NIS2 e DL 125/2025 - Formação para Empresas

📖 O que é a NIS2 e o DL 125/2025?

A Diretiva NIS2

A Diretiva (UE) 2022/2555, conhecida como NIS2, é o mais ambicioso quadro regulatório europeu de cibersegurança. Substitui a diretiva NIS original e alarga significativamente o número de setores e entidades obrigadas.

Objetivo: Garantir um nível elevado e uniforme de segurança das redes e sistemas de informação em toda a UE.

O DL 125/2025

O Decreto-Lei n.º 125/2025, de 15 de dezembro transpõe a NIS2 para a ordem jurídica portuguesa, criando o novo Regime Jurídico da Cibersegurança.

Entrada em vigor: 3 de abril de 2026 (90 dias após publicação)

⚠️ Sanções previstas:

Entidades Essenciais: multas até 10.000.000€ ou 2% do volume de negócios anual
Entidades Importantes: multas até 7.000.000€ ou 1,4% do volume de negócios anual
Advertências públicas, ordens de cessação e, em casos extremos, inibição do exercício da atividade

Porquê agir agora?

As entidades já identificadas têm 60 dias para se registarem na plataforma do CNCS (a contar da disponibilização da plataforma). O prazo total para implementação das medidas técnicas é de 24 meses, mas as ações iniciais (preparação, nomeação de responsáveis) devem começar IMEDIATAMENTE.

📅 Prazos e Obrigações

✅ Imediato (a partir de 3 de abril 2026)

Preparação para identificação no CNCS

As empresas devem preparar a documentação necessária para o registo na plataforma MyCiber, que será disponibilizada em breve.

📋 30-60 dias após disponibilização da plataforma

Identificação e registo no CNCS

30 dias para novas entidades / 60 dias para entidades existentes (a contar da disponibilização da plataforma).

🛡️ Até 3 meses

Estabelecimento de CSIRT

Criar uma equipa de resposta a incidentes (interna ou contratar externamente).

⚙️ Até 12 meses

Implementação de medidas técnicas prioritárias

Autenticação multifator, backups, controlo de acessos, políticas de passwords, etc.

📊 Até 18 meses

Análise de riscos e políticas completas

Implementação da política de segurança da informação, plano de resposta a incidentes, gestão de riscos.

🎓 Até 24 meses

Formação contínua e auditorias

Formação obrigatória para colaboradores (incluindo simulações de phishing) e auditorias anuais de segurança.

Prazo crítico para notificação de incidentes:

24 horas após conhecimento do incidente → Alerta inicial ao CNCS
72 horas → Relatório intermédio (se aplicável)
30 dias após resolução → Relatório final

🏢 Setores Abrangidos pela NIS2

A NIS2 distingue dois níveis de entidades com obrigações diferentes:

Entidades Essenciais

Setores de alto risco com impacto crítico na sociedade e economia.

Multa máxima: 10M€ ou 2% volume negócios

Supervisão: Ativa e contínua pelo CNCS

Entidades Importantes

Setores com risco significativo mas menor criticidade.

Multa máxima: 7M€ ou 1,4% volume negócios

Supervisão: Reativa (após incidente ou denúncia)

Setor	Entidades Essenciais	Entidades Importantes
Energia	Eletricidade, petróleo, gás	Distribuição de energia
Transportes	Aéreo, ferroviário, marítimo	Rodoviário, logística
Banca	Todas as entidades bancárias	—
Infraestruturas Financeiras	Entidades reguladas pela CMVM	—
Saúde	Hospitais, laboratórios de referência	Clínicas, centros de saúde
Águas	Abastecimento e saneamento	—
Administração Pública	Central	Regional e local
Serviços Digitais	Cloud, datacenters, CDN	Marketplaces, motores de busca
Fabrico de Alimentos	Grandes operadores	Médias empresas

Critério de dimensão para Serviços Digitais: Empresas com mais de 50 colaboradores OU volume de negócios superior a 10M€ são consideradas Importantes.

🏛️ Estado da Plataforma CNCS - MyCiber

Já disponível (desde 6 de abril 2026)

Simulador MyCiber – permite às empresas verificar, de forma indicativa, se estão abrangidas pelo novo regime do DL 125/2025.

🔗 Aceder ao simulador: myciber.cncs.gov.pt

Autenticação necessária: Cartão de Cidadão ou Chave Móvel Digital.

Em definição (consulta pública até 22 de abril 2026)

O Regulamento do Regime Jurídico da Cibersegurança (que define as regras detalhadas de funcionamento da plataforma, níveis de conformidade, matriz de risco, etc.) esteve em consulta pública até 22 de abril de 2026.

O registo e autoqualificação obrigatórios das entidades só poderão ser feitos após a publicação final do Regulamento.

📌 Prazos a contar da disponibilização completa da plataforma:

60 dias – para entidades que já exerciam atividade antes da entrada em vigor do regime
30 dias – para entidades que iniciem atividade após a entrada em vigor

⚠️ Recomendação importante:

As empresas podem desde já usar o simulador MyCiber para verificar se são abrangidas, mas o registo obrigatório aguarda a publicação final do Regulamento (prevista para breve, após 22 de abril de 2026). Enquanto isso, utilize o tempo para preparar a documentação e implementar as medidas técnicas prioritárias.

🔐 Autenticação na plataforma: A identificação é feita através de Cartão de Cidadão ou Chave Móvel Digital (CMD) – níveis de segurança elevados.

✅ Checklist de Conformidade

Marque os itens à medida que a sua empresa avança no processo de compliance.

🗺️ Roadmap Passo a Passo para Compliance

Sequência de ações recomendadas, do dia 0 até à conformidade total.

Formação obrigatória: A Academia Mareginter ajuda a sua empresa a cumprir os requisitos de formação e simulação de phishing, com relatórios executivos e monitorização contínua do risco humano.

Saber mais →

📊 Gap Analysis - Diagnóstico de Conformidade

Responda às questões para avaliar o nível de preparação da sua empresa.

⏰ Contagem Decrescente - Prazos Críticos

Veja quanto tempo resta para cada obrigação legal.

Nota: Os prazos de registo contam a partir da disponibilização completa da plataforma MyCiber (após publicação do Regulamento).

📋 NIS2 e DL 125/2025