Que empresas portuguesas são obrigadas ao CSRD em 2026?

Em 2026, reportam sobre o exercício FY2025 as grandes empresas portuguesas não cotadas que cumpram pelo menos dois de três critérios estabelecidos no DL 89/2024: mais de 250 trabalhadores a tempo inteiro no final do exercício, faturação anual líquida superior a 50 milhões de euros, ou ativo total no balanço superior a 25 milhões de euros. As grandes empresas cotadas (com mais de 500 trabalhadores) já apresentaram o relatório sobre FY2024 em 2025. As PMEs cotadas em mercado regulamentado português ou europeu reportarão sobre FY2026 (relatório em 2027) com a norma simplificada VSME (Voluntary Sustainability Reporting Standard for Small and Medium-sized Enterprises). As empresas com menos de 250 trabalhadores e não cotadas estão isentas do CSRD como entidade autónoma, mas podem ser obrigadas a fornecer informações de sustentabilidade às empresas da sua cadeia de valor que estejam sujeitas ao CSRD.

IgeraRegTech conhece a transposição portuguesa das diretivas?

Sim. IgeraRegTech tem indexados os diplomas de transposição portugueses e as leis de execução nacionais: o DL 89/2024 que transpõe o CSRD em Portugal, o DL 71/2024 que transpõe a NIS2, a Lei 58/2019 que é a lei de execução do GDPR em Portugal, a Lei 83/2017 que transpõe a 4ª Diretiva AML, e as circulares e orientações das autoridades de supervisão portuguesas (BdP, CNPD, CNCS, ASF, CMVM). Quando a pergunta tem especificidade nacional — quais empresas estão obrigadas em Portugal, quais são as autoridades competentes portuguesas, quais os prazos de notificação ao regulador português específico — IgeraRegTech responde com a norma portuguesa específica e não apenas com a diretiva europeia genérica.

Quanto custa IgeraRegTech comparado com uma consultora de regulatório tradicional?

Uma consultora de regulatório ou um escritório de advogados especializado cobra entre 150 e 400 euros por hora para questões de CSRD, AI Act ou DORA. Uma pequena ou média empresa com dúvidas regulatórias frequentes — «estamos obrigados ao CSRD?», «o nosso sistema de triagem de CVs é IA de alto risco?», «que prazo temos para notificar um incidente de cibersegurança ao CNCS?» — pode gastar entre 2.000 e 5.000 euros por mês em consultoria para questões que têm resposta clara na regulamentação. IgeraRegTech Professional custa 199 euros por mês e responde automaticamente 70 a 80% das consultas regulatórias de rotina citando o artigo exato. O que fica para o advogado ou consultor são as questões estratégicas que genuinamente requerem julgamento humano — avaliação de materialidade dupla, negociação com reguladores, litígio. O ROI é imediato: se IgeraRegTech evitar duas horas de consultoria externa por mês, o plano pagou-se a si próprio.

Funciona para PMEs portuguesas?

Sim. As PMEs portuguesas não estão obrigadas ao CSRD como entidade autónoma (exceto as PMEs cotadas a partir de FY2026), mas estão sujeitas a um conjunto importante de outras regulações: o AI Act aplica-se a qualquer empresa que utilize sistemas de IA de alto risco (como sistemas de recrutamento, de crédito ou de acesso a infraestrutura crítica), independentemente da dimensão; o GDPR aplica-se a todas as empresas que tratem dados pessoais de residentes na UE; o NIS2 aplica-se às PMEs que sejam entidades «importantes» nos setores abrangidos; e a Lei AML aplica-se a PMEs nos setores financeiro, imobiliário, contabilístico ou jurídico. IgeraRegTech tem um plano Starter a 99 euros por mês especialmente concebido para PMEs que precisam de respostas rápidas sobre as suas obrigações regulatórias sem o custo de consultoria externa permanente.

Como se integra IgeraRegTech com os processos existentes?

IgeraRegTech integra-se com os sistemas e fluxos de trabalho existentes de três formas. Via API REST, pode integrar-se com sistemas de gestão documental como SharePoint, Google Drive ou Confluence, permitindo que as equipas façam consultas regulatórias diretamente a partir das ferramentas que já usam no dia a dia. Via widget web, pode ser integrado no portal interno da empresa ou na intranet, tornando-o acessível a todos os colaboradores que precisam de respostas regulatórias sem sair do ambiente de trabalho habitual. Via WhatsApp Business, é acessível para equipas em mobilidade ou para consultores externos que precisam de acesso rápido a referências regulatórias em reuniões com clientes. Pode também subir qualquer documento regulatório interno — políticas de compliance, procedimentos AML, relatórios de auditoria interna, pareceres jurídicos — e o sistema indexa-os em menos de 24 horas, tornando-os pesquisáveis pelos colaboradores autorizados.

Qual o tempo de implementação de IgeraRegTech?

A implementação básica leva entre 1 e 3 dias úteis: criação da conta na plataforma IgeraRegTech, configuração do espaço de trabalho com as regulações relevantes para o setor da empresa (CSRD, AI Act, DORA, NIS2, GDPR, AML conforme aplicável), e upload dos primeiros documentos regulatórios internos (políticas, procedimentos, pareceres). A partir deste momento, as equipas jurídicas e de compliance já podem fazer consultas à plataforma. A implementação completa com integração API com sistemas de gestão documental, configuração de múltiplos utilizadores com perfis de acesso diferenciados, e upload de todos os documentos regulatórios internos leva tipicamente entre 1 e 2 semanas. Não é necessária instalação de software nos dispositivos dos utilizadores — IgeraRegTech é 100% baseado em cloud e acessível via qualquer browser ou aplicação móvel.

RegTech Portugal

RegTech en Portugal: Cómo la IA Automatiza el Cumplimiento Normativo en 2026

RegTech (Regulatory Technology) son herramientas de inteligencia artificial que automatizan la monitorización y el cumplimiento normativo. En Portugal, las empresas se enfrentan a obligaciones crecientes del CSRD (grandes empresas a partir de FY2025, transpuesto por el DL 89/2024), el AI Act (sistemas de IA de alto riesgo a partir de agosto 2026, Reglamento 2024/1689/UE), el DORA (sector financiero desde 17 ene 2025, Reglamento 2022/2554/UE), el NIS2 (ciberseguridad, DL 71/2024) y el GDPR con la Ley 58/2019 de ejecución portuguesa. IgeraRegTech responde automáticamente las consultas de cumplimiento citando el artículo exacto de cada reglamento, en español y portugués, disponible 24/7 para equipos jurídicos, de compliance y de gestión.

Marco Legal: Las 7 Regulaciones que IgeraRegTech Cubre para Portugal

El panorama regulatorio europeo se ha vuelto extraordinariamente complejo en los últimos tres años. Para una empresa portuguesa de tamaño medio, la superposición entre CSRD, AI Act, DORA, NIS2, GDPR y AML representa cientos de obligaciones de reporte, documentación y formación. IgeraRegTech indexa todos estos reglamentos en su versión original europea y, crucialmente, en los decretos de transposición portugueses, garantizando que las respuestas reflejan la realidad jurídica nacional:

1. CSRD para empresas portuguesas — Decreto-Lei 89/2024: La Directiva 2022/284/UE (Corporate Sustainability Reporting Directive) fue transpuesta al derecho portugués por el Decreto-Lei 89/2024. Las grandes empresas portuguesas cotadas con más de 500 trabajadores ya reportaron sobre el ejercicio FY2024 (informe entregado en 2025). Las grandes empresas portuguesas no cotadas que cumplan al menos dos de los tres criterios — más de 250 trabajadores, facturación superior a 50 millones de euros, activo total superior a 25 millones de euros — reportan por primera vez sobre el ejercicio FY2025 (informe en 2026). El informe de sostenibilidad debe elaborarse según las European Sustainability Reporting Standards (ESRS) e incluye obligaciones de divulgación sobre clima (ESRS E1), biodiversidad (ESRS E4), trabajadores (ESRS S1), proveedores (ESRS S2) y gobernanza (ESRS G1). La evaluación de doble materialidad — que determina qué ESRS son relevantes para cada empresa — es el primer y más crítico paso del proceso.

2. AI Act para usuarios de IA en Portugal: El Reglamento 2024/1689/UE se aplica a todos los que desarrollan, comercializan o utilizan sistemas de IA en la Unión Europea. Una empresa portuguesa de recursos humanos que usa un sistema de IA para cribado de currículos está sujeta al AI Act como usuario de un sistema de alto riesgo (Anexo III, categoría 4 — empleo y gestión de trabajadores). En Portugal, la ANACOM (telecomunicaciones), el BdP (sistema financiero), la ASF (seguros), la CMVM (mercados de capitales) y la Autoridad de Salud son las autoridades de supervisión del AI Act en sus respectivos sectores. Las prácticas de IA prohibidas (Art. 5) aplican desde el 2 de febrero de 2025. Los sistemas de IA de alto riesgo (Anexo III) deben cumplir los Arts. 9-27 desde el 2 de agosto de 2026.

3. DORA para el sector financiero portugués: El Reglamento DORA 2022/2554/UE aplica desde el 17 de enero de 2025 a todas las entidades financieras supervisadas por el Banco de Portugal, la ASF y la CMVM, así como a sus proveedores críticos de TIC. Exige: una política de gestión del riesgo de TIC (Art. 5-10) aprobada por el órgano de administración, un programa de pruebas de resiliencia operacional digital (Arts. 24-27), un sistema de gestión y registro de incidentes TIC (Arts. 17-23 — con notificación obligatoria en 4 horas, informe inicial en 72 horas e informe final en 1 mes), y una política de gestión del riesgo de terceros proveedores TIC (Arts. 28-44).

4. NIS2 para empresas portuguesas esenciales e importantes: La Directiva NIS2 2022/2555/UE fue transpuesta al derecho portugués por el Decreto-Lei 71/2024. Las entidades esenciales (energía, transportes, banca, infraestructuras financieras, salud, agua, infraestructura digital, administración pública) y las entidades importantes (servicios postales, gestión de residuos, química, alimentación, fabricación, proveedores digitales) están obligadas a medidas de ciberseguridad (Art. 21), notificación de incidentes al CNCS en 24h y 72h, y responsabilidad del órgano de gestión. Las multas alcanzan los 10 millones de euros o el 2% de la facturación mundial para entidades esenciales.

5. GDPR y Ley 58/2019 para empresas portuguesas: El GDPR sigue siendo el principal marco de protección de datos. La Ley 58/2019 introduce especificidades portuguesas: la edad de consentimiento de menores es de 13 años (el mínimo que permite el Art. 16 GDPR), el tratamiento de datos de trabajadores tiene requisitos adicionales (arts. 28-37 Ley 58/2019), y la autoridad de control portuguesa es la CNPD, que debe ser notificada de violaciones de datos en 72 horas (Art. 33 GDPR).

6. Prevención del Blanqueo de Capitales en Portugal: La Ley 83/2017 transpone la 4ª Directiva AML en Portugal y se aplica a bancos, aseguradoras, gestoras, auditores, contables, abogados en determinadas transacciones, notarios, inmobiliarias, casinos y prestadores de servicios de criptoactivos. Las obligaciones incluyen: diligencia debida de clientes, monitorización de transacciones, conservación de registros por 5 años, formación anual y comunicación al DCIAP y la UIF de operaciones sospechosas. La 6ª Directiva AML (2021), transpuesta en 2024, amplía los requisitos sobre beneficiarios efectivos.

7. Taxonomía UE y finanzas sostenibles: El Reglamento de Taxonomía 2020/852/UE obliga a grandes empresas e instituciones financieras a divulgar el alineamiento de sus actividades con los 6 objetivos ambientales de la Taxonomía. En Portugal, los bancos y gestoras de activos divulgan desde 2022. Las grandes empresas no financieras divulgan en el contexto del CSRD. La verificación del alineamiento exige demostrar que la actividad satisface los Criterios Técnicos de Selección (CTS) para su sector, que no causa daño significativo (DNSH) a ninguno de los otros objetivos, y que cumple las Salvaguardias Mínimas Sociales.

Documentación Necesaria para el Cumplimiento Regulatorio

Inventario de sistemas de IA (AI Act, Art. 11): Lista completa de todos los sistemas de IA utilizados por la organización, con clasificación de riesgo (prohibido, alto riesgo, riesgo limitado, riesgo mínimo) y, para los de alto riesgo, el Expediente Técnico exigido por el Art. 11. Debe incluir sistemas adquiridos a terceros y desarrollados internamente.
Informe de sostenibilidad CSRD (DL 89/2024): Informe anual elaborado según las ESRS aplicables (determinadas por la evaluación de doble materialidad). Para FY2025: debe incluir las informaciones materiales sobre medio ambiente, social y gobernanza, revisión limitada por auditor externo. El informe integra el Informe de Gestión de la empresa.
Política de gestión de riesgo TIC — DORA (Arts. 5-10): Documento aprobado por el Consejo de Administración que describe la estrategia de resiliencia operacional digital, los objetivos de seguridad de la información, la arquitectura TIC, las funciones críticas y los procedimientos de gestión de incidentes. Revisión anual obligatoria.
Registro de Actividades de Tratamiento — GDPR (Art. 30): Registro de todas las actividades de tratamiento de datos personales, incluyendo finalidad, categorías de datos, destinatarios, transferencias internacionales, plazos de conservación y medidas de seguridad.
Evaluación de Impacto sobre la Protección de Datos — DPIA (Art. 35 GDPR): Obligatoria cuando el tratamiento es susceptible de generar alto riesgo para los derechos y libertades de las personas. La CNPD ha publicado una lista de tipos de tratamiento que requieren DPIA obligatoria en Portugal.
Política AML y programa de formación (Ley 83/2017): Procedimientos internos de diligencia debida, monitorización de transacciones, comunicación de operaciones sospechosas, y programa de formación anual de los colaboradores con evidencia documentada.

Plazos y Calendario de Cumplimiento en Portugal

Regulación	Plazo	Entidades Afectadas	Observaciones
NIS2 Portugal	Feb 2025 (DL 71/2024)	Entidades esenciales e importantes	Notificación al CNCS en 24h/72h
DORA sector financiero	Ene 2025 (en vigor)	Bancos, aseguradoras, CMVM	Supervisión BdP/ASF/CMVM
AI Act — prácticas prohibidas	Feb 2025	Todas las empresas UE con IA	Art. 5 — puntuación social, biometría RT prohibidos
CSRD grandes empresas PT	FY2025 (informe 2026)	+250 trabajadores O +€50M O +€25M activo	DL 89/2024 — 2 de 3 criterios
AI Act — sistemas alto riesgo	Ago 2026	Todos los usuarios de IA (Anexo III)	Arts. 9-27 obligatorios
CSRD PYMEs cotizadas PT	FY2026 (informe 2027)	PYMEs cotizadas en mercado regulado	Norma simplificada VSME

¿Su empresa tiene dudas sobre CSRD, AI Act o DORA en Portugal? IgeraRegTech responde automáticamente citando el artículo exacto del reglamento y el decreto de transposición portugués. Disponible 24/7. Descubra IgeraRegTech →

Errores Frecuentes en Cumplimiento Normativo en Portugal

Error 1 — Pensar que el CSRD solo aplica a empresas cotizadas: El error más común y potencialmente más caro. A partir de FY2025, el CSRD aplica también a grandes empresas no cotizadas que cumplan al menos dos de los tres criterios: más de 250 trabajadores, facturación anual superior a 50 millones de euros, activo total superior a 25 millones de euros. Una empresa portuguesa familiar con 300 trabajadores y 60 millones de euros de facturación — pero no cotizada en bolsa — está obligada al CSRD para FY2025. Muchas de estas empresas están descubriendo la obligación con menos de 12 meses de antelación, insuficiente para hacer la evaluación de doble materialidad, recoger los datos ESRS y obtener la verificación externa.
Error 2 — Confundir DORA con NIS2 y subnotificar incidentes: DORA y NIS2 tienen ámbitos y requisitos diferentes. DORA aplica exclusivamente al sector financiero (bancos, aseguradoras, gestoras, plataformas de criptoactivos) y es más exigente en términos de pruebas de resiliencia y gestión de terceros TIC. NIS2 tiene un ámbito más amplio pero requisitos menos específicos sobre TIC. Una empresa sujeta a DORA no puede tratar NIS2 como equivalente — las obligaciones de notificación, los plazos y los órganos de supervisión son diferentes.
Error 3 — Ignorar la Ley 58/2019 y aplicar solo el GDPR directamente: El GDPR es un reglamento de aplicación directa, pero la Ley 58/2019 introduce especificidades portuguesas que las empresas nacionales deben respetar adicionalmente: la edad de consentimiento de menores (13 años en Portugal, relevante para aplicaciones digitales con usuarios jóvenes), los requisitos específicos sobre tratamiento de datos de trabajadores (arts. 28-37 — limitaciones al tratamiento de datos de geolocalización y biométricos más restrictivas que el GDPR genérico), y el régimen de protección de datos de los organismos de salud. Aplicar solo el GDPR sin verificar las especificidades de la Ley 58/2019 puede resultar en sanciones de la CNPD.
Error 4 — No designar DPO cuando es obligatorio: El Art. 37 del GDPR obliga a designar un Delegado de Protección de Datos (DPO) cuando el responsable del tratamiento es una autoridad pública, cuando las actividades principales consisten en el tratamiento en gran escala de categorías especiales de datos (salud, biométricos, genéticos, orientación sexual), o cuando las actividades principales consisten en la monitorización sistemática de los interesados. Muchas empresas portuguesas de salud, seguros, recursos humanos y marketing digital están obligadas a DPO sin saberlo. La CNPD ha sancionado esta omisión con multas significativas.

Preguntas Frecuentes

¿Qué empresas portuguesas están obligadas al CSRD en 2026?

En 2026 reportan sobre el ejercicio FY2025 las grandes empresas portuguesas no cotizadas que cumplan al menos dos de tres criterios establecidos en el DL 89/2024: más de 250 trabajadores a tiempo completo al cierre del ejercicio, facturación anual neta superior a 50 millones de euros, o activo total en el balance superior a 25 millones de euros. Las grandes empresas cotizadas (con más de 500 trabajadores) ya presentaron el informe sobre FY2024 en 2025. Las PYMEs cotizadas en mercado regulado portugués o europeo reportarán sobre FY2026 (informe en 2027) con la norma simplificada VSME. Las empresas con menos de 250 trabajadores y no cotizadas están exentas del CSRD como entidad autónoma, pero pueden ser obligadas a proporcionar información de sostenibilidad a las empresas de su cadena de valor que estén sujetas al CSRD.

¿IgeraRegTech conoce la transposición portuguesa de las directivas?

Sí. IgeraRegTech tiene indexados los decretos de transposición portugueses y las leyes de ejecución nacionales: el DL 89/2024 que transpone el CSRD en Portugal, el DL 71/2024 que transpone la NIS2, la Ley 58/2019 que es la ley de ejecución del GDPR en Portugal, la Ley 83/2017 que transpone la 4ª Directiva AML, y las circulares y orientaciones de las autoridades de supervisión portuguesas (BdP, CNPD, CNCS, ASF, CMVM). Cuando la pregunta tiene especificidad nacional, IgeraRegTech responde con la norma portuguesa específica y no solo con la directiva europea genérica.

¿Cuánto cuesta IgeraRegTech comparado con una consultora de normativo tradicional?

Una consultora de regulatorio o un despacho de abogados especializado cobra entre 150 y 400 euros por hora para cuestiones de CSRD, AI Act o DORA. Una pequeña o mediana empresa con dudas regulatorias frecuentes puede gastar entre 2.000 y 5.000 euros al mes en consultoría para preguntas que tienen respuesta clara en la normativa. IgeraRegTech Professional cuesta 199 euros al mes y responde automáticamente el 70-80% de las consultas regulatorias de rutina citando el artículo exacto. Lo que queda para el abogado o consultor son las cuestiones estratégicas que genuinamente requieren juicio humano. El ROI es inmediato: si IgeraRegTech evita dos horas de consultoría externa al mes, el plan se paga a sí mismo.

¿Funciona para PYMEs portuguesas?

Sí. Las PYMEs portuguesas no están obligadas al CSRD como entidad autónoma (excepto las PYMEs cotizadas a partir de FY2026), pero están sujetas a otras regulaciones importantes: el AI Act aplica a cualquier empresa que utilice sistemas de IA de alto riesgo (reclutamiento, crédito, infraestructura crítica), independientemente del tamaño; el GDPR aplica a todas las empresas que traten datos personales de residentes en la UE; el NIS2 aplica a las PYMEs que sean entidades «importantes» en los sectores abrangidos; y la Ley AML aplica a PYMEs en los sectores financiero, inmobiliario, contable o jurídico. IgeraRegTech tiene un plan Starter a 99 euros al mes especialmente diseñado para PYMEs.

¿Cómo se integra IgeraRegTech con los procesos existentes?

IgeraRegTech se integra con los sistemas y flujos de trabajo existentes de tres formas. Via API REST, puede integrarse con sistemas de gestión documental como SharePoint, Google Drive o Confluence, permitiendo que los equipos hagan consultas regulatorias directamente desde las herramientas que ya usan. Via widget web, puede integrarse en el portal interno de la empresa o en la intranet. Via WhatsApp Business, es accesible para equipos en movilidad. Puede también subir cualquier documento regulatorio interno — políticas de compliance, procedimientos AML, informes de auditoría interna, dictámenes jurídicos — y el sistema los indexa en menos de 24 horas.

¿Cuál es el tiempo de implementación de IgeraRegTech?

La implementación básica lleva entre 1 y 3 días hábiles: creación de la cuenta en la plataforma IgeraRegTech, configuración del espacio de trabajo con las regulaciones relevantes para el sector de la empresa (CSRD, AI Act, DORA, NIS2, GDPR, AML según corresponda), y upload de los primeros documentos regulatorios internos. La implementación completa con integración API con sistemas de gestión documental, configuración de múltiples usuarios con perfiles de acceso diferenciados, y upload de todos los documentos regulatorios internos lleva típicamente entre 1 y 2 semanas. No se requiere instalación de software — IgeraRegTech es 100% cloud y accesible via cualquier navegador o aplicación móvil.

¿Listo para automatizar las consultas de compliance de su empresa? IgeraRegTech responde sobre CSRD, AI Act, DORA, NIS2 y GDPR citando la ley portuguesa y la directiva europea, disponible 24/7 para sus equipos. Solicite una demo gratuita →

Conclusión

El panorama regulatorio europeo nunca ha sido tan complejo, y Portugal no es una excepción. Entre el CSRD que obliga al reporte de sostenibilidad, el AI Act que clasifica y regula los sistemas de inteligencia artificial, el DORA que exige resiliencia operacional digital en el sector financiero, el NIS2 que impone ciberseguridad a entidades esenciales e importantes, y el GDPR con sus especificidades portuguesas de la Ley 58/2019, una empresa de tamaño medio puede tener fácilmente decenas de obligaciones regulatorias activas y plazos críticos simultáneos. El error más caro no es incumplir deliberadamente una regulación — es no saber que existe o no comprender su aplicación específica a la situación concreta de la empresa.

IgeraRegTech no sustituye al abogado o al consultor de compliance — sustituye las horas que esos profesionales gastan respondiendo preguntas básicas que tienen respuesta clara en la normativa. «¿Estamos obligados al CSRD?» tiene una respuesta objetiva que depende de criterios cuantitativos verificables. «¿Nuestro sistema de IA es de alto riesgo?» tiene una respuesta que resulta del análisis del Anexo III del AI Act. «¿Qué plazo tenemos para notificar un incidente DORA al BdP?» tiene una respuesta de 4 horas (alerta inicial), 72 horas (notificación) y 1 mes (informe final). IgeraRegTech es ese acceso — instantáneo, preciso, citado y disponible a cualquier hora para cualquier miembro del equipo que lo necesite.

Actualizado: junio 2026 | Autor: IgeraSolutions Legal Team | Fuentes: CSRD Directiva 2022/284/UE; DL 89/2024; AI Act Reglamento 2024/1689/UE; DORA Reglamento 2022/2554/UE; NIS2 Directiva 2022/2555/UE; DL 71/2024; GDPR Reglamento 2016/679/UE; Ley 58/2019; Ley 83/2017 | IgeraRegTech — demo gratuita.

RegTech en Portugal: Cómo la IA Automatiza la Conformidad Regulatoria en 2026