Guia Segurança

NIS2 em Portugal: O Que Muda Para a Sua PME

A Diretiva NIS2 (Network and Information Systems 2) entrou em vigor em Portugal a 3 de abril de 2026, com a publicação do Decreto-Lei n.º 125/2025. Para muitas PMEs portuguesas, esta é a primeira vez que a cibersegurança deixa de ser uma opção e passa a ser uma obrigação legal. Se tem uma empresa e ainda não ouviu falar da NIS2 Portugal PME, este guia é para si.

Não precisa de ser técnico para perceber o que muda. A ideia é simples: a União Europeia decidiu que a cibersegurança é tão importante que não pode ficar entregue ao bom senso de cada empresa. É preciso regras claras, obrigações definidas e consequências reais para quem não as cumprir.

🛡️ Preocupado com a cibersegurança da sua empresa?
Descarregue o nosso guia gratuito e saiba por onde começar.
Aceder ao Guia Gratuito →

O que é a Diretiva NIS2?

A NIS2 (Diretiva (UE) 2022/2555) é a segunda versão da diretiva europeia sobre segurança das redes e sistemas de informação. O objetivo é aumentar o nível de cibersegurança em toda a União Europeia, obrigando as organizações mais críticas a adotar medidas concretas de proteção.

A primeira versão (NIS1) já existia desde 2016, mas era muito limitada — abrangia apenas setores como energia, transportes e banca. A NIS2 vai muito mais longe: cobre 18 setores da economia e introduz obrigações mais exigentes, com multas que podem chegar a 10 milhões de euros.

Em Portugal, a transposição foi feita através do Decreto-Lei n.º 125/2025, publicado em dezembro de 2025. A lei entrou em vigor a 3 de abril de 2026 — ou seja, já está em vigor.

A NIS2 já está em vigor em Portugal?

Sim. Desde o dia 3 de abril de 2026, o Decreto-Lei n.º 125/2025 está em vigor em Portugal. As empresas abrangidas já têm obrigações legais activas.

A boa notícia é que existe um período de adaptação: as empresas que demonstrarem boa-fé e esforço genuíno de conformidade não serão imediatamente sancionadas com as coimas máximas. Mas isso não significa que possa ignorar a lei — o prazo para nomear um responsável de cibersegurança junto do CNCS é 4 de maio de 2026 (20 dias úteis após a entrada em vigor).

A entidade responsável pela supervisão em Portugal é o CNCS — Centro Nacional de Cibersegurança, que pode consultar em cncs.gov.pt/diretiva-nis-2. O CNCS lançou também a plataforma MyCiber (myciber.gov.pt) para registo de entidades e verificação de conformidade.

A minha PME é abrangida pela NIS2?

Esta é a pergunta que mais PMEs portuguesas fazem. A resposta não é tão simples como “se for grande, é abrangida” — depende do setor em que opera e da dimensão da sua empresa.

Regra geral: para ser abrangida pela NIS2 Portugal PME, a sua empresa tem de operar num dos 18 setores definidos na lei E ser classificada como média ou grande empresa — isto é, ter 50 ou mais colaboradores E faturar 10 milhões de euros ou mais por ano.

Os 18 setores incluem: energia, transportes, banca, infraestruturas de mercados financeiros, saúde, água potável, águas residuais, infraestruturas digitais, gestão de serviços TIC, espaço, serviços postais, gestão de resíduos, produção de produtos químicos, produção alimentar, indústria transformadora, prestadores de serviços digitais e investigação.

Atenção às exceções — estas empresas são abrangidas independentemente da sua dimensão:

  • Prestadores de serviços de DNS, registos de nomes de domínio e TLD
  • Fornecedores de serviços de cloud e data centers
  • Prestadores de serviços de segurança geridos (MSP, MSSP)
  • Empresas que prestam serviços críticos exclusivos num Estado-membro

E mesmo que a sua PME não seja diretamente abrangida, pode ser afetada indiretamente se for fornecedora de uma empresa que o é — a NIS2 exige que as entidades abrangidas garantam a segurança de toda a sua cadeia de fornecimento. Isto significa que os seus clientes empresariais podem pedir-lhe garantias sobre a sua segurança informática.

O que tenho de fazer para cumprir a NIS2?

Se a sua empresa está abrangida, as obrigações são concretas. Vamos explicar em linguagem simples o que a lei exige.

1. Nomear um Responsável de Cibersegurança
Tem de designar uma pessoa responsável pela cibersegurança da organização e notificar o CNCS. O prazo para empresas já em atividade é 4 de maio de 2026. Esta pessoa não precisa de ser um técnico especialista a tempo inteiro — pode ser um administrador ou gestor — mas tem de ter competências adequadas e formação na área.

2. Registar a empresa na plataforma MyCiber
O CNCS disponibilizou a plataforma em myciber.gov.pt para as entidades abrangidas se registarem. As empresas já em atividade têm 60 dias após a disponibilização da plataforma para completar o registo.

3. Implementar medidas técnicas e organizacionais de cibersegurança
A NIS2 define no seu Artigo 21 um conjunto de medidas obrigatórias. Em linguagem simples, estas medidas incluem:

  • Política de cibersegurança — ter regras escritas sobre como proteger os sistemas da empresa
  • Gestão de incidentes — saber o que fazer quando algo corre mal (plano de resposta a incidentes)
  • Continuidade de negócio — garantir que a empresa consegue continuar a operar durante e após um ataque, incluindo backups regulares e planos de recuperação
  • Segurança da cadeia de fornecimento — verificar e garantir a segurança dos seus fornecedores de TI e serviços externos
  • Controlo de acessos e autenticação — definir quem tem acesso a quê, e proteger esses acessos com autenticação forte
  • Encriptação — proteger os dados sensíveis da empresa e dos seus clientes
  • Segurança dos recursos humanos — formação obrigatória para colaboradores e administração sobre riscos de cibersegurança
  • Gestão de ativos — inventariar os equipamentos e sistemas da empresa
  • Segurança física — proteger os espaços físicos onde estão os servidores e equipamentos críticos

4. Reportar incidentes significativos ao CNCS
Se a sua empresa sofrer um ciberataque significativo, tem de o reportar ao CNCS em 24 horas (alerta inicial) e enviar um relatório detalhado em 72 horas. Um incidente é considerado “significativo” se causar perturbação grave nos serviços ou prejuízo financeiro relevante.

5. Formação obrigatória para a administração e colaboradores
Os membros da administração e os colaboradores devem receber formação regular sobre riscos de cibersegurança. Não é suficiente ter um técnico de TI que “sabe destas coisas” — toda a organização precisa de conhecimentos básicos sobre como identificar e evitar ameaças.

Se a sua empresa já sofreu um incidente e não sabe como reagir, leia também o nosso artigo sobre o que fazer se for hackeado — muitos dos passos de resposta a incidentes estão alinhados com o que a NIS2 exige em matéria de gestão de cibersegurança.

Quais as consequências de não cumprir a NIS2?

As sanções previstas na NIS2 são substancialmente mais pesadas do que qualquer legislação anterior em Portugal. Ignorar a lei pode custar muito caro à sua empresa.

Para entidades essenciais (setores mais críticos como energia, saúde e transportes), as coimas podem chegar a 10 milhões de euros ou 2% do volume de negócios anual global — o que for mais elevado.

Para entidades importantes (setores de menor criticidade), as coimas podem chegar a 7 milhões de euros ou 1,4% do volume de negócios anual global.

Mas a grande novidade da NIS2 que distingue esta lei da legislação anterior é a responsabilização pessoal dos administradores. Isto significa que o gerente ou administrador da empresa pode sofrer consequências pessoais — não apenas a empresa — se ficar provado que ignorou as suas responsabilidades em matéria de cibersegurança. A lei é explícita: os órgãos de gestão têm de aprovar as medidas de cibersegurança e supervisionar a sua implementação.

Existe um período de adaptação até abril de 2027, durante o qual as empresas que demonstrarem esforço genuíno de conformidade não serão sujeitas às coimas máximas. Mas isso pressupõe que estejam ativamente a agir — não que estejam a ignorar a lei.

Por onde começar? O guia prático para a sua PME

Se chegou até aqui e percebeu que a sua empresa pode ser abrangida pela NIS2 Portugal PME, o mais importante é agir de forma organizada e sem perder tempo. Aqui está um plano de ação por ordem de prioridade:

  1. Verificar se é abrangido — use a plataforma MyCiber em myciber.gov.pt para fazer a autoavaliação e perceber em que categoria a sua empresa se enquadra
  2. Nomear o responsável de cibersegurança — notifique o CNCS antes de 4 de maio de 2026
  3. Fazer um diagnóstico interno — identifique que sistemas tem, quem tem acesso a quê, que dados trata e onde estão armazenados
  4. Implementar as medidas básicas — backups regulares, palavras-passe fortes e únicas, autenticação em dois fatores, formação básica da equipa
  5. Documentar tudo — a lei exige não só que faça as coisas, mas que consiga provar que as fez; guarde registos de todas as medidas implementadas
  6. Rever os contratos com fornecedores de TI — certifique-se de que incluem cláusulas de segurança adequadas

A NIS2 pode parecer intimidante, mas a maior parte das medidas exigidas são boas práticas de segurança que qualquer empresa deveria já ter. Se a sua PME ainda não tem uma política de cibersegurança, backups regulares ou formação básica para os colaboradores, esta lei é uma boa oportunidade para mudar isso — e pode evitar prejuízos muito maiores no futuro.

🛡️ Prepare a sua PME para a NIS2
O nosso Guia Completo de Cibersegurança para PMEs cobre todas as medidas exigidas pela Diretiva NIS2 — em linguagem simples, com exemplos práticos contextualizados para Portugal.
Aceder ao Guia por €14,90 →

Fontes: CNCS — Centro Nacional de Cibersegurança (cncs.gov.pt/diretiva-nis-2) · Decreto-Lei n.º 125/2025, publicado no Diário da República em dezembro de 2025 · Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho de 14 de dezembro de 2022

Leave a comment