O Decreto-Lei n.º 125/2025 transpõe a Diretiva NIS 2 e estabelece um novo regime jurídico da cibersegurança em Portugal, alargando o número de entidades abrangidas, reforçando obrigações de gestão de riscos, reporte e supervisão, e consolidando o papel do CNCS. Aplica-se a setores críticos (como energia, saúde, banca, serviços digitais) e à Administração Pública, impondo medidas proporcionais conforme a tipologia da entidade. O regime entra em vigor 120 dias após a publicação, com aplicação faseada, exigindo às entidades abrangidas a identificação na plataforma do CNCS, avaliação de conformidade com as novas medidas e eventual adaptação de políticas e contratos.
Enquadramento
Foi publicado, a 4 de dezembro de 2025, o Decreto-Lei n.º 125/2025, que aprova o novo Regime Jurídico da Cibersegurança e transpõe para a ordem jurídica interna a Diretiva (UE) 2022/2555 (NIS 2). O diploma estabelece um quadro abrangente de medidas técnicas, organizativas e procedimentais que visam garantir um elevado nível comum de cibersegurança no espaço europeu.
Este diploma representa uma reformulação profunda do quadro normativo português, entre outros:
- Ampliando o número de entidades que passam a estar abrangidas pelo regime;
- Reforçando obrigações de:
- Gestão de riscos;
- Reporte de incidentes;
- Supervisão;
e
- Consolidando o papel do Centro Nacional de Cibersegurança (CNCS) enquanto autoridade nacional de cibersegurança.
O legislador destaca a crescente sofisticação das ciberameaças e o elevado impacto potencial sobre o funcionamento do Estado, da economia e da vida dos cidadãos, justificando um regime mais exigente, estruturalmente assente em instrumentos como a Estratégia Nacional de Segurança do Ciberespaço, o Plano Nacional de Resposta a Crises e Incidentes de Cibersegurança em Grande Escala e o Quadro Nacional de Referência para a Cibersegurança.
Principais Novidades
A NIS2 introduz um conjunto substancial de alterações e novidades, entre os quais se destacam, na transposição que agora é concretizada em Portugal:
- Alargamento do universo de entidades sujeitas a obrigações de cibersegurança, abrangendo mais setores críticos, bem como uma parte significativa da Administração Pública;
- Graduação proporcional das obrigações impostas conforme a entidade seja qualificada como essencial ou importante;
- Inclusão de medidas mínimas de cibersegurança, em conformidade com a tipologia da entidade e a atividade exercida;
- Reforço do regime de notificações de incidentes, com prazos de reporte mais estritos alinhados com o mecanismo europeu de cooperação;
- Estabelecimento de autoridades de supervisão «setoriais» e «especiais» (exercendo supervisão sobre setores específicos da economia);
- Reforço das competências do CNCS, com a atribuição da capacidade de articulação com autoridades setoriais assim como a criação de um Gabinete de Crise, composto por entidades com responsabilidades quer em segurança interna, defesa e investigação criminal.
Âmbito de Aplicação
O novo regime adota um âmbito de aplicação amplo e materialmente orientado, refletindo a centralidade da cibersegurança no funcionamento do Estado, da economia e dos serviços essenciais. A sujeição ao regime dependerá do setor de atividade em causa e da tipologia da entidade.
O Decreto-Lei aplica-se às entidades privadas que operem em setores cuja continuidade é tida por essencial para o funcionamento da economia e da sociedade.
Entre os setores e atividades mais relevantes incluem-se:
- Energia, transportes, banca e mercados financeiros, saúde, água e saneamento, infraestruturas digitais, serviços TIC e espaço;
- Outros setores críticos, como os serviços postais e de estafeta, gestão de resíduos, indústrias química e transformadora, produção e distribuição alimentar, serviços digitais e atividades de investigação;
- Instituições de ensino superior.
O regime aplica-se também à Administração Pública (com algumas exceções) e a algumas outras entidades ou serviços de natureza pública, conforme especificado no diploma.
Próximos Passos
O diploma entra em vigor 120 dias após a sua publicação, em regime faseado, uma vez que algumas obrigações se tornam aplicáveis em momentos diferentes, designadamente:
- Certas disposições relativas às medidas de gestão de risco, notificação de incidentes e supervisão produzem efeitos apenas 24 meses após a publicação da regulamentação complementar a emitir pelo CNCS, o mesmo sucedendo com o dever de cumprimento de medidas de cibersegurança por entidades públicas relevantes;
- Mantêm-se em vigor, até substituição ou revogação, regulamentos anteriores da ANACOM que não colidam com o novo regime.
Em antecipação à aplicação, em Portugal, do regime que resulta desta transposição da Diretiva NIS2, as entidades devem:
- Determinar o enquadramento regulatório aplicável, procedendo à identificação sobre se são qualificáveis como entidades essenciais ou importantes, através do mapeamento dos serviços abrangidos;
e, estando abrangidas,
- Preparar a identificação obrigatória na plataforma do CNCS no prazo de 60 dias após a disponibilização da mesma;
- Realizar um gap assessment face às novas medidas mínimas de cibersegurança, atendendo a que poderá ser necessário rever políticas, procedimentos e arquitetura tecnológica;
- Adequar (ou implementar) os mecanismos internos para a notificação de incidentes; e
- Verificar a necessidade de adaptar os contratos com fornecedores críticos, prestadores de serviços geridos, infraestruturas TIC e outros terceiros relevantes.
As equipas de Cibersegurança e de Tecnologia da Morais Leitão continuarão a acompanhar de perto estes desenvolvimentos. Para mais informações, contacte-nos.
