuperação de desastres, gestão de crises e cópias de segurança (backups).
  • Segurança da Cadeia de Abastecimento
    • Avaliação do risco dos fornecedores e prestadores de serviços diretos.
  • Segurança na Aquisição e Manutenção
    • Garantir que os sistemas e redes são seguros desde o desenvolvimento até à exploração (incluindo gestão de vulnerabilidades).
  • Avaliação da Eficácia
    • Políticas para testar e auditar regularmente a eficácia das medidas de cibersegurança.
  • Práticas de Higiene Cibernética
    • Formação básica para colaboradores e atualizações regulares de software.
  • Criptografia e Codificação
    • Utilização de soluções de cifragem para proteger dados sensíveis.
  • Segurança dos Recursos Humanos
    • Políticas de controlo de acessos e gestão de ativos por parte dos funcionários.
  • Autenticação Multifator (MFA)
    • Uso de soluções de autenticação forte e comunicações seguras (voz, vídeo e texto).

Nova Lei da Cibersegurança: as 10 medidas mínimas de segurança

O diploma entra em vigor a 3 de abril de 2026, dando um período de adaptação para as entidades se registarem na plataforma do Centro Nacional de Cibersegurança (CNCS) e implementarem as medidas.

Leia também…