Atenção, o seu browser está desactualizado.
Para ter uma boa experiência de navegação recomendamos que utilize uma versão actualizada do Chrome, Firefox, Safari, Opera ou Internet Explorer.
Pesquisa Avançada

Novo Regime Jurídico da Cibersegurança: Diretiva NIS 2

PUBLICAÇÕES SÉRVULO 12 Dez 2025

No passado dia 4 de dezembro foi publicado o Decreto-Lei n.º 125/2025, que aprova o novo regime jurídico da cibersegurança, transpondo para a ordem jurídica interna a Diretiva (UE) 2022/2555, mais conhecida como Diretiva NIS 2, Este diploma substitui o regime anterior e estabelece um quadro normativo abrangente para garantir um nível elevado e comum de cibersegurança na União Europeia.

O novo regime assenta em instrumentos estratégicos como:

  • Estratégia Nacional de Segurança do Ciberespaço; o
  • Plano Nacional de Resposta a Crises e Incidentes de Cibersegurança;
  • Quadro Nacional de Referência para a Cibersegurança.

Abrange entidades públicas e privadas que operem em setores críticos ou relevantes, incluindo operadores de serviços essenciais, prestadores de serviços digitais e infraestruturas críticas, bem como a Administração Pública, ficando excluídas as entidades ligadas à defesa, segurança nacional, investigação criminal e serviços de informações.

As entidades são classificadas como essenciais, importantes ou públicas relevantes:

  • Entidades essenciais são aquelas dos setores críticos (Anexo I). Entidades essenciais são aquelas dos setores críticos, que incluem: Energia, Transportes, Setor Bancário, Infraestruturas do mercado financeiro, Saúde, Água Potável, Águas Residuais, Infraestruturas Digitais, Gestão de serviços TIC e Espaço. Outros setores críticos abrangem serviços postais e de estafeta, gestão de resíduos, produção, fabrico e distribuição de produtos químicos, produção, transformação e distribuição de produtos alimentares, indústria transformadora, prestação de serviços digitais e investigação.
  • As entidades importantes são aquelas dos Anexos I e II que não se qualificam como essenciais, mas podem ser identificadas como importantes pelo seu grau de risco, dimensão e impacto potencial dos incidentes.
  • Por fim, as entidades públicas relevantes são entidades públicas não classificadas como essenciais ou importantes, divididas em dois grupos: Grupo A (mais de 250 trabalhadores ou acima dos limiares de PME) e Grupo B (entre 50 e 249 trabalhadores ou médias empresas).

O novo regime impõe às entidades abrangidas um conjunto exigente de medidas, incluindo a implementação de sistemas de gestão de risco, avaliações periódicas, relatórios anuais, adoção de medidas técnicas e organizativas adequadas e designação de um responsável pela cibersegurança.

O diploma prevê ainda a notificação obrigatória de incidentes significativos através de plataforma eletrónica, devendo a comunicação inicial ser em 24 horas e atualização sobre o impacto e relatório final em 30 dias.

O Centro Nacional de Cibersegurança (CNCS) é reforçado como autoridade nacional de cibersegurança, destacando-se ainda o estabelecimento de autoridades de supervisão “setoriais” e “especiais”, que exercem supervisão sobre setores específicos da economia.

O regime sancionatório apresenta um elevado grau de exigência, prevendo para as contraordenações muito graves multas que podem atingir 10 milhões de euros

O Decreto-Lei entra em vigor 120 dias após a sua publicação, ou seja, em abril de 2026, embora com algumas exceções.

Este novo quadro legal constitui um passo decisivo para reforçar a resiliência digital e promover uma cultura preventiva e de resposta eficaz. Para se prepararem, as entidades abrangidas por esta legislação devem começar por identificar o enquadramento regulatório aplicável e avaliar as medidas necessárias para garantir conformidade.

Sara Ti | sct@servulo.com

download PDF
Expertise Relacionadas
TMT
Advogados Relacionados
Sara Ti