NOS

NIS 2: o que é e qual o impacto para a minha empresa?


Cibersegurança
Atualizado a 10 mar 2025
5 minutos de leitura
Saiba tudo sobre as mudanças que o esperam com o NIS 2, a diretiva lançada pela União Europeia.

Saiba tudo sobre as mudanças que o esperam com a nova legislação nacional de cibersegurança.

O novo regime jurídico da cibersegurança, aprovado pelo Decreto-Lei, transpõe para Portugal a Diretiva (UE) 2022/2555, mais conhecida como NIS2. Este decreto-lei vem substituir o anterior Regime Jurídico da Segurança do Ciberespaço (DL 65/2021), expandindo significativamente o conjunto de entidades abrangidas e reforçando a responsabilidade dos órgãos de gestão.

Este Decreto de lei vem dar resposta à crescente digitalização das organizações, e visa aumentar a resiliência operacional digital, definindo obrigações específicas de cibersegurança para organizações específicas em diversos setores. Esta diretiva impõe penalidades substanciais por não conformidades. 

Quem é abrangido?

O novo Decreto-Lei de Cibersegurança amplia o âmbito das entidades que devem cumprir os requisitos de cibersegurança, substituindo o anterior Regime Jurídico da Segurança do Ciberespaço (DL 65/2021) e transpondo para a legislação nacional a Diretiva (UE) 2022/2555 (NIS2).

Este regime aplica-se a entidades públicas e privadas, incluindo as classificadas como médias empresas ou que excedam os limiares relativos a médias empresas (tal como definido na Recomendação 2003/361/CE). As entidades abrangidas dividem-se em três categorias principais: Entidades Essenciais (Setores de Importância Crítica), Entidades Importantes (Outros Setores Críticos), Entidades Públicas Relevantes (abrangendo parte significativa da Administração Pública, classificadas em Grupo A e Grupo B consoante a sua dimensão e função).

Setores de Importância Crítica (Entidades essenciais)

  • Energia

  • Transportes

  • Setor bancário

  • Infraestruturas do mercado financeiro

  • Saúde

  • Água potável

  • Águas residuais

  • Infraestruturas digitais

  • Gestão de serviços TIC (B2B)

  • Administração pública

  • Espaço

Outros Setores Críticos (Entidades importantes)

  • Serviços postais e de estafeta

  • Gestão de resíduos

  • Produção, fabrico e distribuição de produtos químicos

  • Produção, transformação e distribuição de produtos alimentares

  • Indústria transformadora

  • Prestadores de serviços digitais

  • Investigação

Todas as entidades abrangidas devem cumprir os mesmos requisitos de cibersegurança, embora a abordagem de supervisão varie consoante a sua categoria.

Para mais detalhes, pode consultar os artigos 2.º, 3.º e 4.º e os anexos I e II do Decreto-Lei.

Quais são os requisitos da NIS2?

O novo Decreto-Lei introduz requisitos mínimos de cibersegurança para todas as entidades abrangidas, com o objetivo de garantir uma abordagem uniforme e robusta à segurança digital (artigo 27º).

a)      Tratamento de incidentes;

b)     Continuidade das atividades, como a gestão de cópias de segurança e a recuperação de desastres, e gestão de crises;

c)      Segurança da cadeia de abastecimento, incluindo aspetos de segurança respeitantes às relações entre cada entidade e os respetivos fornecedores ou prestadores de serviços diretos;

d)     Segurança na aquisição, desenvolvimento e manutenção das redes e sistemas de informação, incluindo o tratamento e a divulgação de vulnerabilidades;

e)      Políticas e procedimentos para avaliar a eficácia das medidas de gestão dos riscos de cibersegurança;

f)        Práticas básicas de ciber-higiene e formação em cibersegurança, incluindo os titulares de órgãos máximos de gestão e trabalhadores;

g)      Políticas e procedimentos relativos a utilização de criptografia e, se for caso disso, de cifragem, sem prejuízo das competências conferidas a outras entidades em matéria de criptografia no âmbito nacional ou perante outras organizações internacionais de que Portugal seja membro;

h)      Segurança dos recursos humanos, políticas seguidas em matéria de controlo do acesso e gestão de ativos;

i)        Utilização de autenticação multifator ou de autenticação contínua, comunicações seguras e sistemas seguros de comunicações de emergência no seio da entidade.

Notificação Obrigatória (artigo 40º)

1 - As entidades essenciais, importantes e públicas relevantes notificam qualquer incidente significativo à autoridade de cibersegurança competente.

2 - O cumprimento da mera notificação não gera responsabilidade acrescida para a entidade notificante.

3 - A fim de determinar se um incidente tem impacto significativo nos termos do n.º 1, as entidades em causa devem ter em consideração, designadamente, os seguintes parâmetros:

a) Número de utilizadores afetados pela perturbação do serviço;

b) A duração do incidente;

c) O nível da gravidade da perturbação do funcionamento do serviço;

d) A dimensão do impacto nas atividades económicas e sociais.

 

Obrigações dos órgãos de gestão, direção e administração (artigo 25º)

A cibersegurança passa a ser uma responsabilidade direta dos órgãos de gestão das entidades abrangidas.

Os órgãos de administração devem: Aprovar e supervisionar as medidas de gestão de risco de cibersegurança, assegurar conformidade com as exigências legais, sob risco de responsabilização direta por infrações, promover formação obrigatória em cibersegurança, garantindo que os membros do órgão de gestão e os colaboradores adquiram conhecimentos sobre identificação, avaliação e mitigação de riscos.

Esta exigência reforça a responsabilidade legal e operacional das direções executivas na proteção dos sistemas e dados críticos das organizações.

Coimas Aplicáveis

O Decreto-Lei estabelece um regime sancionatório rigoroso para as entidades que violem as suas obrigações.
As entidades essenciais que violem estas obrigações ficam sujeitas a coimas até: 10 000 000 EUR ou 2% do volume de negócios anual a nível mundial, no exercício financeiro anterior da empresa a que pertencem, consoante o montante mais elevado.
As entidades importantes que incumpram estas regras ficam sujeitas a coimas até: 7 000 000 EUR ou 1,4% do volume de negócios anual a nível mundial, no exercício financeiro anterior da empresa a que pertencem, consoante o montante mais elevado.

As Entidades Públicas Relevantes (classificadas nos Grupos A e B) que não cumpram os requisitos de cibersegurança ou falhem a notificação de incidentes podem ser sancionadas com coimas até 4 000 000 EUR para entidades do Grupo A e coimas até 350 000 EUR para entidades do Grupo B.

Não deixe que a cibersegurança seja um risco para o seu negócio. Descubra como a NOS Empresas pode ajudá-lo a cumprir a NIS2 e a proteger a sua empresa com soluções robustas e personalizadas aqui.

 

 

Soluções recomendadas
Conheça as soluções NOS Empresas relacionadas com o tema deste artigo que podem ajudar o seu negócio a crescer
NOS Backup Pro

Solução desenvolvida em parceria com a Amazon Web Services (AWS) que salva os dados dos computadores da empresa, copiando-os para um local de segurança

NOS Antívirus Pro

Software de antivírus que protege todos os equipamentos fixos e móveis da empresa contra os principais tipos de ciberataques e ameaças

NOS Web Segura Pro

Solução de cibersegurança que previne que os equipamentos da empresa fiquem infetados, bloqueando sites maliciosos

NOS Backup Pro Offsite

Solução que protege os dados da empresa e garante a​ recuperação rápida da informação em caso ​de perda ou corrupção