NIS2 em Portugal 2026: Obrigações para Empresas Essenciais e Importantes Por Equipa IgeraRegTech · Atualizado junho 2026 · 11 min · Fontes: Diretiva UE 2022/2555, Lei n.º 65/2021, CNCS A Diretiva NIS2 (Network and Information Security 2) entrou em vigor na União Europeia em janeiro de 2023 e o prazo de transposição para os Estados-membros terminou em outubro de 2024. Em Portugal, o quadro de cibersegurança nacional foi estabelecido pela Lei n.º 65/2021 e pelos diplomas associados, com o Centro Nacional de Cibersegurança (CNCS) como autoridade competente. As empresas que se enquadram nas categorias de entidades essenciais ou importantes têm obrigações concretas — e sanções severas em caso de incumprimento. Diretiva NIS2 (UE 2022/2555): Segunda geração da Diretiva sobre Segurança das Redes e Sistemas de Informação, que substitui a NIS1 (UE 2016/1148). Amplia significativamente o âmbito de aplicação — passa de 7 para 18 setores — e reforça as obrigações de gestão de risco, notificação de incidentes e supervisão. Aplica-se a entidades que prestam serviços essenciais para a economia e sociedade da UE, independentemente de serem públicas ou privadas. Em Portugal, a transposição foi feita através da Lei n.º 65/2021 e Decreto-Lei n.º 65/2021, com atualizações subsequentes para alinhar com o texto final da NIS2. 10.000+ "A NIS2 estima-se que abranja mais de 10.000 entidades em Portugal, um aumento de 10 vezes face ao regime anterior da NIS1, que abrangia apenas as operadoras de serviços essenciais de grande dimensão." — CNCS, Relatório de Enquadramento NIS2 em Portugal, 2025 Entidades essenciais vs. entidades importantes: como saber em qual categoria se enquadra a sua empresa A distinção entre entidade essencial e entidade importante não é apenas académica — tem impacto direto no nível de supervisão, nos requisitos de auditoria e nas sanções aplicáveis. O artigo 3.º da Diretiva NIS2 estabelece os critérios de forma clara. Critério Entidade Essencial Entidade Importante Dimensão Grande empresa (>250 trabalhadores ou >€50M vol. neg.) Média empresa (>50 trab. ou >€10M vol. neg.) Setores (exemplos) Energia, transportes, banca, saúde, águas, infraestrutura digital, espaço Serviços postais, gestão de resíduos, química, alimentação, indústria transformadora, fornecedores digitais Tipo de supervisão Proativa (auditorias regulares pelo CNCS) Reativa (após incidente ou reclamação) Sanção máxima €10M ou 2% vol. neg. global €7M ou 1,4% vol. neg. global Responsabilidade individual Gestores podem ser temporariamente proibidos de exercer funções Responsabilidade da entidade; casos graves podem implicar gestores As 5 obrigações centrais da NIS2 em Portugal 1 Registo obrigatório no CNCS Todas as entidades abrangidas pela NIS2 foram obrigadas a registar-se na plataforma do CNCS até abril de 2025. O registo requer a identificação da entidade, setor de atividade, dimensão, pontos de contacto para segurança e o responsável pela segurança da informação (CISO ou equivalente). Entidades que ainda não se registaram estão em incumprimento e sujeitas a coimas imediatas. 2 Implementação de medidas de gestão do risco de cibersegurança O artigo 21.º da Diretiva NIS2 exige que as entidades adotem medidas técnicas e organizativas adequadas para gerir os riscos de cibersegurança. Incluem: (a) políticas de análise de risco e segurança dos sistemas; (b) gestão de incidentes; (c) continuidade de negócio e recuperação de desastres; (d) segurança da cadeia de abastecimento; (e) segurança no desenvolvimento e manutenção de sistemas; (f) políticas de controlo de acessos e criptografia. 3 Notificação de incidentes: 24 horas, 72 horas e 1 mês O artigo 23.º da NIS2 estabelece um regime de notificação escalonado para incidentes significativos: alerta precoce em 24 horas (informação mínima ao CNCS); notificação inicial em 72 horas (avaliação preliminar, gravidade, impacto estimado, indicadores de comprometimento); relatório final em 1 mês (análise completa, causa raiz, medidas corretivas implementadas). Um incidente é "significativo" se causar perturbação operacional grave ou perdas financeiras consideráveis, ou se afetar outros setores ou Estados-membros. 4 Segurança da cadeia de abastecimento Uma das novidades mais exigentes da NIS2 é a obrigação de avaliar e gerir os riscos de cibersegurança dos fornecedores e prestadores de serviços. As entidades abrangidas devem incluir cláusulas de cibersegurança nos contratos com fornecedores críticos, avaliar as práticas de segurança dos seus parceiros tecnológicos e monitorizar continuamente os riscos introduzidos pela cadeia de fornecimento. Isto inclui fornecedores de software, plataformas cloud e serviços geridos (MSPs). 5 Formação e responsabilização dos órgãos de gestão O artigo 20.º da NIS2 atribui a responsabilidade final de aprovação e supervisão das medidas de cibersegurança aos órgãos de gestão (conselho de administração, direção executiva). Os gestores devem receber formação adequada em cibersegurança e podem ser pessoalmente responsabilizados em caso de incumprimento grave. Esta é uma mudança de paradigma face à NIS1, onde a responsabilidade recaía principalmente sobre as equipas técnicas. A sua equipa tem dúvidas sobre as obrigações NIS2? IgeraRegTech indexa a Diretiva NIS2, as guidelines da ENISA e a legislação portuguesa. Respostas precisas com artigo citado, em português, em segundos. Ver IgeraRegTech — demonstração gratuita Sem cartão de crédito · Ativação em menos de 24 h · Suporte em português Setores abrangidos pela NIS2 em Portugal: lista completa A NIS2 expande significativamente o âmbito sectorial face à NIS1. O Anexo I e o Anexo II da Diretiva estabelecem os setores de alta criticalidade e os setores importantes: Anexo I — Alta Criticalidade (Essencial) Anexo II — Outros Setores Críticos (Importante) Energia (eletricidade, petróleo, gás, hidrogénio) Serviços postais e de estafeta Transportes (aéreo, ferroviário, marítimo, rodoviário) Gestão de resíduos Banca e infraestrutura financeira Produção e distribuição de produtos químicos Saúde (hospitais, laboratórios, I&D farmacêutica) Produção, processamento e distribuição alimentar Água potável e águas residuais Indústria transformadora (setor crítico) Infraestrutura digital (DNS, IXPs, cloud, data centers) Fornecedores de serviços digitais (marketplace, motores de busca) Administração pública e espaço Investigação científica (organismos de I&D) Demo IgeraRegTech — consulta sobre classificação NIS2 Responsável de compliance da empresa pergunta: "A nossa empresa de logística com 120 trabalhadores e €35M de volume de negócios é entidade essencial ou importante segundo a NIS2?" IgeraRegTech responde (cita art. 3.º Diretiva NIS2 + Anexo I): "Com base no artigo 3.º da Diretiva NIS2 (UE 2022/2555) e no Anexo I (setores de alta criticalidade), uma empresa de transportes/logística com >50 trabalhadores enquadra-se como entidade importante se não ultrapassar os limiares de grande empresa (250 trabalhadores ou €50M vol. neg.). Com 120 trabalhadores e €35M de vol. neg., a vossa empresa é entidade importante (Anexo II, setor de transportes). As obrigações de notificação de incidentes, gestão de risco e registo no CNCS aplicam-se na íntegra. Sanção máxima: €7M ou 1,4% do vol. neg. global (art. 34.º NIS2)." Resposta em <5 seg Art. 3.º NIS2 citado Sanção calculada automaticamente Sanções NIS2 em Portugal: o que arrisca a sua empresa O artigo 34.º da Diretiva NIS2 estabelece um regime sancionatório mínimo que os Estados-membros devem implementar. Em Portugal, o Decreto-Lei que transpõe este regime prevê as seguintes coimas máximas: Entidades Essenciais Coima máxima: €10.000.000 ou 2% do volume de negócios mundial total do ano anterior (aplica-se o valor mais elevado) Possibilidade de proibição temporária de exercício de funções de gestão Publicação pública da infração (naming and shaming) em casos graves Entidades Importantes Coima máxima: €7.000.000 ou 1,4% do volume de negócios mundial total do ano anterior (aplica-se o valor mais elevado) Supervisão reativa (ativada após incidente ou denúncia) Ordens vinculativas de implementação de medidas corretivas Prepare a sua equipa para as auditorias do CNCS IgeraRegTech disponibiliza acesso imediato à Diretiva NIS2, às guidelines da ENISA e à legislação portuguesa de cibersegurança. Respostas com artigo citado, em português europeu. Experimentar IgeraRegTech — 14 dias grátis Sem cartão de crédito · Suporte em português europeu · Ativação em 24 h NIS2 em Portugal — pontos-chave para a sua empresa O prazo de registo obrigatório no CNCS era abril de 2025. Entidades não registadas estão em incumprimento imediato. A NIS2 abrange agora 18 setores (vs. 7 na NIS1), com foco em médias e grandes empresas de setores críticos. A notificação de incidentes significativos ao CNCS tem prazos rígidos: 24h, 72h e 1 mês. Os órgãos de gestão são pessoalmente responsabilizáveis pelo cumprimento — não apenas as equipas de TI. A segurança da cadeia de abastecimento é uma obrigação nova e exige revisão dos contratos com fornecedores. As sanções para entidades essenciais chegam a €10M ou 2% do volume de negócios global. Perguntas frequentes sobre a NIS2 em Portugal A NIS2 aplica-se a pequenas empresas em Portugal? Regra geral, não. A NIS2 aplica-se a médias e grandes empresas com mais de 50 trabalhadores ou mais de €10M de volume de negócios. As microempresas (menos de 10 trabalhadores e menos de €2M de vol. neg.) e as pequenas empresas (menos de 50 trabalhadores e menos de €10M) estão isentas, salvo exceções: se prestarem serviços de DNS, registos de nomes de domínio, plataformas de redes sociais à escala da UE, ou se forem identificadas pelo CNCS como críticas pelo impacto que uma perturbação causaria. O que acontece se a minha empresa não se registou no CNCS até abril de 2025? O não registo no prazo constitui uma infração imediata às obrigações da NIS2 transposta em Portugal. O CNCS pode abrir um processo de supervisão e aplicar coimas. A recomendação é registar-se o mais rapidamente possível, documentando o processo e demonstrando boa-fé no cumprimento retroativo. O registo tardio não elimina a responsabilidade pelo período de incumprimento, mas é tido em conta na avaliação da sanção. Consulte um advogado especializado em cibersegurança antes de agir. Qual é a diferença entre a NIS2 e o RGPD para efeitos práticos de compliance? O RGPD (Regulamento Geral de Proteção de Dados) foca-se na proteção de dados pessoais e atribui a competência de supervisão à CNPD em Portugal. A NIS2 foca-se na segurança das redes e sistemas de informação e é supervisionada pelo CNCS. As duas normas são complementares e não mutuamente exclusivas: um incidente de cibersegurança (NIS2) que implique dados pessoais (RGPD) gera obrigações de notificação para ambas as autoridades — ao CNCS em 24 horas e à CNPD em 72 horas. Muitas empresas optam por criar um processo unificado de resposta a incidentes que cubra ambos os regimes. O que é um incidente significativo para efeitos de notificação ao CNCS? O artigo 23.º da NIS2 define incidente significativo como aquele que: (a) cause ou possa causar perturbação operacional grave nos serviços prestados; (b) tenha impacto financeiro considerável na entidade; (c) afete ou possa afetar outras entidades ou outros Estados-membros. As guidelines da ENISA (publicadas em 2025) fornecem critérios quantitativos: por exemplo, indisponibilidade de serviços críticos por mais de X horas, número de utilizadores afetados acima de determinado limiar, ou perda de dados acima de determinado volume. A decisão de notificar deve ser sempre conservadora: em caso de dúvida, notifica-se. Como a IgeraRegTech ajuda no cumprimento da NIS2? IgeraRegTech é um assistente de IA especializado em regulação de cibersegurança e compliance que indexa a Diretiva NIS2, as guidelines da ENISA, a Lei n.º 65/2021 e demais legislação portuguesa aplicável. Permite que as equipas jurídicas, de compliance e de TI obtenham respostas imediatas a perguntas de interpretação normativa — citando o artigo exato —, sem necessidade de fazer uma pesquisa documental manual. Não substitui o aconselhamento jurídico especializado, mas reduz significativamente o tempo de análise e o risco de erros de interpretação em cenários de compliance rotineiro. A NIS2 obriga a contratar um CISO externo? A Diretiva NIS2 não obriga explicitamente à contratação de um CISO (Chief Information Security Officer) dedicado. O artigo 20.º exige que os órgãos de gestão aprovem e supervisionem as medidas de cibersegurança e que recebam formação adequada. Na prática, muitas entidades essenciais e importantes estão a optar por designar um responsável de segurança interno (CISO, DPO com competências de cibersegurança, ou equivalente) ou a contratar serviços de CISO-as-a-Service. O importante é que exista alguém com competências formais e autoridade para implementar e reportar sobre as medidas de cibersegurança ao órgão de gestão. Última atualização: junho 2026 | Autor: Equipa IgeraRegTech | Fontes: Diretiva UE 2022/2555 (NIS2), Lei n.º 65/2021 (Portugal), CNCS — Centro Nacional de Cibersegurança, ENISA NIS2 Implementation Guidance 2025 | IgeraRegTech — demonstração gratuita.
