← Todos os temas / NIS2
🛡️ Cibersegurança

NIS2 Directive ✦ Visão Geral Gratuita

A Diretiva SRI 2 (NIS2) alarga significativamente o âmbito da lei europeia de cibersegurança. Se a sua organização opera em um dos 18 setores abrangidos, e a maioria das empresas médias e grandes cumpre esse critério, tem obrigações legais que não eram exigidas ao abrigo da Diretiva SRI original.

Directive (EU) 2022/2555
Transposta em Portugal: DL 125/2025 (em vigor a 3 de abril de 2026)
18 setores abrangidos
Verifique a sua prontidão NIS2 20 questões em 5 áreas de conformidade. Análise de lacunas gratuita por IA entregue na sua caixa de correio.
Verificação de Prontidão NIS2 →
O que é?

A Diretiva de Segurança das Redes e Sistemas de Informação 2

A Diretiva NIS2 (Diretiva (UE) 2022/2555) é o quadro jurídico atualizado da UE para a cibersegurança nos setores críticos e importantes. Substitui a Diretiva SRI original (2016) e entrou em vigor em janeiro de 2023, com prazo de transposição de 17 de outubro de 2024 para os Estados-membros incorporarem na lei nacional. A NIS2 representa uma expansão significativa em âmbito, obrigações e aplicação em comparação com a predecessora.

Enquanto a Diretiva SRI original abrangia uma lista restrita de "operadores de serviços essenciais" e "prestadores de serviços digitais", a NIS2 alarga substancialmente o âmbito. Abrange agora entidades em 18 setores, introduz um limiar baseado na dimensão (empresas com 50+ trabalhadores ou €10M+ de volume de negócios a operar em setores abrangidos ficam automaticamente em âmbito) e reforça drasticamente o regime de aplicação com coimas até €10 milhões ou 2% do volume de negócios global para entidades essenciais.

Uma mudança fundamental na NIS2 é a ênfase na responsabilidade da gestão. A gestão de topo, incluindo conselhos de administração e quadros executivos, pode ser responsabilizada pessoalmente por falhas de cibersegurança. São obrigados a aprovar medidas de cibersegurança, supervisionar a sua implementação e receber formação regular sobre risco cibernético.

Quem está em âmbito?

Entidades essenciais e entidades importantes

A NIS2 divide as organizações em âmbito em dois níveis, Entidades Essenciais (EE) e Entidades Importantes (EI), que enfrentam as mesmas obrigações fundamentais mas regimes de supervisão e aplicação diferentes.

  • Entidades Essenciais incluem energia, transportes, banca, infraestrutura de mercados financeiros, saúde, água potável, águas residuais, infraestrutura digital (IXPs, DNS, TLDs, cloud, centros de dados), gestão de serviços TIC, espaço e administração pública. As grandes empresas (250+ trabalhadores ou €50M+ de volume de negócios) nestes setores são automaticamente Essenciais.
  • Entidades Importantes abrangem serviços postais e de correio, gestão de resíduos, químicos, alimentação, fabrico de produtos críticos (dispositivos médicos, computadores, veículos), prestadores digitais (mercados online, motores de busca, redes sociais) e organizações de investigação. As empresas médias (50+ trabalhadores ou €10M+ de volume de negócios) nestes setores qualificam.

Algumas entidades estão em âmbito independentemente da dimensão, incluindo fornecedores de redes públicas de comunicações eletrónicas, prestadores de serviços de confiança qualificados, registos de domínios de topo e entidades identificadas pelos Estados-membros como críticas.

Obrigações fundamentais

O que a NIS2 exige da sua organização

O Artigo 21.º da NIS2 exige que as entidades em âmbito implementem medidas de cibersegurança proporcionadas e baseadas no risco, abrangendo pelo menos as seguintes áreas:

Políticas de Análise de Risco

Manter políticas documentadas para analisar riscos de segurança dos sistemas de informação, incluindo inventário de ativos, modelagem de ameaças e avaliações de risco regulares.

Gestão de Incidentes

Manter procedimentos documentados de resposta a incidentes cobrindo deteção, classificação, contenção, erradicação, recuperação e revisão pós-incidente.

Continuidade de Negócio e Gestão de Crises

Manter sistemas de backup, capacidades de recuperação de desastres e procedimentos de gestão de crises para garantir a continuidade operacional durante e após incidentes significativos.

Segurança da Cadeia de Fornecimento

Avaliar e gerir os riscos de cibersegurança decorrentes das relações com fornecedores e prestadores de serviços diretos, incluindo requisitos de segurança nos contratos de aquisição.

Aquisição e Desenvolvimento Seguros

Aplicar princípios de segurança desde a conceção na aquisição, desenvolvimento e manutenção de redes e sistemas de informação, incluindo políticas de divulgação de vulnerabilidades.

Controlo de Acesso e Criptografia

Implementar políticas de controlo de acesso baseadas no princípio do mínimo privilégio, autenticação multifator e comunicações encriptadas para sistemas e dados sensíveis.

Notificação de incidentes

Prazos rigorosos para notificação às autoridades

A NIS2 introduz um processo de notificação de incidentes em três fases para incidentes significativos, definidos como aqueles com impacto substancial na prestação de serviços ou que afetam outros Estados-membros. Os incidentes significativos devem ser comunicados à CSIRT nacional ou à autoridade competente nos seguintes prazos:

24 horas
Alerta precoce

Alerta Precoce

Um alerta precoce inicial deve ser submetido nas 24 horas após tomar conhecimento de um incidente significativo. Fornece uma notificação básica de que ocorreu ou é suspeito um incidente, incluindo se pode ser resultado de ação ilícita ou maliciosa.

72 horas
Notificação do incidente

Notificação do Incidente

Deve seguir-se uma notificação mais detalhada no prazo de 72 horas, incluindo uma avaliação inicial da gravidade e impacto do incidente e os indicadores de comprometimento identificados nessa fase.

1 mês
Relatório final

Relatório Final

Um relatório final é exigido no prazo de um mês após a notificação do incidente. Deve incluir uma descrição da ameaça, análise de causa raiz, medidas tomadas, impacto transfronteiriço e quaisquer riscos em curso ou residuais.

Aplicação e sanções

Coimas significativas e responsabilidade pessoal

A NIS2 estabelece níveis mínimos de coimas que os Estados-membros devem implementar. Os montantes efetivos são definidos pela lei nacional de cada Estado-membro, mas devem ser pelo menos:

  • Entidades Essenciais: até €10 milhões ou 2% do volume de negócios anual mundial total, o que for mais elevado.
  • Entidades Importantes: até €7 milhões ou 1,4% do volume de negócios anual mundial total, o que for mais elevado.
  • Responsabilidade da gestão: Os Estados-membros devem garantir que a gestão de topo possa ser responsabilizada pessoalmente por falhas de cibersegurança. As autoridades competentes podem proibir temporariamente os gestores de exercer funções de liderança.

As entidades essenciais estão sujeitas a supervisão proativa (ex-ante), as autoridades podem realizar auditorias e inspeções sem evidência prévia de incumprimento. As entidades importantes estão sujeitas a supervisão reativa (ex-post), as auditorias são normalmente desencadeadas por evidência de incumprimento ou incidentes.

Fontes e legislação primária

NIS2 Directive, Directive (EU) 2022/2555 ↗ Art. 20–21 (security obligations) · Art. 23 (incident reporting) · Art. 24 (ICT registries)
Decreto-Lei n.º 125/2025 · DR ↗ Portugal, transposição da NIS2, em vigor a 3 de abril de 2026 (última alteração)
Lei n.º 59/2025 · DR ↗ Portugal, autorização legislativa para o DL 125/2025
CNCS · Centro Nacional de Cibersegurança ↗ Autoridade portuguesa de cibersegurança
European Commission · NIS2 policy page ↗

O prazo da NIS2 para transposição para direito nacional era outubro de 2024. Portugal transpôs a NIS2 através do Decreto-Lei n.º 125/2025 (DR, 4 de dezembro de 2025), ao abrigo da autorização da Lei n.º 59/2025, tendo entrado em vigor a 3 de abril de 2026. O diploma estabelece o Regime Jurídico da Cibersegurança Nacional e confirma o Centro Nacional de Cibersegurança (CNCS) como a autoridade nacional de cibersegurança. As transposições noutros Estados-Membros podem variar quanto a detalhes de aplicação e limiares setoriais.