← Todos os temas / NIS2
🛡️ Cibersegurança

NIS2 Directive ✦ Visão Geral Gratuita

A Diretiva SRI 2 (NIS2) alarga significativamente o âmbito da lei europeia de cibersegurança. Se a sua organização opera em um dos 18 setores abrangidos — e a maioria das empresas médias e grandes cumpre esse critério — tem obrigações legais que não eram exigidas ao abrigo da Diretiva SRI original.

Directive (EU) 2022/2555
Transposta em Portugal: DL 125/2025 (em vigor a 3 de abril de 2026)
18 setores abrangidos
Verifique a sua prontidão NIS2 20 questões em 5 áreas de conformidade. Análise de lacunas gratuita por IA entregue na sua caixa de correio.
Verificação de Prontidão NIS2 →
O que é?

A Diretiva de Segurança das Redes e Sistemas de Informação 2

A Diretiva NIS2 (Diretiva (UE) 2022/2555) é o quadro jurídico atualizado da UE para a cibersegurança nos setores críticos e importantes. Substitui a Diretiva SRI original (2016) e entrou em vigor em janeiro de 2023, com prazo de transposição de 17 de outubro de 2024 para os Estados-membros incorporarem na lei nacional. A NIS2 representa uma expansão significativa em âmbito, obrigações e aplicação em comparação com a predecessora.

Enquanto a Diretiva SRI original abrangia uma lista restrita de "operadores de serviços essenciais" e "prestadores de serviços digitais", a NIS2 alarga substancialmente o âmbito. Abrange agora entidades em 18 setores, introduz um limiar baseado na dimensão (empresas com 50+ trabalhadores ou €10M+ de volume de negócios a operar em setores abrangidos ficam automaticamente em âmbito) e reforça drasticamente o regime de aplicação com coimas até €10 milhões ou 2% do volume de negócios global para entidades essenciais.

Uma mudança fundamental na NIS2 é a ênfase na responsabilidade da gestão. A gestão de topo — incluindo conselhos de administração e quadros executivos — pode ser responsabilizada pessoalmente por falhas de cibersegurança. São obrigados a aprovar medidas de cibersegurança, supervisionar a sua implementação e receber formação regular sobre risco cibernético.

Quem está em âmbito?

Entidades essenciais e entidades importantes

A NIS2 divide as organizações em âmbito em dois níveis — Entidades Essenciais (EE) e Entidades Importantes (EI) — que enfrentam as mesmas obrigações fundamentais mas regimes de supervisão e aplicação diferentes.

  • Entidades Essenciais incluem energia, transportes, banca, infraestrutura de mercados financeiros, saúde, água potável, águas residuais, infraestrutura digital (IXPs, DNS, TLDs, cloud, centros de dados), gestão de serviços TIC, espaço e administração pública. As grandes empresas (250+ trabalhadores ou €50M+ de volume de negócios) nestes setores são automaticamente Essenciais.
  • Entidades Importantes abrangem serviços postais e de correio, gestão de resíduos, químicos, alimentação, fabrico de produtos críticos (dispositivos médicos, computadores, veículos), prestadores digitais (mercados online, motores de busca, redes sociais) e organizações de investigação. As empresas médias (50+ trabalhadores ou €10M+ de volume de negócios) nestes setores qualificam.

Algumas entidades estão em âmbito independentemente da dimensão — incluindo fornecedores de redes públicas de comunicações eletrónicas, prestadores de serviços de confiança qualificados, registos de domínios de topo e entidades identificadas pelos Estados-membros como críticas.

Obrigações fundamentais

O que a NIS2 exige da sua organização

O Artigo 21.º da NIS2 exige que as entidades em âmbito implementem medidas de cibersegurança proporcionadas e baseadas no risco, abrangendo pelo menos as seguintes áreas:

Políticas de Análise de Risco

Manter políticas documentadas para analisar riscos de segurança dos sistemas de informação, incluindo inventário de ativos, modelagem de ameaças e avaliações de risco regulares.

Gestão de Incidentes

Manter procedimentos documentados de resposta a incidentes cobrindo deteção, classificação, contenção, erradicação, recuperação e revisão pós-incidente.

Continuidade de Negócio e Gestão de Crises

Manter sistemas de backup, capacidades de recuperação de desastres e procedimentos de gestão de crises para garantir a continuidade operacional durante e após incidentes significativos.

Segurança da Cadeia de Fornecimento

Avaliar e gerir os riscos de cibersegurança decorrentes das relações com fornecedores e prestadores de serviços diretos, incluindo requisitos de segurança nos contratos de aquisição.

Aquisição e Desenvolvimento Seguros

Aplicar princípios de segurança desde a conceção na aquisição, desenvolvimento e manutenção de redes e sistemas de informação, incluindo políticas de divulgação de vulnerabilidades.

Controlo de Acesso e Criptografia

Implementar políticas de controlo de acesso baseadas no princípio do mínimo privilégio, autenticação multifator e comunicações encriptadas para sistemas e dados sensíveis.

Notificação de incidentes

Prazos rigorosos para notificação às autoridades

A NIS2 introduz um processo de notificação de incidentes em três fases para incidentes significativos — definidos como aqueles com impacto substancial na prestação de serviços ou que afetam outros Estados-membros. Os incidentes significativos devem ser comunicados à CSIRT nacional ou à autoridade competente nos seguintes prazos:

24 horas
Alerta precoce

Alerta Precoce

Um alerta precoce inicial deve ser submetido nas 24 horas após tomar conhecimento de um incidente significativo. Fornece uma notificação básica de que ocorreu ou é suspeito um incidente, incluindo se pode ser resultado de ação ilícita ou maliciosa.

72 horas
Notificação do incidente

Notificação do Incidente

Deve seguir-se uma notificação mais detalhada no prazo de 72 horas, incluindo uma avaliação inicial da gravidade e impacto do incidente e os indicadores de comprometimento identificados nessa fase.

1 mês
Relatório final

Relatório Final

Um relatório final é exigido no prazo de um mês após a notificação do incidente. Deve incluir uma descrição da ameaça, análise de causa raiz, medidas tomadas, impacto transfronteiriço e quaisquer riscos em curso ou residuais.

Aplicação e sanções

Coimas significativas e responsabilidade pessoal

A NIS2 estabelece níveis mínimos de coimas que os Estados-membros devem implementar. Os montantes efetivos são definidos pela lei nacional de cada Estado-membro, mas devem ser pelo menos:

  • Entidades Essenciais: até €10 milhões ou 2% do volume de negócios anual mundial total — o que for mais elevado.
  • Entidades Importantes: até €7 milhões ou 1,4% do volume de negócios anual mundial total — o que for mais elevado.
  • Responsabilidade da gestão: Os Estados-membros devem garantir que a gestão de topo possa ser responsabilizada pessoalmente por falhas de cibersegurança. As autoridades competentes podem proibir temporariamente os gestores de exercer funções de liderança.

As entidades essenciais estão sujeitas a supervisão proativa (ex-ante) — as autoridades podem realizar auditorias e inspeções sem evidência prévia de incumprimento. As entidades importantes estão sujeitas a supervisão reativa (ex-post) — as auditorias são normalmente desencadeadas por evidência de incumprimento ou incidentes.

Fontes e legislação primária

NIS2 Directive — Directive (EU) 2022/2555 ↗ Art. 20–21 (security obligations) · Art. 23 (incident reporting) · Art. 24 (ICT registries)
Decreto-Lei n.º 125/2025 · DR ↗ Portugal, transposição da NIS2, em vigor a 3 de abril de 2026 (última alteração)
Lei n.º 59/2025 · DR ↗ Portugal, autorização legislativa para o DL 125/2025
CNCS · Centro Nacional de Cibersegurança ↗ Autoridade portuguesa de cibersegurança
European Commission · NIS2 policy page ↗

O prazo da NIS2 para transposição para direito nacional era outubro de 2024. Portugal transpôs a NIS2 através do Decreto-Lei n.º 125/2025 (DR, 4 de dezembro de 2025), ao abrigo da autorização da Lei n.º 59/2025, tendo entrado em vigor a 3 de abril de 2026. O diploma estabelece o Regime Jurídico da Cibersegurança Nacional e confirma o Centro Nacional de Cibersegurança (CNCS) como a autoridade nacional de cibersegurança. As transposições noutros Estados-Membros podem variar quanto a detalhes de aplicação e limiares setoriais.