Guia completo para a conformidade da sua empresa com a nova lei da cibersegurança portuguesa
A Diretiva (UE) 2022/2555, conhecida como NIS2, é o mais ambicioso quadro regulatório europeu de cibersegurança. Substitui a diretiva NIS original e alarga significativamente o número de setores e entidades obrigadas.
Objetivo: Garantir um nível elevado e uniforme de segurança das redes e sistemas de informação em toda a UE.
O Decreto-Lei n.º 125/2025, de 15 de dezembro transpõe a NIS2 para a ordem jurídica portuguesa, criando o novo Regime Jurídico da Cibersegurança.
Entrada em vigor: 3 de abril de 2026 (90 dias após publicação)
⚠️ Sanções previstas: Entidades Essenciais: multas até 10M€ ou 2% volume negócios | Entidades Importantes: multas até 7M€ ou 1,4% volume negócios
As entidades já identificadas têm 60 dias para se registarem na plataforma do CNCS (a contar da disponibilização da plataforma). O prazo total para implementação das medidas técnicas é de 24 meses.
As empresas devem preparar a documentação necessária para o registo na plataforma MyCiber.
30 dias para novas entidades / 60 dias para entidades existentes.
Criar uma equipa de resposta a incidentes (interna ou contratar externamente).
Autenticação multifator, backups, controlo de acessos, políticas de passwords, etc.
Implementação da política de segurança da informação, plano de resposta a incidentes, gestão de riscos.
Formação obrigatória para colaboradores (incluindo simulações de phishing) e auditorias anuais de segurança.
Prazo crítico para notificação de incidentes: Alerta inicial em 24h, relatório intermédio em 72h, relatório final em 30 dias.
Setores de alto risco com impacto crítico na sociedade e economia. Multa máxima: 10M€ ou 2% volume negócios. Supervisão ativa e contínua pelo CNCS.
Setores com risco significativo mas menor criticidade. Multa máxima: 7M€ ou 1,4% volume negócios. Supervisão reativa (após incidente).
Critério de dimensão para Serviços Digitais: Empresas com mais de 50 colaboradores OU volume de negócios superior a 10M€ são consideradas Importantes.
Simulador MyCiber – permite às empresas verificar, de forma indicativa, se estão abrangidas pelo novo regime.
Aceder ao simulador →O Regulamento do Regime Jurídico da Cibersegurança esteve em consulta pública até 22 de abril de 2026.
O registo obrigatório aguarda a publicação final do Regulamento.
⚠️ Recomendação: As empresas podem desde já usar o simulador MyCiber, mas o registo obrigatório aguarda a publicação final do Regulamento.
Marque os itens à medida que a sua empresa avança no processo de compliance.
Sequência de ações recomendadas, do dia 0 até à conformidade total.
Formação obrigatória: A Academia Mareginter ajuda a sua empresa a cumprir os requisitos de formação e simulação de phishing.
Saber mais →Responda às questões para avaliar o nível de preparação da sua empresa.
Nota: Os prazos de registo contam a partir da disponibilização completa da plataforma MyCiber.