Ir para conteúdo

Diretiva NIS 2

Novo Regime Jurídico da Cibersegurança

Após um período de consulta pública e de discussão legislativa, foi publicado, no dia 4 de dezembro de 2025, o Decreto-lei n.º 125/2025, que aprova o novo Regime Jurídico da Cibersegurança, transpondo a Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, destinada a garantir um elevado nível comum de cibersegurança em toda a União.

O novo Regime Jurídico da Cibersegurança pretende assegurar a generalização da cibersegurança na cultura organizacional do tecido empresarial português e nas entidades, órgãos e serviços que constituem a Administração Pública, tornando o ecossistema nacional mais resiliente face ao aumento do número e sofisticação das ameaças, resultado da crescente utilização e dependência das tecnologias de informação e de comunicação.

Âmbito de aplicação

O novo Regime abrange 17 setores e a Administração Pública, reforçando uma abordagem transversal à cibersegurança, com exigências proporcionais à dimensão das entidades e à importância das suas atividades.

Para além dos setores de importância crítica já abrangidos pelo Regime Jurídico da Segurança do Ciberespaço (Lei n.º 46/2018, de 13 de agosto), o novo Regime da Cibersegurança passa a abranger outros setores críticos, tais como: gestão de serviços de tecnologias da informação ou comunicação; águas residuais; espaço; indústria transformadora; serviços postais e de estafeta; gestão de resíduos; produção, fabrico e distribuição de produtos químicos; produção, transformação e distribuição de produtos alimentares; prestação de serviços digitais; e investigação.

O âmbito de aplicação do novo Regime da Cibersegurança abrange, ainda, uma parte significativa da Administração Pública: Administração Direta do Estado e das Regiões Autónomas; Administração Indireta do Estado e das Regiões Autónomas; Administração Autónoma; Entidades Administrativas Independentes e outras Entidades Públicas, Provedoria da Justiça, Conselho Económico e Social, Serviços Técnicos da Assembleia da República e da Presidência da República, Tribunais, Conselho Superior da Magistratura, Instituições do Ensino Superior, etc.

São excluídas do âmbito de aplicação as entidades públicas nos domínios da Segurança Nacional, da Segurança Pública, da Defesa e dos Serviços de Informações, incluindo as entidades com responsabilidades de investigação criminal e os órgãos de polícia criminal.

Procedimento de qualificação de entidades

Com o novo Regime Jurídico da Cibersegurança, as entidades abrangidas passam a ter o dever de identificação e de se inscreverem na plataforma eletrónica. Esta identificação terá de ser realizada num prazo máximo de 30 dias após o início da sua atividade ou, caso a entidade já se encontre em atividade, aquando da entrada em vigor do novo regime, no prazo de 60 dias após disponibilização da plataforma eletrónica, por parte CNCS, para o efeito. Às entidades abrangidas, cabe a responsabilidade de manter a informação devidamente atualizada.

Plataforma eletrónica

Com o novo Regime Jurídico da Cibersegurança, será aprovado um regulamento pelo Centro Nacional de Cibersegurança que definirá as regras de funcionamento da plataforma eletrónica, nos termos do n.º 7 do artigo 8.º do Decreto-Lei n.º 125/2025. A plataforma será disponibilizada após a entrada em vigor deste regulamento, para os fins legalmente previstos.

Quadro institucional da segurança do ciberespaço

Com o novo Regime Jurídico da Cibersegurança, o Centro Nacional de Cibersegurança reforça o seu papel central na proteção do ciberespaço nacional, no apoio às entidades públicas e privadas e na defesa dos interesses estratégicos do Estado português, com vista à promoção de uma cultura de cibersegurança e de um ecossistema mais resiliente.
O Quadro Institucional da Segurança do Ciberespaço é reforçado, passando a integrar as seguintes entidades, de acordo com o artigo 15.º do Decreto-lei 125/2025:
  • O Conselho Superior de Segurança do Ciberespaço (CSSC), na qualidade de órgão consultivo do Primeiro-Ministro no domínio da cibersegurança;
  • O Centro Nacional de Cibersegurança (CNCS), na qualidade de autoridade nacional de cibersegurança, ponto de contacto único para efeitos de cooperação no âmbito da União Europeia e ao nível internacional, autoridade nacional de certificação de cibersegurança e entidade que integra a equipa de resposta a incidentes de cibersegurança nacional;
  • O Secretário-Geral do Sistema de Segurança Interna, na qualidade de autoridade nacional de gestão de crises e incidentes de cibersegurança em grande escala.
Integram ainda o quadro institucional da segurança do ciberespaço, na qualidade de autoridades nacionais setoriais de cibersegurança:
  • O Gabinete Nacional de Segurança (GNS), no que respeita aos serviços de confiança nas transações eletrónicas no mercado interno;
  • A Autoridade Nacional de Comunicações (ANACOM), no que respeita à matéria das comunicações eletrónicas e dos serviços postais.
E, na qualidade de autoridades nacionais especiais de cibersegurança:
  • A Comissão de Avaliação de Segurança do Ciberespaço;
  • A Polícia Judiciária;
  • O Serviço de Informações de Segurança;
  • O Serviço de Informações Estratégicas de Defesa;
  • O Comando de Operações de Ciberdefesa.
No que respeita à matéria da resiliência operacional digital do setor financeiro:
  • A Autoridade de Supervisão de Seguros e Fundos de Pensões;
  • A Comissão do Mercado de Valores Mobiliários;
  • O Banco de Portugal.

Instrumentos estruturantes da Segurança do Ciberespaço

O novo Regime Jurídico da Cibersegurança define como instrumentos estruturantes da segurança do ciberespaço:
  • A Estratégia Nacional de Segurança do Ciberespaço (ENSC), que define o enquadramento, as prioridades, os objetivos estratégicos nacionais e um quadro de governação definidor das funções e responsabilidades das partes interessadas a nível nacional;
  • O Plano nacional de resposta a crises e incidentes de cibersegurança em grande escala, que estabelece os objetivos e modalidades de gestão deste tipo de crises e incidentes.
  • O Quadro Nacional de Referência para a Cibersegurança (QNRCS), como instrumento nacional de referência para a identificação das normas, padrões e boas práticas existentes em matéria de gestão da cibersegurança e da segurança da informação;
  • A Estratégia Nacional de Ciberdefesa, que estabelece uma visão que visa densificar conceitos e promover o desenvolvimento das capacidades de ciberdefesa nacional, no âmbito das Forças Armadas, devidamente articulada com as estruturas civis da defesa nacional, bem como com outras áreas de governação e entidades com responsabilidade pela segurança do ciberespaço, contribuindo para uma maior resiliência e soberania nacional no ciberespaço;
  • O Conceito Estratégico de Defesa Nacional, que define os aspetos fundamentais da estratégia global a adotar pelo Estado para a consecução dos objetivos da política de segurança e defesa nacional.

Responsabilidades no novo Regime Juridíco da Cibersegurança

Obrigações gerais das entidades abrangidas
As entidades abrangidas pelo novo Regime jurídico são responsáveis por assegurar a segurança das suas redes e sistemas de informação. Estas responsabilidades visam promover uma cultura de gestão de risco robusta e mais resiliente face às ciberameaças, nomeadamente:
  • Adotar medidas técnicas, operacionais e organizativas adequadas para gerir eficazmente os riscos de cibersegurança;
  • Garantir que essas medidas impedem ou minimizam o impacto de incidentes sobre os serviços que prestam;
  • Avaliar periodicamente riscos e atualizar práticas de segurança em conformidade com as exigências legais.
Obrigações específicas dos órgãos de gestão
Os órgãos de gestão, direção e administração das entidades abrangidas passam a ter responsabilidades que reforçam a sua obrigação de diligência, alinhando a governança interna com o novo quadro legal, designadamente:
  • Aprovar formalmente as políticas e medidas de gestão dos riscos de cibersegurança;
  • Supervisionar a implementação dessas medidas no âmbito organizacional;
  • Assegurar o cumprimento das obrigações legais de prevenção, deteção, resposta e recuperação em situações de incidente;
  • Promover e garantir a formação contínua em cibersegurança junto das equipas relevantes.
Os titulares dos órgãos de gestão, direção e administração podem responder por ação ou omissão, com dolo ou culpa grave, pelas infrações previstas no Regime Jurídico da Cibersegurança, nos termos da legislação aplicável.
Isto significa que, perante falhas graves na gestão dos riscos de cibersegurança que resultem em incumprimento significativo das obrigações legais, os titulares dos órgãos de gestão podem:
  • Ser responsabilizados civilmente por prejuízos causados;
  • Responder por ação ou omissão, com dolo ou culpa grave na sua conduta, nos termos da legislação aplicável.

Regime sancionatório do novo Regime Jurídico da Cibersegurança

Para reforçar a responsabilização pelo cumprimento das obrigações previstas no novo Regime Jurídico da Cibersegurança, o respetivo quadro sancionatório foi significativamente agravado. As contraordenações podem dar lugar à aplicação de coimas que podem atingir até 10 milhões de euros ou 2 % do volume de negócios anual a nível mundial da entidade no exercício financeiro anterior, consoante o montante que for mais elevado.

Entrada em vigor

O novo Regime Jurídico da Cibersegurança entra em vigor 120 dias após a sua publicação — em 03 de abril de 2026. Até esta data mantêm-se, integralmente, em vigor todos os direitos e obrigações previstos no Regime Jurídico da Segurança do Ciberespaço, constante da Lei n.º 46/2018, de 13 de agosto, assim como o Decreto-Lei n.º 65/2021, de 30 de julho e o Regulamento n.º 183/2022, de 21 de fevereiro.
Última atualização em 28-01-2026