Skip to main content

NIS2 em Portugal

Entrada em Vigor a 3 de Abril de 2026

O QUE AS EMPRESAS PRECISAM DE FAZER AGORA

ALLBS, LDA

18 Março 2026

Publicada a 4 de dezembro de 2025, a transposição da Diretiva NIS2 para o ordenamento jurídico português através do Decreto-Lei n.º 125/2025 marca um ponto de viragem na cibersegurança nacional. O novo Regime Jurídico da Cibersegurança entra em vigor 120 dias após a publicação, ou seja, a 3 de abril de 2026 – daqui a poucas semanas.

Até lá, o regime anterior (Lei n.º 46/2018 e afins) continua em vigor, mas o tempo para adaptação é curto. Entidades essenciais e importantes (setores como energia, transportes, banca, saúde, águas, infraestruturas digitais, manufatura crítica, entre outros) enfrentam obrigações reforçadas de gestão de risco, reporte de incidentes e governação de cibersegurança – com responsabilidade pessoal dos órgãos de administração.

Principais Novidades do Decreto-Lei n.º 125/2025

  • Âmbito Alargado

    A NIS2 expande significativamente o número de entidades abrangidas. Além dos “essenciais” (ex.: operadores de infraestruturas críticas), inclui agora “importantes” como fabricantes de dispositivos médicos, empresas de logística, produção de alimentos, waste management e serviços digitais (ex.: motores de busca, marketplaces, DNS). Em Portugal, o CNCS (Centro Nacional de Cibersegurança) identificará e notificará as entidades.

  • Obrigações chave de gestão de risco
    • Adotar medidas técnicas e organizacionais proporcionais ao risco (defesa em camadas, Zero Trust recomendado).
    • Implementar políticas de cadeia de suprimentos (avaliação de riscos de terceiros).
    • Formação obrigatória e regular dos colaboradores.
    • Plano de resposta a incidentes e continuidade de negócio testado periodicamente.
    • Designação de um Responsável de Cibersegurança e ponto de contacto permanente (prazo: 20 dias úteis após entrada em vigor).
  • Reporte de incidentes mais rigoroso
    • Notificação inicial ao CNCS em 24 horas após deteção de incidente significativo.
    • Atualização intermédia em 72 horas.
    • Relatório final em 1 mês (ou mais se necessário).
    • Incidente “significativo” = impacto em serviços, disponibilidade, integridade ou confidencialidade.
  • Sanções pesadas e responsabilidade pessoal
    • Coimas até 10 milhões de euros ou 2% do volume de negócios anual (o que for maior).
    • Responsabilidade direta dos administradores/gestores de topo por incumprimento grave.
    • Período de carência para coimas até 12 meses após entrada em vigor (se demonstrar esforços de adaptação).

NIS2 e DORA: Sinergias no Setor Financeiro e Além

Enquanto a NIS2 entra agora em vigor pleno (abril 2026), o Regulamento DORA (UE 2022/2554) já se aplica desde janeiro de 2025, com densificação nacional via Lei n.º 73/2025, de 23 de dezembro. Para entidades financeiras (bancos, seguradoras, entidades de pagamento), as obrigações sobrepõem-se:

  • Testes de resiliência TIC (incluído threat-led penetration testing – TIBER-PT).
  • Gestão de riscos de terceiros (contratos resilientes com prestadores TIC).
  • Reporte centralizado ao Banco de Portugal.

A ALLBS apoia clientes em ambos os regimes: avaliações de risco integradas, implementação de Zero Trust, MDR Total WatchGuard para deteção/resposta, CISO as a Service e suporte a auditorias NIS2/DORA.

Passos Imediatos para Preparar a Sua Organização (Checklist Março 2026)

Com menos de 1 mês até 3 de abril, priorize:

  1. Verifique se a sua entidade é abrangida (consulte o CNCS ou faça autoavaliação baseada nos anexos da NIS2).
  2. Realize uma avaliação inicial de maturidade NIS2 (gap analysis).
  3. Designe o Responsável de Cibersegurança e comunique ao CNCS (prazo apertado pós-abril).
  4. Atualize políticas de gestão de risco, cadeia de suprimentos e reporte de incidentes.
  5. Teste backups e planos de recuperação (essencial contra ransomware, que continua a subir em 2026).
  6. Inicie formação de consciência (phishing, deepfakes, 2FA obrigatório).
  7. Avalie ferramentas: MDR, endpoint protection (ex.: WatchGuard), monitorização 24/7.

Documente tudo – evidências são cruciais para auditorias e defesa em caso de sanção.

Como a ALLBS Pode Ajudar

Na ALLBS, com mais de 15 anos de experiência em setores críticos, oferecemos:

  • Avaliação NIS2/DORA gratuita inicial – Identificamos gaps prioritários.
  • Implementação de soluções integradas: Zero Trust, MDR Total WatchGuard, pentesting, Acronis Cyber Cloud backups.
  • CISO as a Service e suporte contínuo para conformidade.
  • Formação e simulações de incidentes adaptadas ao seu setor.

A segurança de amanhã começa hoje.

Não espere pela notificação do CNCS ou por um incidente – contacte-nos agora para uma conversa sem compromisso.
CONTATE-NOS PARA AVALIAÇÃO NIS2/DORA GRATUITA