Saltar para o conteúdo
3HASH - Agência Digital Portugal
Decreto-Lei 125/2025 — Regime Jurídico da Cibersegurança (NIS2) em Portugal
Voltar ao BlogCibersegurança · Legal

Decreto-Lei NIS2 em Portugal: o Novo Regime Jurídico da Cibersegurança Explicado

Equipa 3HASH 2 Junho 2026 9 min leitura

Se ouviu falar da NIS2 mas não sabe ao certo o que a lei lhe exige, este artigo é para si. A Diretiva europeia foi finalmente transposta para o direito português através do Decreto-Lei n.º 125/2025, de 4 de dezembro, que aprovou o novo Regime Jurídico da Cibersegurança. O diploma está em vigor desde 3 de abril de 2026 e vai muito além das grandes empresas tecnológicas: abrange milhares de organizações em setores considerados essenciais e importantes.

O essencial: a lei já está em vigor. As entidades abrangidas têm de se registar junto do CNCS, adotar medidas de gestão de risco e notificar incidentes graves em 24 horas. O incumprimento pode custar até 10 milhões de euros.

O que é o Decreto-Lei n.º 125/2025

O Decreto-Lei n.º 125/2025 transpõe para Portugal a Diretiva (UE) 2022/2555, conhecida como NIS2 (a sigla vem de Network and Information Security). É a sucessora da primeira diretiva NIS, e o seu objetivo é elevar e uniformizar o nível de cibersegurança em toda a União Europeia.

Na prática, o diploma substitui o anterior enquadramento e cria um regime mais exigente em quatro frentes: governação (responsabilização da gestão de topo), gestão de risco, medidas técnicas e organizacionais mínimas, e reporte de incidentes. Foi publicado em Diário da República a 4 de dezembro de 2025 e entrou em vigor 120 dias depois, a 3 de abril de 2026. O regulamento complementar, que detalha aspetos de aplicação, esteve em consulta pública até abril de 2026.

A sua empresa é abrangida? Entidades essenciais vs. importantes

O regime aplica-se a entidades públicas e privadas que operam em setores críticos ou relevantes — incluindo operadores de serviços essenciais, prestadores de serviços digitais, infraestruturas críticas e a Administração Pública. A lei distingue duas categorias, com obrigações de intensidade diferente:

  • Entidades essenciais — setores como energia, transportes, banca, saúde, água, infraestruturas digitais e Administração Pública. Estão sujeitas a supervisão mais apertada e devem comunicar anualmente ao CNCS o relatório anual e a lista de ativos.
  • Entidades importantes — setores como serviços postais, gestão de resíduos, produção e distribuição de alimentos, fabrico, e prestadores de serviços digitais de menor dimensão. As obrigações de comunicação só se ativam quando solicitadas pela autoridade.

A classificação depende do setor e da dimensão da organização. Muitas PMEs que se julgavam de fora estão, afinal, abrangidas — sobretudo as que prestam serviços a entidades essenciais. A primeira pergunta a fazer, portanto, é simples: em que setor opero e que serviços presto?

O que a lei obriga, na prática

Para as entidades abrangidas, as obrigações concretas mais relevantes são:

  • Registo e identificação junto do CNCS — através de uma plataforma eletrónica dedicada. Como regra, a identificação deve ocorrer em 30 dias a contar do início de atividade ou, para quem já opera, em 60 dias a partir da disponibilização da plataforma.
  • Medidas de gestão de risco — políticas de segurança, controlo de acessos, autenticação multifator, cópias de segurança testadas, gestão de vulnerabilidades e segurança da cadeia de fornecimento.
  • Responsabilização da gestão de topo — a administração passa a ser responsável pela aprovação e supervisão das medidas; já não é um assunto só do departamento de informática.
  • Formação — sensibilização e formação regular das equipas em cibersegurança.

Prazos de notificação de incidentes graves

  • 24 horas — alerta inicial à autoridade competente;
  • 72 horas — notificação com avaliação atualizada do incidente;
  • até 30 dias úteis — relatório final, após o fim do impacto.

Coimas: quanto custa o incumprimento

As sanções são significativas e foram desenhadas para serem dissuasoras. O incumprimento pode resultar em coimas até 10 milhões de euros ou 2% do volume de negócios anual da organização — consoante o que for mais elevado —, podendo acrescer sanções acessórias. Para uma análise dedicada ao tema, veja o nosso artigo sobre os riscos e ameaças mais comuns às PMEs portuguesas.

NIS2 não é o RGPD — não confundir

É um equívoco frequente. O RGPD protege dados pessoais; a NIS2 protege a segurança dos sistemas e redes em geral. São regimes complementares, com autoridades e obrigações próprias. Uma empresa pode cumprir o RGPD e, ainda assim, estar em incumprimento da NIS2 — e vice-versa. Tratá-los como a mesma coisa é uma das formas mais rápidas de falhar uma auditoria.

Como uma PME se põe em conformidade sem complicar

A conformidade não tem de ser um projeto gigante. Para a maioria das PMEs, um caminho realista assenta em passos concretos: (1) confirmar se está abrangida e em que categoria; (2) registar-se no CNCS dentro do prazo; (3) implementar as medidas mínimas — MFA, backups testados, gestão de acessos, EDR; (4) definir um responsável e um plano de resposta a incidentes; (5) formar a equipa. O custo de uma postura defensiva razoável fica, tipicamente, muito abaixo do custo de um incidente consumado ou de uma coima.

Não sabe se está abrangido pela NIS2?

A 3HASH faz uma avaliação de conformidade NIS2 à medida da sua empresa: confirmamos se está abrangida, identificamos as lacunas e desenhamos um plano realista. Em caso de incidente, temos resposta rápida.

SOS Cibersegurança →Pedir avaliação NIS2

Leitura relacionada