Com a publica\u00e7\u00e3o, esta quinta-feira, do Decreto-Lei n.\u00ba 125\/2025, Portugal transp\u00f5e finalmente a Directiva (UE) 2022\/2555, conhecida nos corredores de Bruxelas como NIS2. O diploma, que entra em vigor no in\u00edcio de Abril (120 dias ap\u00f3s a publica\u00e7\u00e3o), vem alterar profundamente a forma como o Estado e as empresas encaram as amea\u00e7as digitais, impondo uma cultura de preven\u00e7\u00e3o obrigat\u00f3ria e um regime sancionat\u00f3rio que promete doer na carteira dos infractores.<\/p>\n
A nova legisla\u00e7\u00e3o nasce da consci\u00eancia de que as amea\u00e7as cibern\u00e9ticas aumentaram em sofistica\u00e7\u00e3o e quantidade, colocando em risco n\u00e3o s\u00f3 dados, mas o pr\u00f3prio funcionamento da economia e a seguran\u00e7a nacional. O objectivo \u00e9 garantir um n\u00edvel elevado comum de ciberseguran\u00e7a em toda a Uni\u00e3o Europeia, eliminando os elos mais fracos da cadeia.<\/p>\n
O alargamento da rede: quem \u00e9 apanhado?<\/strong><\/p>\n A primeira grande mudan\u00e7a reside no \u00e2mbito de aplica\u00e7\u00e3o. At\u00e9 agora, a lei focava-se essencialmente nos operadores de infra-estruturas cr\u00edticas. O novo regime expande significativamente este universo, dividindo as organiza\u00e7\u00f5es em duas categorias principais: entidades essenciais e entidades importantes.<\/p>\n No grupo das entidades essenciais, encontramos sectores \u00f3bvios como a energia (electricidade, petr\u00f3leo, g\u00e1s, hidrog\u00e9nio), transportes (a\u00e9reo, ferrovi\u00e1rio, aqu\u00e1tico e rodovi\u00e1rio), sector banc\u00e1rio, sa\u00fade e \u00e1gua pot\u00e1vel. Mas a lista cresce para incluir infra-estruturas digitais, como pontos de troca de tr\u00e1fego, prestadores de servi\u00e7os de DNS (sistema de nomes de dom\u00ednio) e de computa\u00e7\u00e3o em nuvem (cloud), bem como a administra\u00e7\u00e3o p\u00fablica e o sector espacial.<\/p>\n J\u00e1 as entidades importantes abrangem sectores que ganharam peso estrat\u00e9gico, como os servi\u00e7os postais e de estafeta, a gest\u00e3o de res\u00edduos, a produ\u00e7\u00e3o e distribui\u00e7\u00e3o de produtos qu\u00edmicos e alimentares, e a ind\u00fastria transformadora. Tamb\u00e9m aqui se incluem os prestadores de servi\u00e7os digitais que moldam o nosso quotidiano: motores de pesquisa online, mercados digitais e plataformas de redes sociais.<\/p>\n
<\/p>\n
<\/p>\n Para determinar quem fica sujeito a estas regras, a lei utiliza crit\u00e9rios de dimens\u00e3o. Em regra, aplicam-se a m\u00e9dias e grandes empresas, embora existam excep\u00e7\u00f5es para entidades mais pequenas, mas cr\u00edticas, como os prestadores de servi\u00e7os de confian\u00e7a ou de registo de dom\u00ednios.<\/p>\n A responsabilidade sobe ao topo<\/strong><\/p>\n Uma das altera\u00e7\u00f5es mais significativas prende-se com a governa\u00e7\u00e3o. A ciberseguran\u00e7a deixa de ser um problema t\u00e9cnico para se tornar uma responsabilidade legal da gest\u00e3o de topo. Os \u00f3rg\u00e3os de administra\u00e7\u00e3o s\u00e3o agora obrigados a aprovar as medidas de gest\u00e3o de risco e a supervisionar a sua aplica\u00e7\u00e3o.<\/p>\n Mais relevante ainda: os administradores e directores podem ser responsabilizados pessoalmente. O diploma prev\u00ea que os titulares destes \u00f3rg\u00e3os respondam pelo incumprimento das normas, inclusive por omiss\u00e3o, se houver culpa grave. Para garantir que sabem o que est\u00e3o a fazer, a lei imp\u00f5e-lhes a frequ\u00eancia de ac\u00e7\u00f5es de forma\u00e7\u00e3o em ciberseguran\u00e7a.<\/p>\n Preven\u00e7\u00e3o e notifica\u00e7\u00e3o rel\u00e2mpago<\/strong><\/p>\n O novo regime pretende trocar a reac\u00e7\u00e3o pela preven\u00e7\u00e3o. As entidades s\u00e3o obrigadas a adoptar medidas t\u00e9cnicas e organizativas para gerir os riscos, o que inclui a seguran\u00e7a na cadeia de abastecimento, a gest\u00e3o de vulnerabilidades, a utiliza\u00e7\u00e3o de criptografia e a autentica\u00e7\u00e3o multifactor.<\/p>\n Quando a preven\u00e7\u00e3o falha, a rapidez de comunica\u00e7\u00e3o torna-se o factor cr\u00edtico. As empresas passam a ter prazos muito apertados para notificar o Centro Nacional de Ciberseguran\u00e7a (CNCS) ou a autoridade sectorial competente. Uma notifica\u00e7\u00e3o inicial de um incidente significativo deve ser feita no prazo de 24 horas ap\u00f3s o conhecimento da ocorr\u00eancia. Segue-se uma actualiza\u00e7\u00e3o nas 72 horas seguintes e um relat\u00f3rio final no prazo de um m\u00eas.<\/p>\n O conceito de \u201cincidente significativo\u201d \u00e9 balizado por crit\u00e9rios objectivos: se causar perturba\u00e7\u00f5es graves nos servi\u00e7os, perdas financeiras ou afectar outras pessoas singulares ou colectivas. Al\u00e9m disso, se o incidente afectar os utilizadores, as empresas t\u00eam o dever de os informar sem demora, explicando as medidas de protec\u00e7\u00e3o que estes devem adoptar.<\/p>\n Um novo mapa de autoridades<\/strong><\/p>\n Para gerir este ecossistema complexo, o decreto-lei reorganiza o quadro institucional. O CNCS refor\u00e7a o estatuto de Autoridade Nacional de Ciberseguran\u00e7a, funcionando como ponto de contacto \u00fanico para a coopera\u00e7\u00e3o europeia e coordenador da resposta a incidentes.<\/p>\n No entanto, o CNCS n\u00e3o estar\u00e1 sozinho. Foram criadas autoridades nacionais sectoriais e especiais. Por exemplo, a ANACOM supervisionar\u00e1 o sector das comunica\u00e7\u00f5es, o Gabinete Nacional de Seguran\u00e7a (GNS) ficar\u00e1 com os servi\u00e7os de confian\u00e7a, e entidades como o Banco de Portugal ou a Comiss\u00e3o do Mercado de Valores Mobili\u00e1rios (CMVM) assumem a pasta no sector financeiro.<\/p>\n Para situa\u00e7\u00f5es de crise grave, formaliza-se a exist\u00eancia de um gabinete de crise, convocado pelo Secret\u00e1rio-Geral do Sistema de Seguran\u00e7a Interna, que reunir\u00e1 a Pol\u00edcia Judici\u00e1ria, o SIS e o CNCS para coordenar a resposta a ciberataques de grande escala.<\/p>\n Multas \u201cpesadas\u201d<\/strong><\/p>\n Tal como aconteceu com o Regulamento Geral de Protec\u00e7\u00e3o de Dados (RGPD), o legislador apostou em san\u00e7\u00f5es dissuasoras. As coimas para contra-ordena\u00e7\u00f5es muito graves, como falhar a adop\u00e7\u00e3o de medidas de risco ou n\u00e3o notificar incidentes, podem atingir valores elevados.<\/p>\n
<\/p>\n
<\/p>\n Para as entidades essenciais, as multas podem chegar aos 10 milh\u00f5es de euros ou 2% do volume de neg\u00f3cios anual (a n\u00edvel mundial), consoante o que for mais elevado. Para as entidades \u201cimportantes\u201d, o tecto \u00e9 de sete milh\u00f5es de euros ou 1,4% do volume de neg\u00f3cios. Na Administra\u00e7\u00e3o P\u00fablica, as coimas variam consoante a dimens\u00e3o do servi\u00e7o, podendo chegar aos quatro milh\u00f5es de euros para as maiores entidades.<\/p>\n O que se segue?<\/strong><\/p>\n Apesar da publica\u00e7\u00e3o, o processo de implementa\u00e7\u00e3o ser\u00e1 gradual. O diploma entra em vigor 120 dias ap\u00f3s a publica\u00e7\u00e3o, mas muitas das obriga\u00e7\u00f5es pr\u00e1ticas dependem de regulamenta\u00e7\u00e3o que o CNCS ter\u00e1 de produzir, nomeadamente quanto aos requisitos t\u00e9cnicos e \u00e0 plataforma de notifica\u00e7\u00e3o.<\/p>\n Para preparar o terreno, o CNCS lan\u00e7ou j\u00e1 o \u201cRoteiro NIS2\u201d, um programa de 60 ac\u00e7\u00f5es de forma\u00e7\u00e3o gratuitas que percorrer\u00e1 o pa\u00eds para explicar \u00e0s empresas e organismos p\u00fablicos o que se espera deles.<\/p>\n","protected":false},"excerpt":{"rendered":"Com a publica\u00e7\u00e3o, esta quinta-feira, do Decreto-Lei n.\u00ba 125\/2025, Portugal transp\u00f5e finalmente a Directiva (UE) 2022\/2555, conhecida nos…\n","protected":false},"author":2,"featured_media":175611,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[10],"tags":[24643,27,28,586,246,15,16,36449,14,25,26,21,22,12,13,19,20,32,23,24,33,6830,110,27807,17,18,29,30,31],"class_list":{"0":"post-175610","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-portugal","8":"tag-administracao-publica","9":"tag-breaking-news","10":"tag-breakingnews","11":"tag-ciberseguranca","12":"tag-enter","13":"tag-featured-news","14":"tag-featurednews","15":"tag-gabinete-nacional-de-seguranca","16":"tag-headlines","17":"tag-latest-news","18":"tag-latestnews","19":"tag-main-news","20":"tag-mainnews","21":"tag-news","22":"tag-noticias","23":"tag-noticias-principais","24":"tag-noticiasprincipais","25":"tag-portugal","26":"tag-principais-noticias","27":"tag-principaisnoticias","28":"tag-pt","29":"tag-rgpd","30":"tag-tecnologia","31":"tag-tecnologias-de-informacao","32":"tag-top-stories","33":"tag-topstories","34":"tag-ultimas","35":"tag-ultimas-noticias","36":"tag-ultimasnoticias"},"share_on_mastodon":{"url":"","error":"Validation failed: Text character limit of 500 exceeded"},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/pt\/wp-json\/wp\/v2\/posts\/175610","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/pt\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/pt\/wp-json\/wp\/v2\/comments?post=175610"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/pt\/wp-json\/wp\/v2\/posts\/175610\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/pt\/wp-json\/wp\/v2\/media\/175611"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/pt\/wp-json\/wp\/v2\/media?parent=175610"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/pt\/wp-json\/wp\/v2\/categories?post=175610"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/pt\/wp-json\/wp\/v2\/tags?post=175610"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\n
\n <\/p>\n
\n
\n <\/p>\n