Durante quase uma década a cibersegurança em Portugal viveu sob um regime fragmentado, apoiado sobretudo na Lei n.º 46/2018 e em orientações sectoriais avulsas. Essa fase terminou. Com a publicação do Decreto-Lei n.º 125/2025, a 4 de dezembro de 2025, o país passou a dispor de um Regime Jurídico da Cibersegurança unificado, que concretiza a transposição da Diretiva (UE) 2022/2555, vulgarmente designada por NIS2, e que consolida o Centro Nacional de Cibersegurança como autoridade nacional de referência.

Da norma dispersa ao regime jurídico único

O diploma entra formalmente em vigor a 3 de abril de 2026, decorridos 120 dias sobre a sua publicação, e prevê uma aplicação faseada das obrigações mais exigentes durante os 24 meses seguintes, na dependência dos regulamentos técnicos a emitir pelo CNCS. Na prática, o impacto pleno só se fará sentir a partir de 2028, mas o prazo de adaptação é hoje, não amanhã.

O que está em causa não é uma atualização normativa incremental. É uma mudança de paradigma. A cibersegurança deixa de ser encarada como função acessória das tecnologias de informação e passa a ser reconhecida como responsabilidade de topo, com consequências patrimoniais e pessoais para quem tem o dever de decidir e supervisionar.

A arquitetura institucional. Quem faz o quê

O novo regime assenta numa repartição clara de papéis. O CNCS, enquanto autoridade nacional competente, centraliza a supervisão, emite regulamentação técnica, gere a plataforma eletrónica de registo e de reporte e coopera com as autoridades congéneres europeias. A seu lado surgem autoridades sectoriais com competências específicas em áreas como comunicações eletrónicas, energia, saúde e serviços financeiros, cuja articulação com o CNCS terá de ser rigorosa sob pena de fragmentação.

Em resposta a incidentes graves está previsto um Gabinete de Crise convocado pelo Secretário-Geral do Sistema de Segurança Interna, composto por representantes da Polícia Judiciária, do Serviço de Informações de Segurança e do próprio CNCS. Esta arquitetura reconhece aquilo que a experiência operacional há muito demonstrou. Um incidente de cibersegurança relevante raramente é apenas técnico. Cruza quase sempre com o direito penal, com a proteção de dados, com a segurança pública e, em certos casos, com a defesa nacional.

Entidades essenciais, entidades importantes e entidades públicas relevantes

A NIS2 alarga significativamente o perímetro subjetivo face ao regime anterior. Estima-se que o novo quadro abranja cerca de dez vezes mais entidades do que a NIS1, o que traduz uma ambição reguladora sem precedentes. O Decreto-Lei n.º 125/2025 estabelece três grandes categorias de destinatários, distribuídas pelos Anexos I e II do diploma.

Consideram-se entidades essenciais, à luz do artigo 7.º, as que pertencem aos sectores enumerados no Anexo I e excedam os limiares da média empresa fixados na Recomendação 2003/361/CE da Comissão, bem como, independentemente da sua dimensão, os prestadores qualificados de serviços de confiança, os registos de nomes de domínio de topo, os prestadores de serviços DNS, as empresas que oferecem redes públicas de comunicações eletrónicas, a administração pública central e determinadas entidades cuja interrupção afete gravemente a segurança pública ou económica. Os sectores do Anexo I abrangem energia, transportes, banca, infraestruturas dos mercados financeiros, saúde, água potável, águas residuais, infraestruturas digitais, gestão de serviços TIC, administração pública e espaço.

As entidades importantes correspondem aos sectores do Anexo II, onde se incluem serviços postais e de correio, gestão de resíduos, fabrico e distribuição de produtos químicos, produção e distribuição alimentar, fabrico de dispositivos médicos e de outros equipamentos críticos, prestadores de serviços digitais e investigação científica. Mantêm os deveres de gestão de risco e de reporte, mas submetem-se a um regime de supervisão ex post, ou seja, fundamentalmente após a ocorrência de indícios de incumprimento.

A terceira categoria, das entidades públicas relevantes, apanha a administração pública que não preenche os critérios de entidade essencial ou importante. É aqui que se encontram os serviços da administração direta com 250 ou mais trabalhadores, as regiões autónomas, as autarquias locais com dimensão equivalente e as entidades públicas empresariais que excedam os limiares do Anexo II. A inclusão expressa das autarquias como entidades essenciais do sector administração pública é, aliás, um dos traços mais marcantes do diploma português.

A qualificação concreta, porém, não resulta automaticamente da lei. O artigo 8.º estabelece um procedimento formal em que a entidade se auto-identifica na plataforma do CNCS, esta valida a informação e a decisão final de classificação é homologada. Até que o CNCS emita regulamentação

técnica complementar, permanece uma zona cinzenta de autoavaliação cujo risco, ainda assim, recai sobre a entidade.

O que é exigido. Medidas de gestão de risco

O artigo 21.º da Diretiva, replicado no regime nacional, impõe às entidades abrangidas a adoção de medidas técnicas, operacionais e organizativas adequadas e proporcionadas. O Anexo III do Decreto-Lei n.º 125/2025 distribui essas medidas por três níveis. O nível básico contempla 39 medidas, o nível substancial 75 e o nível elevado 91. A aplicação de cada nível é função do perfil de risco, da criticidade sectorial e da dimensão da entidade, avaliados com recurso à Matriz de Risco constante do Anexo II.

A integração de um Sistema de Gestão de Segurança da Informação certificado pela ISO/IEC 27001, articulado com a ISO/IEC 27002 para a seleção de controlos e com a ISO/IEC 27005 para a metodologia de gestão de risco, continua a ser o caminho mais eficiente para cumprir a NIS2. Mas é preciso mais. É preciso acrescentar os procedimentos de notificação aos prazos e formatos definidos pelo regulador, a avaliação formalizada de fornecedores críticos e a documentação da formação e aprovação dos órgãos de direção.

Incidentes significativos. 24 horas, 72 horas, 30 dias

Talvez seja no regime de reporte de incidentes que o carácter disruptivo da NIS2 se torna mais evidente. O artigo 23.º do diploma estabelece uma obrigação de notificação faseada ao CNCS. O alerta inicial deve ser emitido sem demora injustificada e no prazo máximo de 24 horas após o conhecimento do incidente significativo. A notificação completa, com impacto, medidas de contenção e indicadores de compromisso, deve ocorrer em 72 horas. O relatório final, incluindo análise de causa raiz, impacto consolidado e lições aprendidas, é devido no prazo de um mês. Entre estes marcos ocorre ainda a notificação de cessação de impacto, em 24 horas após a resolução.

Considera-se significativo o incidente que provoque perturbação operacional grave, perdas financeiras substanciais, impacto material noutras entidades ou compromisso de dados pessoais

de grande escala. Entram nesta categoria, como facilmente se intui, os episódios de ransomware, os compromissos de credenciais de administração e a indisponibilidade de serviços críticos.

O que é verdadeiramente novo não é o prazo em si. É a articulação entre o dever de reportar e o dever paralelo de notificar a Comissão Nacional de Proteção de Dados ao abrigo do artigo 33.º do RGPD, sempre que haja violação de dados pessoais. Na prática, o CISO e o DPO têm de falar a mesma língua e operar em tempo real, sob pena de as duas notificações desconversarem, com consequências contraordenacionais nos dois regimes.

A cibersegurança sobe à administração

Este é, talvez, o ponto mais transformador do novo regime, e aquele em que mais insisto nas formações que ministro. O artigo 20.º da NIS2, transposto pelo Decreto-Lei n.º 125/2025, determina que os órgãos de direção das entidades essenciais e importantes aprovam as medidas de gestão de risco de cibersegurança, supervisionam a sua aplicação e podem ser pessoalmente responsabilizados pelas infrações cometidas.

Não é uma formulação retórica. É um dever de conteúdo. Aprovar não significa receber uma apresentação e votar em bloco. Significa compreender o que está a ser aprovado, interrogar, exigir evidência e registar em ata deliberações fundamentadas. Supervisionar significa rever periodicamente a implementação, verificar indicadores, pedir auditoria independente e intervir quando os resultados não correspondem ao aprovado.

A isto acresce a obrigação de formação específica. O mesmo artigo 20.º impõe aos membros dos órgãos de direção formação regular em cibersegurança, extensiva aos colaboradores em matéria de ciberhigiene. Não basta um curso de duas horas em janeiro para preencher campos na plataforma. Exige-se uma competência efetiva, proporcional ao nível de responsabilidade. A cibersegurança torna-se, assim, uma qualificação de administração, comparável ao domínio de matérias financeiras ou laborais.

Decorre daqui uma regra de governação que me parece inegociável. O responsável de cibersegurança, o CISO na terminologia internacional ou o responsável de cibersegurança na terminologia do artigo 31.º do Decreto-Lei n.º 125/2025, deve ter linha de reporte direta ao órgão de administração. Colocá-lo sob a direção de sistemas de informação é submeter o fiscal da segurança ao responsável pela construção e operação daquilo que ele fiscaliza. É replicar o erro clássico de subordinar a auditoria interna ao diretor financeiro. A independência funcional é condição de eficácia, não um luxo organizativo. Esta regra, aliás, tem afinidade com a lógica de independência do Encarregado de Proteção de Dados, consagrada no artigo 38.º do RGPD, e deveria inspirar o desenho orgânico da função de cibersegurança em Portugal.

O perfil do CISO. Técnico, jurista, formador e crítico de si mesmo

O CISO de uma entidade abrangida pela NIS2 não pode ser um técnico puro, por mais brilhante que seja. Tem de dominar arquitetura de sistemas, redes, criptografia, deteção e resposta. Mas tem também de saber ler um regulamento, interpretar uma cláusula contratual com um fornecedor de serviços cloud, articular uma notificação conjunta ao CNCS e à CNPD e sustentar perante o conselho de administração um orçamento plurianual com métricas de retorno.

Tem de conhecer a ISO/IEC 27001, a ISO/IEC 27002, a ISO/IEC 27005, a ISO/IEC 22301 para continuidade de negócio e os frameworks de referência como o NIST Cybersecurity Framework e os controlos do CIS. Mas tem também de conhecer o RGPD, o regime contraordenacional do próprio Decreto-Lei n.º 125/2025, o Cyber Resilience Act, o Digital Operational Resilience Act quando aplicável, e as convenções internacionais em matéria de cibercrime. É um papel de fronteira, e essa é precisamente a sua utilidade.

O bom CISO institui uma cultura de formação contínua. Ministra sessões regulares aos órgãos de direção, com linguagem acessível e casos concretos, e promove ações específicas para áreas de negócio expostas, como jurídica, financeira, recursos humanos e comunicação. Organiza exercícios de simulação que vão do tabletop com a administração à simulação técnica red team e purple team, passando por campanhas controladas de phishing. Cada exercício produz um relatório, cada relatório produz ações corretivas e cada ação corretiva é verificada.

Mas a característica que mais distingue o profissional maduro é a autocrítica estruturada. Um bom CISO é o primeiro a identificar as vulnerabilidades da sua própria organização, inclusive as do seu próprio perímetro de atuação. Convoca auditorias independentes, aceita os resultados, documenta-os sem cosmética e apresenta-os à administração. Uma instituição só se torna resiliente quando a sua liderança técnica tem a humildade de reconhecer fragilidades e a firmeza de as corrigir, uma a uma, até construir uma infraestrutura verdadeiramente blindada.

Regime sancionatório. O peso das consequências

O legislador europeu, desta vez, não hesitou em dotar a norma de músculo. As entidades essenciais que violem obrigações materiais da NIS2 enfrentam coimas até 10 milhões de euros ou 2% do volume de negócios anual mundial consolidado, consoante o valor mais elevado. Para as entidades importantes o teto é de 7 milhões de euros ou 1,4% do volume de negócios mundial. A título pessoal, os dirigentes podem ainda incorrer em coimas até 125 mil euros em contraordenações muito graves praticadas por entidades essenciais, acrescidas da sanção acessória de interdição temporária do exercício de funções de direção.

O Decreto-Lei n.º 125/2025 institui, com racionalidade, um período de carência de coimas de 12 meses após a entrada em vigor, ou seja, até abril de 2027. Durante esse período as entidades podem beneficiar de uma aplicação benevolente desde que demonstrem boa-fé e esforço genuíno de

conformidade. É uma janela, não uma suspensão. Quem chegar a abril de 2027 sem um CISO nomeado, sem registo na plataforma do CNCS, sem políticas aprovadas em ata e sem um programa de formação documentado, não terá argumentos.

O calendário prático das instituições

O tempo mede-se hoje em marcos. A publicação do diploma ocorreu a 4 de dezembro de 2025. A entrada em vigor aconteceu a 3 de abril de 2026. A nomeação do responsável de cibersegurança e do ponto de contacto permanente junto do CNCS tem de estar concluída até 20 dias úteis após a entrada em vigor, ou seja, até 4 de maio de 2026. O registo na plataforma MyCiber do CNCS segue calendário próprio a definir por regulamento. O período de carência termina a 3 de abril de 2027. A partir desse momento aplica-se plenamente o regime sancionatório.

Para além destes marcos, as entidades essenciais passam a apresentar anualmente um relatório de conformidade e uma lista atualizada de ativos expostos, através dos modelos disponibilizados pelo CNCS. As entidades importantes apresentam-nos quando solicitadas. Esta arquitetura de reporte periódico é, em si mesma, um mecanismo de disciplina interna. Quem tem de relatar, em regra, organiza-se.

Um olhar crítico. Entre o mínimo e o essencial

Seria pouco honesto fechar este artigo sem registar uma preocupação. A transposição portuguesa optou por remeter para regulamentação futura do CNCS um conjunto muito relevante de aspetos técnicos, critérios operacionais e modelos de supervisão. Durante os próximos anos operaremos num quadro jurídico parcialmente aberto, em que a clareza dependerá da capacidade do regulador emitir orientações atempadas. Num domínio tão crítico como a cibersegurança, esta incerteza pode traduzir-se em respostas desiguais e fragilidades acumuladas.

Há também um risco de leitura minimalista, por parte das entidades, que vejam o Decreto-Lei n.º 125/2025 como um exercício de preenchimento formal. Quem assim o encarar estará a preparar o próximo incidente. A NIS2 só reduz efetivamente o número e o impacto dos ciberataques quando é apropriada como instrumento de cultura organizacional, e não como checklist de conformidade.

Uma oportunidade para repensar a governação digital

Apesar destas reservas, o saldo é claramente positivo. Pela primeira vez em Portugal dispomos de um quadro jurídico integrado, com ambição continental, que reconhece a cibersegurança como função de estado e de conselho de administração. A NIS2 tem potencial para reduzir ataques, sim, mas sobretudo para ajudar as instituições a organizar as suas políticas internas, a profissionalizar a função de segurança, a disciplinar os seus fornecedores e a elevar a literacia digital dos seus dirigentes.

A verdadeira transformação, porém, não virá do diploma. Virá da forma como cada administração o incorporar na sua agenda estratégica, como cada CISO o traduzir em práticas de verificação contínua e como cada cidadão o reconhecer como garantia da confiança digital que todos partilhamos. A cibersegurança, no fim, é uma das formas contemporâneas de confiança pública. E a confiança, essa, não se decreta. Constrói-se, com técnica, com direito e com método.