⚠ Em vigor desde 3 de abril de 2026. O Decreto-Lei n.º 125/2025 entrou em plena aplicação. As entidades abrangidas têm obrigações imediatas de registo, gestão de risco e notificação de incidentes. O período de carência de coimas termina 12 meses após a entrada em vigor para quem demonstre procedimento interno de adaptação.

A Diretiva NIS2 (Diretiva UE 2022/2555) foi transposta para o direito português através do Decreto-Lei n.º 125/2025, publicado no Diário da República n.º 234/2025, Série I, de 4 de dezembro de 2025. O diploma aprova o novo Regime Jurídico da Cibersegurança (RJC) e entrou em aplicação a 3 de abril de 2026 — 120 dias após a publicação.

Para os administradores de sistemas, o impacto é direto: é necessário implementar, documentar e manter um conjunto de medidas técnicas, operacionais e organizacionais — e estar pronto para notificar incidentes dentro de prazos muito curtos. Este artigo é um guia prático para perceber o que muda, quem é abrangido e o que fazer imediatamente.

1. O que é a NIS2 e o que muda em Portugal

A NIS2 substitui a Diretiva NIS1 de 2016 e representa um salto qualitativo nas exigências de cibersegurança a nível europeu. As principais diferenças face ao regime anterior são:

Dimensão NIS1 (anterior) NIS2 / DL 125/2025
Âmbito Setores críticos limitados 18 setores + administração pública
Categorias Operadores de serviços essenciais Essenciais / Importantes / Públicas Relevantes
Responsabilidade Organizacional Organizacional + pessoal dos gestores
Notificação de incidentes 72 horas (genérico) 24h alerta inicial + 72h relatório + 1 mês final
Coimas máximas Variável por Estado-Membro €10M ou 2% volume de negócios mundial
Autoridade nacional CNCS (papel limitado) CNCS + autoridades setoriais (ANACOM, Banco de Portugal, etc.)

2. Quem é abrangido — as três categorias do modelo português

Ao contrário de outros Estados-Membros que adoptaram apenas dois grupos, Portugal introduziu três categorias no Decreto-Lei n.º 125/2025:

■ Entidades Essenciais

Operadores críticos com elevado impacto sistémico em caso de falha: energia (electricidade, gás, petróleo), transportes (aéreo, ferroviário, marítimo, rodoviário), banca e infraestruturas financeiras, saúde (hospitais, laboratórios, fabricantes de dispositivos médicos críticos), água (consumo humano e tratamento de águas residuais), infraestruturas digitais (DNS, IXP, cloud, datacenters), administração pública central.

■ Entidades Importantes

Organizações de setores estratégicos com menor impacto sistémico imediato: correios e estafetas, gestão de resíduos, fabrico de produtos críticos (farmacêutico, dispositivos médicos, química), fornecedores de serviços digitais (motores de pesquisa, plataformas de redes sociais, mercados online), indústria alimentar, e prestadores de serviços de TI / MSPs que gerem sistemas de entidades abrangidas.

■ Entidades Públicas Relevantes (específico de Portugal)

Categoria exclusiva do modelo português: organismos da administração pública (central, regional e local) que gerem dados ou serviços sensíveis mas não estão enquadrados como entidades essenciais. Inclui câmaras municipais, institutos públicos e serviços desconcentrados com sistemas de informação relevantes.

⚠ Atenção — MSPs e fornecedores de TI: Se a tua empresa presta serviços geridos de TI (helpdesk, suporte Microsoft 365, gestão de infraestrutura) a entidades essenciais ou importantes, podes ser classificado como entidade importante independentemente da dimensão da tua empresa. Verifica a qualificação junto do CNCS.

3. Obrigações técnicas e organizacionais

O Decreto-Lei n.º 125/2025 exige a implementação de medidas proporcionadas ao perfil de risco da entidade. Do ponto de vista técnico, as obrigações agrupam-se em seis domínios:

3.1 Gestão de Risco e Políticas de Segurança

  • Realizar avaliação de risco periódica e documentada dos sistemas de informação
  • Mapear activos digitais: redes, sistemas, cadeia de fornecimento ICT, fornecedores externos
  • Implementar e manter políticas internas de segurança (Política de Segurança da Informação)
  • Efectuar análise de vulnerabilidades com periodicidade definida
  • Definir plano de continuidade de negócio e de recuperação de desastres (BCP/DRP)

3.2 Controlo de Acesso e Autenticação

  • Implementar autenticação multi-factor (MFA) para todos os acessos críticos
  • Adoptar princípio de menor privilégio (Least Privilege) em contas de utilizador e administração
  • Implementar autenticação segura para acesso remoto (VPN com MFA, Zero Trust onde aplicável)
  • Rever e auditar periodicamente contas privilegiadas e acessos de terceiros

3.3 Segurança da Cadeia de Fornecimento

  • Avaliar a postura de segurança de fornecedores críticos de TI/ICT
  • Incluir cláusulas de cibersegurança nos contratos com fornecedores de serviços geridos e cloud
  • Monitorizar a cadeia de fornecimento para vulnerabilidades de terceiros
  • Definir procedimentos para gerir incidentes que envolvam fornecedores

3.4 Detecção, Resposta e Recuperação

  • Implementar capacidade de detecção de incidentes (SIEM, logging centralizado, alertas)
  • Definir e testar plano de resposta a incidentes (IR Plan) com papéis e responsabilidades claros
  • Garantir backup regular, testado e com cópia offsite ou em cloud isolada
  • Definir RTO/RPO documentados e testados periodicamente

3.5 Segurança das Comunicações e da Rede

  • Segmentação de rede (VLANs, firewalls, micro-segmentação onde aplicável)
  • Encriptação de dados em trânsito (TLS 1.2+) e em repouso para dados sensíveis
  • Monitorização de tráfego de rede e detecção de anomalias
  • Gestão de patches com SLA definido (ex: patches críticos em 72h)

3.6 Formação e Consciencialização

  • Formação regular em cibersegurança para todos os colaboradores
  • Formação específica para as equipas de TI e para os titulares de órgãos de gestão
  • Simulações de phishing e exercícios de resposta a incidentes

4. Prazos e marcos críticos

Data Evento Impacto
4 dez 2025 Publicação DL 125/2025 no DR Início da contagem dos prazos
3 abr 2026 ✓ Entrada em vigor — medidas obrigatórias Todas as medidas de cibersegurança são exigíveis
A definir Prazo designação Responsável de Cibersegurança Comunicar ao CNCS nome e contacto do responsável
A definir Registo obrigatório de entidades na plataforma CNCS Atualização bienal obrigatória após registo inicial
Abr 2027 Fim do período de carência de coimas Regime sancionatório aplicado na íntegra

ℹ Notificação de incidentes significativos: O DL 125/2025 define prazos estritos — alerta inicial em 24 horas, relatório intermédio em 72 horas e relatório final em 1 mês após detecção do incidente. Estes prazos exigem que os procedimentos de detecção e escalamento estejam operacionais desde já.

5. Sanções e responsabilidade pessoal dos gestores

Uma das mudanças mais significativas do DL 125/2025 é a responsabilização pessoal dos titulares dos órgãos de gestão. A cibersegurança deixa de ser apenas uma responsabilidade de TI.

Tipo de sanção Entidades Essenciais Entidades Importantes
Coima máxima (pessoa colectiva) €10 000 000 ou 2% volume negócios €7 000 000 ou 1,4% volume negócios
Coima pessoal (gestor singular) Até €125 000 Até €100 000
Sanção acessória Interdição temporária do exercício de funções de gestão, direcção ou administração
Delegação de responsabilidade Não é possível delegar para fora dos órgãos de gestão (só para outro titular de órgão de gestão)

6. Checklist técnica para sysadmins — o que fazer agora

Organizada por domínio de actuação. Prioriza os pontos assinalados com ⚠ CRÍTICO — são os que têm impacto imediato na conformidade e nos prazos de notificação de incidentes.

A — Identificação e Registo

Determinar se a organização é entidade essencial, importante ou pública relevante CRÍTICO
Registar a entidade na plataforma electrónica do CNCS quando disponível CRÍTICO
Designar Responsável de Cibersegurança e Ponto de Contacto Permanente CRÍTICO
Comunicar ao CNCS a designação do Responsável de Cibersegurança dentro do prazo CRÍTICO

B — Gestão de Risco e Documentação

Realizar inventário completo de activos (hardware, software, serviços cloud, dados) CRÍTICO
Efectuar avaliação de risco documentada e classificar activos por criticidade ALTA
Elaborar ou actualizar Política de Segurança da Informação (PSI) ALTA
Mapear cadeia de fornecimento ICT e avaliar postura de segurança de fornecedores críticos ALTA
Rever contratos com fornecedores de serviços geridos (MSPs, cloud) e incluir cláusulas NIS2 NORMAL

C — Controlo de Acesso e Autenticação

Activar MFA para todos os utilizadores em todos os sistemas críticos (M365, VPN, RDP, servidores) CRÍTICO
Auditar contas privilegiadas (administradores locais, Domain Admins, Global Admins M365) CRÍTICO
Implementar Conditional Access no Entra ID (acesso por localização, dispositivo, risco) ALTA
Eliminar ou desactivar contas de utilizador inactivas (>90 dias sem login) ALTA
Rever acessos de terceiros e fornecedores — aplicar MFA e tempo limitado ALTA

D — Detecção e Resposta a Incidentes

Definir e documentar Plano de Resposta a Incidentes (IRP) com procedimento de notificação ao CNCS CRÍTICO
Garantir logging centralizado de eventos de segurança com retenção mínima de 90 dias CRÍTICO
Testar o plano de recuperação (BCP/DRP) pelo menos uma vez por ano com registo documentado ALTA
Validar que os backups estão isolados da rede principal (offline ou cloud imutável) ALTA
Realizar exercício de resposta a incidente (tabletop exercise) com equipa de gestão NORMAL

E — Segurança de Rede e Sistemas

Definir SLA de aplicação de patches — críticos em 72h, importantes em 7 dias, normais em 30 dias ALTA
Implementar segmentação de rede com VLANs separadas para servidores, utilizadores e convidados ALTA
Garantir encriptação TLS 1.2+ em todos os serviços expostos; desactivar TLS 1.0/1.1 e SSL ALTA
Realizar vulnerability scan periódico (mínimo trimestral) com registo de remediações NORMAL

7. NIS2 e Microsoft 365 — o que configurar

Para organizações que utilizam Microsoft 365, existe um conjunto de controlos directamente mapeáveis às exigências do DL 125/2025:

Exigência NIS2 Funcionalidade M365 Onde configurar
Autenticação forte (MFA) Conditional Access + Security Defaults Entra ID > Security > Conditional Access
Monitorização e detecção Microsoft Defender, Audit Log, Sign-in Logs security.microsoft.com / purview.microsoft.com
Avaliação de postura de segurança Microsoft Secure Score security.microsoft.com > Secure Score
Protecção do email Defender for Office 365, SPF/DKIM/DMARC security.microsoft.com > Email & collaboration
Protecção de endpoints Microsoft Defender for Business / Endpoint security.microsoft.com > Device inventory
Gestão de identidade privilegiada Privileged Identity Management (PIM) Entra ID > Identity Governance > PIM
Retenção e auditoria de logs Microsoft Purview Audit (Standard/Premium) purview.microsoft.com > Audit

ℹ Microsoft Secure Score como ferramenta de conformidade NIS2

O Microsoft Secure Score em security.microsoft.com fornece uma pontuação de postura de segurança com recomendações específicas e priorizadas. É um excelente ponto de partida para o gap assessment exigido pela NIS2 — cobre MFA, Conditional Access, Defender, Purview e muitas outras áreas directamente mapeáveis ao DL 125/2025.

8. Recursos e referências

Este artigo foi útil?

Duarte Spínola

Artigos  

Deixe um Comentário