Cibersegurança

Transposição da NIS2 em Portugal: prazos e obrigações

Transposição da NIS2 em Portugal: estado legislativo, o CNCS como autoridade, entidades essenciais vs importantes, gestão de risco e notificação de incidentes.

Also available in:Français·Español·Deutsch

A diretiva NIS2 (Diretiva (UE) 2022/2555) devia ter sido transposta por todos os Estados-Membros até 17 de outubro de 2024. Portugal não cumpriu esse prazo — à semelhança da maioria dos Estados-Membros — o que levou a Comissão Europeia a instaurar procedimentos por incumprimento. A transposição nacional far-se-á pela revisão do Regime Jurídico da Segurança do Ciberespaço, hoje na Lei n.º 46/2018, tendo o CNCS — Centro Nacional de Cibersegurança — como autoridade nacional. As empresas abrangidas devem, por isso, preparar-se com base na própria diretiva, porque as obrigações materiais já são conhecidas mesmo antes de a lei portuguesa entrar em vigor.

Este guia explica o estado da transposição, quem é abrangido, e as obrigações concretas de gestão de risco e notificação de incidentes que a NIS2 impõe.

Pontos essenciais

  • O prazo de transposição terminou em 17 de outubro de 2024; Portugal não o cumpriu atempadamente.
  • A transposição far-se-á revendo o Regime Jurídico da Segurança do Ciberespaço (Lei 46/2018).
  • O CNCS é a autoridade nacional de cibersegurança e ponto de contacto.
  • Distinção entidades essenciais / importantes determina a intensidade da supervisão e o teto das coimas.

Estado da transposição em Portugal

À data desta análise, Portugal ainda não tinha concluído a transposição da NIS2 para o direito interno. A diretiva estabelece que os Estados-Membros deviam adotar e publicar as medidas de transposição até 17 de outubro de 2024, aplicando-as a partir de 18 de outubro de 2024. O atraso português inscreve-se num quadro europeu generalizado de incumprimento, que motivou a abertura de procedimentos por infração pela Comissão Europeia contra vários Estados-Membros.

O caminho legislativo passa pela revisão do Regime Jurídico da Segurança do Ciberespaço (Lei n.º 46/2018), que já transpôs a primeira diretiva NIS. Enquanto a nova lei não entra em vigor, as empresas abrangidas devem confirmar o estado legislativo atual junto do CNCS e preparar a conformidade com base no texto da própria diretiva, disponível no EUR-Lex. A diretiva não tem, em regra, efeito direto horizontal, mas o seu conteúdo material é o que a lei nacional irá impor.

Quem é abrangido: entidades essenciais vs importantes

A NIS2 alarga substancialmente o âmbito da NIS1. Distingue duas categorias, com base nos setores dos anexos I e II e na dimensão da entidade:

Critério Entidades essenciais Entidades importantes
Setores Anexo I (energia, saúde, banca, água, infra digital…) Anexo II (correios, resíduos, alimentar, fabrico…)
Dimensão típica Grandes empresas Médias empresas
Supervisão Proativa (auditorias ex ante) Reativa (ex post)
Teto de coima Até 10 M€ ou 2% do volume de negócios mundial Até 7 M€ ou 1,4% do volume de negócios mundial

A regra geral de dimensão abrange médias e grandes empresas (a partir de 50 trabalhadores ou 10 M€ de volume de negócios), mas há entidades abrangidas independentemente da dimensão, como certos fornecedores de infraestruturas digitais e a administração pública. A determinação do âmbito é o primeiro exercício que qualquer organização deve fazer.

As obrigações de gestão de risco

O artigo 21.º da NIS2 impõe medidas técnicas e organizativas de gestão de risco proporcionais, que incluem, no mínimo: políticas de análise de risco e de segurança dos sistemas; gestão de incidentes; continuidade de negócio e gestão de cópias de segurança; segurança da cadeia de abastecimento; segurança na aquisição e manutenção de sistemas; políticas de avaliação da eficácia das medidas; práticas de higiene cibernética e formação; criptografia; controlo de acessos e gestão de ativos; e autenticação multifator.

Uma novidade central é a responsabilização dos órgãos de gestão (artigo 20.º): a direção tem de aprovar as medidas, supervisionar a sua implementação e receber formação — e pode ser responsabilizada pelo incumprimento. A cibersegurança deixa de ser um assunto exclusivo do departamento de TI.

A notificação de incidentes

A NIS2 (artigo 23.º) estabelece um regime de notificação faseado ao CSIRT ou à autoridade competente:

  • Alerta precoce — em 24 horas após conhecimento de um incidente significativo.
  • Notificação de incidente — em 72 horas, com avaliação inicial (gravidade, impacto, indicadores de compromisso).
  • Relatório final — em um mês, com a descrição completa, a causa e as medidas aplicadas.

Este regime não deve ser confundido com a notificação de violações de dados pessoais do RGPD. Uma mesma ocorrência — um ransomware que cifra dados de clientes, por exemplo — pode desencadear duas notificações distintas: a de incidente de cibersegurança ao CNCS/CSIRT (NIS2) e a de violação de dados pessoais à CNPD em 72 horas (artigo 33.º RGPD). Veja como se articulam no guia sobre a notificação de violação de dados à CNPD.

Como preparar a conformidade agora

Não esperar pela lei portuguesa é a decisão sensata. O trabalho preparatório assenta em quatro passos: determinar o âmbito (é essencial, importante ou está fora?); fazer o levantamento de risco dos sistemas e da cadeia de abastecimento; implementar as medidas do artigo 21.º; e estabelecer o processo de notificação com os prazos de 24h/72h/1 mês. A NIS2 cruza-se com o RGPD na segurança dos dados (artigo 32.º) e com a DORA no setor financeiro — pelo que a conformidade ganha em ser tratada de forma integrada. O inventário de ativos e sistemas exigido pela NIS2 sobrepõe-se, em boa parte, ao registo de atividades de tratamento do RGPD: mapear onde estão os dados serve tanto a segurança da informação como a proteção de dados pessoais.

Para o suporte tecnológico, veja as nossas análises de software NIS2 em Portugal e de software DORA; para a base de proteção de dados que a NIS2 pressupõe, o software de conformidade RGPD. Plataformas que integram os três referenciais evitam a duplicação de esforço entre equipas de segurança e de proteção de dados.

Perguntas frequentes

A NIS2 já está em vigor em Portugal?

A diretiva NIS2 está em vigor a nível europeu desde 2023 e devia ter sido transposta até 17 de outubro de 2024. Portugal não cumpriu esse prazo; a transposição far-se-á pela revisão do Regime Jurídico da Segurança do Ciberespaço. Deve confirmar o estado legislativo atual junto do CNCS.

Qual é a diferença entre entidade essencial e importante?

A classificação depende do setor (anexos I e II) e da dimensão. As entidades essenciais estão sujeitas a supervisão proativa e a coimas até 10 M€ ou 2% do volume de negócios mundial; as importantes a supervisão reativa e a coimas até 7 M€ ou 1,4%. A intensidade da supervisão é a principal diferença prática.

Quais são os prazos de notificação de incidentes da NIS2?

Três fases: alerta precoce em 24 horas, notificação de incidente em 72 horas e relatório final em um mês. Estes prazos são autónomos face ao prazo de 72 horas do RGPD para violações de dados pessoais — um incidente pode obrigar às duas notificações.

Quem é a autoridade nacional de cibersegurança em Portugal?

O CNCS, Centro Nacional de Cibersegurança, é a autoridade nacional e o ponto de contacto para a NIS2, acolhendo também o CSIRT nacional. A revisão legislativa em curso deverá consolidar e alargar as suas competências.

Conclusão

A transposição tardia da NIS2 em Portugal não é desculpa para adiar a preparação: as obrigações materiais — gestão de risco do artigo 21.º, responsabilização da gestão, notificação em 24h/72h/1 mês — já são conhecidas e derivam diretamente da diretiva. Determine o âmbito, levante o risco, implemente as medidas e estabeleça o processo de notificação, articulando-o com o RGPD. Quando a lei portuguesa entrar em vigor, a organização preparada apenas terá de confirmar detalhes; a que esperou começará do zero sob pressão.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →