Sobre a NIS2(SRI2)

A transposição da Diretiva NIS2 para Portugal, através do Decreto-Lei n.º 125/2025, foi publicada em Diário da República a 4 de dezembro de 2025. O novo regime jurídico entra em vigor 120 dias após a sua publicação, ou seja, a 3 de abril de 2026.

Embora com atraso — a transposição deveria ter sido concluída até 17 de outubro de 2024 — este passo é relevante para reforçar o quadro legal de cibersegurança em Portugal. Importa, no entanto, notar que várias obrigações previstas no diploma serão aplicadas de forma faseada, dependendo de regulamentação adicional a emitir pelo Centro Nacional de Cibersegurança (CNCS), com prazos de adaptação que podem estender-se até 24 meses após a entrada em vigor.

Mas afinal, o que é a NIS2, ou SRI2 em português, e o que muda para as empresas e entidades públicas?

---

O que é a NIS2?

A NIS2 (Diretiva (UE) 2022/2555) é a nova legislação europeia de cibersegurança que substitui a primeira Diretiva NIS de 2016.

O seu objetivo é estabelecer um nível comum e elevado de segurança das redes e sistemas de informação em toda a União Europeia, reforçando requisitos, alargando o âmbito de aplicação e introduzindo um regime sancionatório mais robusto.

A importância desta diretiva resulta de vários fatores:

• o aumento contínuo do número e da sofisticação das ciberameaças;
• a dependência crescente de sistemas digitais para serviços críticos;
• o impacto potencial de incidentes de cibersegurança, que pode ir desde prejuízos financeiros até à interrupção de serviços essenciais ou risco para a vida humana.

---

Quais são as obrigações previstas na NIS2?

As entidades abrangidas passam a estar sujeitas a um conjunto de medidas mínimas obrigatórias de cibersegurança, entre as quais:

• Avaliação e gestão contínua de riscos de cibersegurança.
• Implementação de medidas técnicas e organizacionais adequadas, incluindo controlo de acessos, encriptação, gestão de incidentes e continuidade de negócio.
• Elaboração de relatórios e registos relevantes em matéria de cibersegurança.
• Nomeação de um responsável de cibersegurança e de um ponto de contacto permanente junto do CNCS.
• Obrigação de notificar incidentes significativos às autoridades competentes.

A diretiva estabelece prazos de notificação curtos (tipicamente um aviso inicial até 24 horas e uma notificação mais detalhada até 72 horas), sendo expectável que estes prazos venham a ser concretizados e ajustados na regulamentação nacional a emitir pelo CNCS.

---

Quem é afetado pela NIS2?

A NIS2 alarga significativamente o universo de entidades abrangidas, distinguindo principalmente entre:

• Entidades essenciais: setores como energia, transportes, saúde, banca, infraestruturas digitais, água, alimentação, entre outros considerados críticos.
• Entidades importantes: empresas de média dimensão ou maiores (regra geral, ≥50 trabalhadores e ≥10M€ de volume de negócios anual), quando atuem nos setores definidos pela diretiva.
• Administração Pública: determinados serviços técnicos e administrativos de órgãos de soberania e entidades públicas relevantes.

Ficam excluídas áreas diretamente ligadas à segurança nacional, defesa e serviços de informações.

É ainda relevante notar que, na prática, a conformidade com a NIS2 pode ser exigida a fornecedores de entidades abrangidas. Assim, mesmo organizações que não estejam diretamente incluídas no âmbito legal poderão ser pressionadas a cumprir requisitos de cibersegurança para manter relações comerciais com clientes críticos.

---

Coimas e incumprimento

A NIS2 introduz um regime sancionatório reforçado.

Para entidades essenciais, as coimas podem atingir até 10 milhões de euros ou 2% do volume de negócios anual mundial, consoante o valor mais elevado.
Para entidades importantes, os limites são inferiores, podendo ainda assim atingir valores significativos, com diferentes escalões consoante a gravidade e natureza da infração.

Para além das coimas, as autoridades competentes podem aplicar medidas adicionais, como:

• auditorias obrigatórias;
• ordens vinculativas de correção;
• suspensão temporária de atividades ou licenças, nos casos mais graves.

O incumprimento pode também acarretar responsabilidade para membros dos órgãos de administração ou direção, especialmente quando exista negligência grave ou incumprimento reiterado.

Existem ainda impactos indiretos relevantes, como:

• condições ou custos de seguros de cibersegurança;
• elegibilidade para concursos públicos;
• confiança de clientes, parceiros e investidores.

---

Porque seguir a NIS2?

Cumprir a NIS2 não se resume a evitar coimas. Existem razões estratégicas claras:

• Confiança: organizações com práticas sólidas de cibersegurança transmitem maior credibilidade.
• Continuidade de negócio: redução do risco de interrupções causadas por ciberincidentes.
• Competitividade: muitas cadeias de valor vão exigir conformidade com a NIS2.
• Proatividade: investir em prevenção é mais eficaz do que reagir a incidentes.

Na prática, a NIS2 incentiva a adoção de boas práticas já conhecidas de gestão de risco e segurança da informação, contribuindo para uma maior maturidade digital das organizações.

---

Prazos relevantes

• A Diretiva NIS2 entrou em vigor na União Europeia a 16 de janeiro de 2023.
• O prazo para transposição nacional terminou a 17 de outubro de 2024.
• Em Portugal, a transposição foi concluída apenas em dezembro de 2025, com a publicação do Decreto-Lei n.º 125/2025.
• O regime nacional entra em vigor a 3 de abril de 2026, com aplicação faseada de várias obrigações, dependendo de regulamentação adicional e com prazos de adaptação que podem ir até 24 meses.

Face a esta incerteza regulamentar, é prudente que as organizações comecem desde já a preparar medidas de conformidade.

---

A NIS2 é uma certificação?

Não.
A NIS2 não é uma certificação, ao contrário de normas como a ISO 27001. Trata-se de uma obrigação legal.

Ainda assim, muitas organizações optarão por alinhar os seus sistemas de gestão com normas reconhecidas (ISO 27001, frameworks do NIST, entre outras) como forma de estruturar a conformidade e facilitar a sua demonstração perante clientes, parceiros e autoridades.

---

Em resumo

A NIS2 vem reforçar a cultura de cibersegurança em Portugal e na União Europeia. Embora introduza novas obrigações legais, assenta essencialmente em práticas já conhecidas de gestão de risco e segurança digital.

A sua entrada em vigor exige atenção e planeamento, não apenas para cumprir requisitos legais, mas também para garantir a continuidade do negócio e a capacidade de manter relações com parceiros críticos.

As organizações que encararem a NIS2 como uma oportunidade para aumentar a sua maturidade digital estarão, inevitavelmente, mais resilientes e mais competitivas num mercado cada vez mais dependente da confiança online.

---

Fontes e Leituras Recomendadas

• Diretiva (UE) 2022/2555 (NIS2) – Jornal Oficial da União Europeia

• Decreto-Lei n.º 125/2025, de 4 de dezembro – Diário da República

• Centro Nacional de Cibersegurança (CNCS) – Diretiva SRI 2 / NIS2

• ENISA – Network and Information Security Directive (NIS2)

• European Commission – NIS2 Directive (Digital Strategy)