A nova Lei da Cibersegurança, também conhecida como NIS 2, já está em vigor em Portugal e traz mudanças significativas para empresas e entidades públicas.
O Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025) entrou oficialmente em vigor a 3 de abril de 2026, transpondo a Diretiva Europeia NIS2 para a legislação portuguesa e, com ela, uma alteração estrutural na forma como a cibersegurança é tratada nas organizações.
Por isso, neste artigo, explicamos-lhe tudo o que muda, quem está abrangido e o que deve fazer para garantir conformidade.
A NIS 2 está em vigor desde abril de 2026. O que é?
A Diretiva NIS 2 é a evolução da primeira diretiva europeia de segurança de redes e sistemas de informação. O seu objetivo é garantir um nível elevado e uniforme de cibersegurança na União Europeia, dotando as organizações de maior responsabilidade, maior dever de supervisão e maior risco de penalizações em caso de incumprimento.
Contudo, ao contrário do regime anterior, a NIS 2 parte de um princípio claro: a segurança digital depende da forma como as organizações articulam tecnologia, processos e pessoas.
Ou seja, o legislador europeu reconheceu que:
- incidentes de cibersegurança têm frequentemente origem em falhas organizacionais e humanas;
- setores aparentemente “não críticos” podem ter impacto relevante na economia e na sociedade;
- a interdependência entre entidades públicas e privadas aumenta o risco sistémico.
Já aqui falámos em detalhe do que é este novo Regime Jurídico de Cibersegurança e, na Academia GROW, de como a formação pode ajudar a implementá-la. Posto isto, vamos agora ver o que mudou efetivamente com a NIS 2 a partir de 3 de abril de 2026.
NIS 2: conheça as 6 alterações principais
1. Mais empresas passam a estar abrangidas
Uma das principais mudanças é o alargamento do âmbito, com o novo regime a abranger:
- Empresas médias e grandes
- Administração Pública
- Prestadores de serviços digitais
- Setores como Energia, Transportes, Saúde, serviços financeiros e infraestruturas digitais.
Além disso, as entidades passam a ser classificadas em três categorias:
- Entidades Essenciais
- Entidades Importantes
- Entidades Públicas Relevantes
Assim, muitas empresas que nunca tiveram obrigações nesta área passam agora a estar abrangidas.
2. Obrigações mais exigentes
A NIS 2 introduz obrigações como:
- Implementar medidas de gestão de risco em cibersegurança;
- Monitorizar e detetar incidentes;
- Garantir segurança na cadeia de fornecimento;
- Notificar incidentes relevantes às autoridades.
A par disso, também os prazos se tornaram mais específicos e exigentes:
- 30 dias para identificação de novas entidades
- 60 dias para entidades já em atividade (após disponibilização da plataforma)
Ou seja, a cibersegurança passa a fazer parte das responsabilidades de gestão.
3. Supervisão mais apertada
O Centro Nacional de Cibersegurança (CNCS) passa a ter poderes reforçados, incluindo:
- Auditorias e inspeções;
- Imposição de medidas corretivas;
- Ordens diretas em situações de risco;
Na prática, há um controlo mais ativo e menos tolerância a falhas.
4. Multas mais pesadas em caso de incumprimento
O incumprimento pode ter consequências muito relevantes:
- Até 10 milhões de euros;
- Ou até 2% do volume de negócios anual global.
5. Novo enquadramento para hackers éticos
Uma das novidades mais relevantes é a introdução do artigo 8.º-A na Lei do Cibercrime, o qual cria, pela primeira vez em Portugal um regime de não punibilidade para atividades de cibersegurança de interesse público.
Assim, a identificação de vulnerabilidades, quando feita de boa-fé, passa a ter enquadramento legal, abrindo espaço para práticas mais robustas de teste e auditoria de segurança.
6. Implementação faseada… Mas com impacto imediato
Apesar de já estar em vigor, a NIS 2 não se aplica de forma uniforme desde o primeiro dia. Algumas obrigações serão implementadas de forma faseada, com um prazo global que pode ir até aos 24 meses.
No entanto, para garantir a conformidade da sua organização e fazer destas alterações um fator de competitividade, é importante começar já a preparar-se. Afinal, as empresas mais relevantes na cadeia de valor serão aquelas que já fazem da NIS 2 uma prática diária de gestão.
O que fazer a partir de abril de 2026?
Assim, perante este novo enquadramento, há três passos críticos:
- Avaliar o enquadramento da empresa: perceba se a sua empresa ou organização está abrangida e em que categoria;
- Identificar riscos e lacunas: faça uma análise especializada a sistemas, processos e cadeia de fornecedores para identificar toda a cadeia de segurança de dados;
- Definir um plano de compliance: implemente medidas alinhadas com os requisitos legais.
Na prática, mesmo empresas fora de setores “tradicionais” podem estar abrangidas, pois a NIS 2 depende da dimensão, tipo de atividade, relevância dos serviços prestados e impacto potencial de incidentes.
Portanto, quanto mais cedo tomar estes passos, menor será o risco de incumprimento.
A Estrategor pode ajudar a implementar a NIS 2
A entrada em vigor da NIS 2 marca um novo paradigma na cibersegurança em Portugal. Assim, para muitas organizações, este será o primeiro contacto com obrigações formais nesta área, mas também com eventuais sansões em caso de incumprimento.
Na Estrategor, contamos com uma equipa especializada em:
- RGPD
- Canais de denúncia
- Compliance e gestão de risco
Apoiamos empresas na interpretação da NIS 2 e na implementação de medidas ajustadas à sua realidade, garantindo conformidade com segurança e visão estratégica.
Fale connosco e prepare a sua empresa para o novo Regime Jurídico de Cibersegurança.
