NIS2 em vigor em Portugal: o que as empresas devem fazer para não serem apanhadas

Gestor de TI português em escritório a consultar dashboard de cibersegurança com alertas NIS2 no ecrã
João João SantosInformática
4 min de leitura 14 de abril de 2026

A nova lei de cibersegurança em Portugal entrou em vigor a 3 de abril de 2026. Desde esse dia, milhares de empresas portuguesas — de PMEs a grandes grupos — passaram a estar sujeitas a obrigações concretas, prazos curtos e coimas que podem chegar a 10 milhões de euros. E a maioria ainda não sabe que está abrangida.

A lei que entrou em vigor silenciosamente

O Decreto-Lei 125/2025, publicado a 4 de dezembro de 2025, transpõe para o direito português a Diretiva NIS2 da União Europeia. O prazo de 120 dias terminou a 3 de abril de 2026. A lei está em vigor. As empresas têm agora dois prazos urgentes:

  • 4 de maio de 2026 (20 dias úteis após a entrada em vigor): designação de um responsável de cibersegurança e criação de um ponto de contacto disponível 24 horas por dia, 7 dias por semana.
  • 60 dias após a plataforma do CNCS ficar disponível (plataforma em consulta pública até 22 de abril de 2026): registo obrigatório de todas as entidades abrangidas.

Segundo o portal oficial NIS2 Portugal, as entidades que não se registarem ou não designarem responsável dentro dos prazos ficam imediatamente expostas a coimas.

Quem está abrangido — e as coimas são brutais

A lei divide as empresas em dois grupos:

Entidades Essenciais (setores de energia, saúde, transportes, infraestruturas digitais, banca, água, administração pública): coima máxima de €10.000.000 ou 2% do volume de negócios global anual — o que for mais elevado.

Entidades Importantes (serviços digitais, produção de equipamentos críticos, serviços postais, alimentação, gestão de resíduos): coima máxima de €7.000.000 ou 1,4% do volume de negócios — o que for mais elevado.

Há ainda um prazo de graça de 12 meses sem coimas se a empresa demonstrar que está ativamente a adaptar-se — o que, na prática, exige documentação de um processo de conformidade em curso.

Uma novidade importante: os membros dos órgãos de gestão — administradores, CEO, diretores — passam a ser pessoalmente responsáveis por falhas de conformidade. Não basta delegar para o departamento de TI.

O que diz o contexto: Portugal tem 2.086 ataques por semana

O contexto não deixa dúvidas sobre a urgência. Segundo dados recentes, as organizações portuguesas sofrem em média 2.086 ciberataques por semana, e mais de 50% das PMEs foram alvo de pelo menos um ataque nos últimos 12 meses. A tendência para 2026 é de agravamento, impulsionada pela proliferação de ferramentas de ataque baseadas em inteligência artificial e pelo aumento da superfície de ataque causada pelo trabalho remoto.

A diretiva NIS2 não surgiu do nada: responde a um padrão europeu de vulnerabilidade crescente. Portugal é um dos países com maior percentagem de PMEs sem qualquer política formal de cibersegurança.

O que as empresas têm de fazer agora

As obrigações mínimas previstas no Artigo 21 da lei incluem:

  1. Política de segurança das redes e sistemas de informação — documentada e aprovada pela gestão
  2. Gestão de riscos — análise e tratamento periódico dos riscos cibernéticos
  3. Continuidade de negócio — plano para manutenção das operações durante e após um incidente
  4. Segurança da cadeia de fornecimento — avaliação dos riscos dos fornecedores de TI
  5. Notificação de incidentes: aviso inicial ao CNCS em 24 horas, relatório final em 30 dias úteis

Para uma PME sem departamento de TI dedicado, cumprir todos estes requisitos de raiz até maio de 2026 é um desafio real. A lei prevê que a avaliação de conformidade seja feita caso a caso, mas o registo no CNCS é obrigatório para todas as entidades abrangidas.

Existem artigos publicados na área de cibersegurança que explicam como proteger a empresa — como esta análise sobre phishing e quishing em Portugal — mas a conformidade legal exige ir mais além do que a simples proteção técnica.

Quando é obrigatório consultar um especialista de TI

Há situações em que a consulta a um especialista em cibersegurança deixou de ser opcional:

  • Não sabe se a sua empresa está abrangida pela NIS2 — a classificação como Entidade Essencial ou Importante depende do setor e da dimensão, mas nem sempre é óbvia
  • Não tem um responsável de cibersegurança — a designação tem de ser feita até 4 de maio
  • Nunca fez uma análise de riscos formal — é um requisito legal, não uma recomendação
  • Trabalha com fornecedores de TI externos — a lei exige avaliação da segurança da cadeia de fornecimento

Um consultor de TI especializado em cibersegurança pode fazer um gap analysis — identificar o que falta e o que está em conformidade — e criar um plano de ação com os passos mínimos para cumprir a lei antes dos prazos.

Nota: Este artigo é informativo e não substitui aconselhamento jurídico ou técnico especializado. Para situações concretas, consulte um advogado ou especialista em cibersegurança.

Prazos resumidos

Data Obrigação
3 abril 2026 Lei em vigor
4 maio 2026 Designar responsável + ponto de contacto 24/7
Até 22 abril 2026 Consulta pública à plataforma de registo do CNCS
60 dias após plataforma Registo obrigatório no CNCS
12 meses Período de graça para coimas (se adaptação demonstrável)

O ciberataque que vai aparecer nos títulos dos jornais amanhã pode não ser o seu. Mas a lei que entrou em vigor a 3 de abril já é — e os prazos não esperam.

Os nossos especialistas

Vantagens

Respostas rápidas e precisas para todas as suas questões e pedidos de assistência em mais de 200 categorias.

Milhares de utilizadores obtiveram uma satisfação de 4,9 em 5 para os conselhos e recomendações fornecidas pelos nossos assistentes.

Expert Zoom

Como funciona?Quem são os nossos especialistas?RevistaNotícias

Negócios

Ferramentas práticas

Contacte-nos

Email
Siga-nos
Política de privacidadeTermos de utilização