O Novo Regime da Cibersegurança
em Portugal
O Decreto-Lei n.º 125/2025 transpõe a Diretiva NIS2 para o ordenamento jurídico português, estabelecendo obrigações vinculativas para milhares de organizações e responsabilizando diretamente os órgãos de gestão pelo cumprimento das medidas de cibersegurança.
18
9
10M€
Contagem Regressiva para a Entrada em Vigor
O regime entra em aplicação a 3 de abril de 2026
Day(s)
:
Hour(s)
:
Minute(s)
:
Second(s)
Período de carência de coimas: 12 meses para entidades com procedimento interno de adaptação.
Decreto-Lei n.º 125/2025 – O Novo Quadro Jurídico da Cibersegurança
Publicado no Diário da República n.º 234/2025, Série I, de 4 de dezembro de 2025, este diploma estabelece o novo Regime Jurídico da Segurança do Ciberespaço, transpondo para o ordenamento jurídico português a Diretiva (UE) 2022/2555 relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União Europeia.
Mudança de Paradigma
A cibersegurança deixa de ser uma responsabilidade exclusivamente técnica e passa a constituir uma obrigação direta dos órgãos de gestão, direção e administração das entidades abrangidas, com responsabilização pessoal por dolo ou culpa grave.
O Centro Nacional de Cibersegurança assume funções reforçadas como autoridade nacional de cibersegurança, sendo complementado por autoridades de supervisão setoriais e especiais que garantem a estabilidade na supervisão de cada setor abrangido.
Setores e Organizações Impactados
O Decreto-Lei n.º 125/2025 aplica-se a entidades essenciais, importantes e públicas relevantes que operam em setores de importância crítica ou outros setores críticos definidos nos Anexos I e II do diploma.
Energia
Operadores de eletricidade, gás, petróleo, sistemas de aquecimento e arrefecimento urbano, incluindo produtores, transportadores e distribuidores.
Essencial
Transportes
Operadores de transporte aéreo, ferroviário, marítimo e rodoviário, incluindo gestores de infraestruturas e prestadores de serviços de mobilidade.
Essencial
Setor Bancário e Financeiro
Instituições de crédito, operadores de infraestruturas de mercados financeiros e entidades sujeitas ao Regulamento DORA.
Essencial
Saúde
Prestadores de cuidados de saúde, incluindo hospitais, clínicas, laboratórios e fabricantes de dispositivos médicos críticos.
Essencial
Água Potável e Residuais
Fornecedores e distribuidores de água destinada ao consumo humano e operadores de recolha e tratamento de águas residuais.
Essencial
Infraestruturas Digitais
Fornecedores de redes de comunicações eletrónicas, serviços de centros de dados, DNS, registos de nomes de domínio e serviços de computação em nuvem.
Essencial
Serviços Postais
Prestadores de serviços postais e de estafeta com impacto significativo no território nacional.
Importante
Indústria Transformadora
Fabricantes de dispositivos médicos, equipamentos informáticos, produtos eletrónicos, equipamento elétrico e veículos a motor.
Importante
Produtos Químicos e Alimentares
Empresas de produção, fabrico e distribuição de produtos químicos e do setor alimentar com atividade de distribuição por grosso ou transformação industrial.
Importante
Dores e Necessidades de Transformação
A transposição da Diretiva NIS2 impõe transformações profundas na governação e nas operações das organizações abrangidas, exigindo uma resposta estruturada e atempada.
Designação do Responsável de Cibersegurança
As entidades devem designar um Responsável de Cibersegurança com competências técnicas adequadas, comunicando à autoridade competente no prazo de 20 dias úteis após a entrada em vigor do regime. Esta função exige um perfil que combine conhecimento técnico, capacidade de gestão de risco e competências de articulação com os órgãos de direção.
Elaboração do Plano de Segurança Organizacional
O regime exige a elaboração de um Plano de Segurança que documente as medidas técnicas, operacionais e organizativas adotadas, alinhado com a matriz de risco aplicável ao setor. Este documento constitui a base para a evidenciação do cumprimento regulatório perante as autoridades de supervisão.
Implementação das Nove Áreas de Medidas Obrigatórias
O Artigo 27.º estabelece nove áreas de medidas obrigatórias, incluindo tratamento de incidentes, continuidade de negócio, segurança da cadeia de abastecimento, gestão de vulnerabilidades, formação obrigatória e utilização de autenticação multifator. A implementação exige uma abordagem sistémica e documentada.
Gestão de Riscos na Cadeia de Fornecimento
O Artigo 28.º impõe a avaliação das vulnerabilidades específicas de cada fornecedor direto, das práticas de cibersegurança dos prestadores de serviços e da qualidade global dos produtos na componente de cibersegurança. Esta obrigação exige uma revisão profunda das relações contratuais e dos processos de due diligence.
Procedimentos de Notificação de Incidentes
As entidades passam a ter obrigação de notificar incidentes significativos à autoridade de cibersegurança competente, com prazos específicos e requisitos de informação detalhados. A ausência de notificação constitui presunção de infração grave nos termos do Artigo 66.º.
Formação Obrigatória dos Órgãos de Gestão
O Artigo 25.º exige que os órgãos de gestão, direção e administração assegurem a realização periódica de ações de formação em cibersegurança, promovendo uma cultura de gestão interna sobre práticas de gestão de riscos. Esta formação deve abranger tanto os titulares dos órgãos máximos como os trabalhadores.
Cronograma Regulatório
O período entre a publicação da lei e a aplicação plena do regime constitui uma janela de oportunidade crítica para as organizações iniciarem o processo de adequação.
Responsabilização: Institucional e Pessoal
O novo regime estabelece um duplo nível de responsabilização que abrange tanto a entidade enquanto pessoa coletiva como os titulares dos seus órgãos de gestão, direção e administração a título pessoal.
Responsabilidade Institucional
As entidades essenciais, importantes e públicas relevantes respondem pelo incumprimento das obrigações previstas no Decreto-Lei n.º 125/2025, estando sujeitas a coimas que variam em função da categoria da entidade e da gravidade da infração.
Aprovação das medidas de gestão dos riscos de cibersegurança adotadas em conformidade com o Artigo 27.º.
Supervisão da aplicação das medidas de cibersegurança e garantia do cumprimento das medidas de supervisão e execução.
Realização periódica de ações de formação em cibersegurança para órgãos de gestão e trabalhadores.
Responsabilidade Pessoal
Nos termos do n.º 2 do Artigo 25.º, os titulares dos órgãos de gestão, direção e administração podem responder pessoalmente por ação ou omissão, com dolo ou culpa grave, pelas infrações previstas no diploma. Esta responsabilidade não pode ser delegada.
Coimas pessoais até €125 000 para pessoas singulares em contraordenações muito graves praticadas por entidades essenciais.
Sanção acessória de interdição temporária do exercício das funções de gestão, direção ou administração.
A responsabilidade e poderes para cumprimento das obrigações não podem ser delegados, exceto noutro titular de órgão de gestão.
Coimas para Entidades Essenciais
Contraordenações muito graves: até €10 000 000 ou 2% do volume de negócios anual mundial, consoante o montante mais elevado.
Soluções Profissionais DNIS2
Soluções de Conformidade Regulatória
Desenvolvemos um ecossistema de soluções e serviços especializados na transposição da Diretiva NIS2 para apoiar as organizações portuguesas no cumprimento das suas obrigações legais.
SP-01
Avaliação Rápida de Impacto
Diagnóstico inicial para determinar se a sua organização está abrangida pelo novo regime e identificar a categoria de entidade aplicável, com avaliação preliminar das obrigações decorrentes.
Desde Gratuito [online].
SP-02
Gap Analysis Estruturada
Análise detalhada do nível de conformidade atual da organização face às nove áreas de medidas obrigatórias do Artigo 27.º, com identificação de lacunas e plano de ação priorizado.
Desde €1500 [+IVA].
SP-03
Formação Certificada
Programa de formação profissional em Cibersegurança e Compliance Regulamentar, com certificação para Responsáveis de Cibersegurança e equipas técnicas, cumprindo os requisitos do Artigo 25.º.
Desde €990 [por participante].
SP-04
Kit de Conformidade Documental
Conjunto completo de templates e modelos documentais para elaboração do Plano de Segurança, políticas de cibersegurança, procedimentos de resposta a incidentes e evidenciação de controlos.
Desde €2500 [licença anual].
SP-05
Responsável de Cibersegurança Externo
Serviço de designação de Responsável de Cibersegurança as-a-Service, com profissional qualificado que assegura o cumprimento das funções previstas no Artigo 31.º do Decreto-Lei.
Desde €750 [/mês].
SP-06
Assessoria Regulatória Contínua
Acompanhamento especializado durante todo o período de transição, com suporte técnico, atualização regulatória, preparação para auditorias e interface com as autoridades de supervisão.
Sob consulta Personalizado
Soluções e Serviços DNIS2
Aceda ao catálogo completo de soluções profissionais DNIS2 para a conformidade com o Decreto-Lei n.º 125/2025, incluindo avaliações, formação e assessoria.
Plano NIS2 em Portugal
Consulte o plano de atividades de conformidade para 2026, com cronograma detalhado de implementação das medidas obrigatórias e marcos regulatórios.
Inicie o Seu Percurso de Conformidade
O período de 120 dias até à entrada em vigor do regime e os 12 meses subsequentes de carência de coimas constituem uma janela de oportunidade para estruturar o processo de adaptação da sua organização ao novo quadro regulatório.