A diretiva NIS2 (Diretiva (UE) 2022/2555) devia ter sido transposta por todos os Estados-Membros até 17 de outubro de 2024. Portugal não cumpriu esse prazo — à semelhança da maioria dos Estados-Membros — o que levou a Comissão Europeia a instaurar procedimentos por incumprimento. A transposição nacional far-se-á pela revisão do Regime Jurídico da Segurança do Ciberespaço, hoje na Lei n.º 46/2018, tendo o CNCS — Centro Nacional de Cibersegurança — como autoridade nacional. As empresas abrangidas devem, por isso, preparar-se com base na própria diretiva, porque as obrigações materiais já são conhecidas mesmo antes de a lei portuguesa entrar em vigor.
Este guia explica o estado da transposição, quem é abrangido, e as obrigações concretas de gestão de risco e notificação de incidentes que a NIS2 impõe.
Pontos essenciais
- O prazo de transposição terminou em 17 de outubro de 2024; Portugal não o cumpriu atempadamente.
- A transposição far-se-á revendo o Regime Jurídico da Segurança do Ciberespaço (Lei 46/2018).
- O CNCS é a autoridade nacional de cibersegurança e ponto de contacto.
- Distinção entidades essenciais / importantes determina a intensidade da supervisão e o teto das coimas.
Estado da transposição em Portugal
À data desta análise, Portugal ainda não tinha concluído a transposição da NIS2 para o direito interno. A diretiva estabelece que os Estados-Membros deviam adotar e publicar as medidas de transposição até 17 de outubro de 2024, aplicando-as a partir de 18 de outubro de 2024. O atraso português inscreve-se num quadro europeu generalizado de incumprimento, que motivou a abertura de procedimentos por infração pela Comissão Europeia contra vários Estados-Membros.
O caminho legislativo passa pela revisão do Regime Jurídico da Segurança do Ciberespaço (Lei n.º 46/2018), que já transpôs a primeira diretiva NIS. Enquanto a nova lei não entra em vigor, as empresas abrangidas devem confirmar o estado legislativo atual junto do CNCS e preparar a conformidade com base no texto da própria diretiva, disponível no EUR-Lex. A diretiva não tem, em regra, efeito direto horizontal, mas o seu conteúdo material é o que a lei nacional irá impor.
Quem é abrangido: entidades essenciais vs importantes
A NIS2 alarga substancialmente o âmbito da NIS1. Distingue duas categorias, com base nos setores dos anexos I e II e na dimensão da entidade:
| Critério | Entidades essenciais | Entidades importantes |
|---|---|---|
| Setores | Anexo I (energia, saúde, banca, água, infra digital…) | Anexo II (correios, resíduos, alimentar, fabrico…) |
| Dimensão típica | Grandes empresas | Médias empresas |
| Supervisão | Proativa (auditorias ex ante) | Reativa (ex post) |
| Teto de coima | Até 10 M€ ou 2% do volume de negócios mundial | Até 7 M€ ou 1,4% do volume de negócios mundial |
A regra geral de dimensão abrange médias e grandes empresas (a partir de 50 trabalhadores ou 10 M€ de volume de negócios), mas há entidades abrangidas independentemente da dimensão, como certos fornecedores de infraestruturas digitais e a administração pública. A determinação do âmbito é o primeiro exercício que qualquer organização deve fazer.
As obrigações de gestão de risco
O artigo 21.º da NIS2 impõe medidas técnicas e organizativas de gestão de risco proporcionais, que incluem, no mínimo: políticas de análise de risco e de segurança dos sistemas; gestão de incidentes; continuidade de negócio e gestão de cópias de segurança; segurança da cadeia de abastecimento; segurança na aquisição e manutenção de sistemas; políticas de avaliação da eficácia das medidas; práticas de higiene cibernética e formação; criptografia; controlo de acessos e gestão de ativos; e autenticação multifator.
Uma novidade central é a responsabilização dos órgãos de gestão (artigo 20.º): a direção tem de aprovar as medidas, supervisionar a sua implementação e receber formação — e pode ser responsabilizada pelo incumprimento. A cibersegurança deixa de ser um assunto exclusivo do departamento de TI.
A notificação de incidentes
A NIS2 (artigo 23.º) estabelece um regime de notificação faseado ao CSIRT ou à autoridade competente:
- Alerta precoce — em 24 horas após conhecimento de um incidente significativo.
- Notificação de incidente — em 72 horas, com avaliação inicial (gravidade, impacto, indicadores de compromisso).
- Relatório final — em um mês, com a descrição completa, a causa e as medidas aplicadas.
Este regime não deve ser confundido com a notificação de violações de dados pessoais do RGPD. Uma mesma ocorrência — um ransomware que cifra dados de clientes, por exemplo — pode desencadear duas notificações distintas: a de incidente de cibersegurança ao CNCS/CSIRT (NIS2) e a de violação de dados pessoais à CNPD em 72 horas (artigo 33.º RGPD). Veja como se articulam no guia sobre a notificação de violação de dados à CNPD.
Como preparar a conformidade agora
Não esperar pela lei portuguesa é a decisão sensata. O trabalho preparatório assenta em quatro passos: determinar o âmbito (é essencial, importante ou está fora?); fazer o levantamento de risco dos sistemas e da cadeia de abastecimento; implementar as medidas do artigo 21.º; e estabelecer o processo de notificação com os prazos de 24h/72h/1 mês. A NIS2 cruza-se com o RGPD na segurança dos dados (artigo 32.º) e com a DORA no setor financeiro — pelo que a conformidade ganha em ser tratada de forma integrada. O inventário de ativos e sistemas exigido pela NIS2 sobrepõe-se, em boa parte, ao registo de atividades de tratamento do RGPD: mapear onde estão os dados serve tanto a segurança da informação como a proteção de dados pessoais.
Para o suporte tecnológico, veja as nossas análises de software NIS2 em Portugal e de software DORA; para a base de proteção de dados que a NIS2 pressupõe, o software de conformidade RGPD. Plataformas que integram os três referenciais evitam a duplicação de esforço entre equipas de segurança e de proteção de dados.
Perguntas frequentes
A NIS2 já está em vigor em Portugal?
A diretiva NIS2 está em vigor a nível europeu desde 2023 e devia ter sido transposta até 17 de outubro de 2024. Portugal não cumpriu esse prazo; a transposição far-se-á pela revisão do Regime Jurídico da Segurança do Ciberespaço. Deve confirmar o estado legislativo atual junto do CNCS.
Qual é a diferença entre entidade essencial e importante?
A classificação depende do setor (anexos I e II) e da dimensão. As entidades essenciais estão sujeitas a supervisão proativa e a coimas até 10 M€ ou 2% do volume de negócios mundial; as importantes a supervisão reativa e a coimas até 7 M€ ou 1,4%. A intensidade da supervisão é a principal diferença prática.
Quais são os prazos de notificação de incidentes da NIS2?
Três fases: alerta precoce em 24 horas, notificação de incidente em 72 horas e relatório final em um mês. Estes prazos são autónomos face ao prazo de 72 horas do RGPD para violações de dados pessoais — um incidente pode obrigar às duas notificações.
Quem é a autoridade nacional de cibersegurança em Portugal?
O CNCS, Centro Nacional de Cibersegurança, é a autoridade nacional e o ponto de contacto para a NIS2, acolhendo também o CSIRT nacional. A revisão legislativa em curso deverá consolidar e alargar as suas competências.
Conclusão
A transposição tardia da NIS2 em Portugal não é desculpa para adiar a preparação: as obrigações materiais — gestão de risco do artigo 21.º, responsabilização da gestão, notificação em 24h/72h/1 mês — já são conhecidas e derivam diretamente da diretiva. Determine o âmbito, levante o risco, implemente as medidas e estabeleça o processo de notificação, articulando-o com o RGPD. Quando a lei portuguesa entrar em vigor, a organização preparada apenas terá de confirmar detalhes; a que esperou começará do zero sob pressão.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial