Plataforma A80

Transposição da NIS2 aprovada: Portugal entra numa nova era de cibersegurança

  • 22 de Setembro, 2025

19 de setembro de 2025 — A Assembleia da República aprovou a proposta de lei que autoriza o Governo a transpor para o direito nacional a Diretiva Europeia NIS2 — o regime mais recente da União Europeia que visa reforçar a cibersegurança e garantir maior proteção das infraestruturas críticas e dos cidadãos.

 

O que é a NIS2?

A Diretiva NIS2 (UE 2022/2555), adotada em 2022, estabelece requisitos mais rigorosos de segurança para redes e sistemas de informação, reporte de incidentes, gestão de vulnerabilidades e resiliência organizacional. Estas regras aplicam-se a entidades públicas e privadas consideradas essenciais ou importantes, incluindo setores críticos como saúde, energia, transportes, administração pública, financeiro e serviços digitais.

Ao elevar os padrões de cibersegurança, a NIS2 contribui também para a proteção de dados pessoais e para a garantia de direitos digitais dos titulares, uma vez que a prevenção de incidentes, fugas de informação e ataques cibernéticos é essencial para salvaguardar a privacidade e a confiança dos cidadãos.

 

Trajetória em Portugal

  • O prazo legal para a transposição da NIS2 terminou a 17 de outubro de 2024, mas a instabilidade política levou a sucessivos adiamentos.
  • A proposta de lei de transposição foi apresentada pelo Governo a 6 de fevereiro de 2025.
  • Após debate parlamentar marcado por diferenças político-partidárias, a lei foi aprovada com os votos a favor do PSD, CDS-PP, PAN e JPP; contra do PS, Livre e PCP; e abstenções do Chega e da Iniciativa Liberal.

 

O que muda — prazos e obrigações

  • Após a publicação da lei no Diário da República, será criada uma plataforma eletrónica para o registo das entidades abrangidas, com 60 dias para cumprimento dessa obrigação.
  • As entidades terão 24 meses para se adaptarem às novas exigências técnicas e organizacionais previstas na NIS2.
  • O regime será aplicado de forma proporcional, ajustando-se à dimensão, relevância e risco de cada entidade.

 Principais impactos e desafios

  • Entidades que antes não estavam abrangidas passam agora a estar sujeitas a obrigações, incluindo organizações privadas de setores críticos ou prestadores de serviços digitais essenciais.
  • Os órgãos de administração passam a ter responsabilidade direta, inclusive em caso de dolo ou negligência grave.
  • O Centro Nacional de Cibersegurança (CNCS) terá competências reforçadas, em articulação com autoridades de supervisão setoriais.
  • A nova lei terá de ser aplicada em consonância com o RGPD, a legislação de proteção de infraestruturas críticas e outras normas já em vigor. Será essencial evitar sobreposições e lacunas que possam fragilizar a proteção dos dados pessoais.
  • As entidades terão de investir em políticas de gestão de risco, deteção de vulnerabilidades, formação em cibersegurança, boas práticas de ciber-higiene, autenticação forte, reporte de incidentes e planos de recuperação.

 

O que ainda está por definir

Apesar da aprovação parlamentar, trata-se apenas de uma autorização legislativa que permitirá ao Governo elaborar o decreto-lei que concretizará a transposição da Diretiva NIS2. A etapa seguinte exigirá a definição de diversos aspetos operacionais e normativos, incluindo os regulamentos técnicos, os formatos de reporte a adotar, os procedimentos para notificação de incidentes, bem como os critérios de supervisão e os regimes sancionatórios aplicáveis.

Outro ponto crucial será a clarificação de quais as entidades que, no contexto nacional, serão efetivamente classificadas como “essenciais” e “importantes”. Esta definição terá de assegurar que as novas exigências sejam proporcionais e realistas, de forma a garantir que organizações de menor dimensão consigam cumprir as obrigações impostas sem comprometer a sua viabilidade operacional.

 

Em conclusão

A aprovação da transposição da NIS2 pela Assembleia da República representa um marco fundamental para o reforço da cibersegurança nacional. O sucesso, contudo, dependerá da implementação prática: cumprimento dos prazos, clareza normativa, capacitação técnica e envolvimento ativo das entidades abrangidas.

Mais do que uma questão de tecnologia, a NIS2 constitui também um avanço na defesa dos direitos fundamentais em ambiente digital. A segurança das redes e sistemas é condição indispensável para garantir a confidencialidade, integridade e disponibilidade dos dados pessoais, protegendo os cidadãos contra riscos de abuso, fraude e perda de confiança.

Neste novo enquadramento regulatório, empresas, autarquias e entidades públicas e privadas têm de rever estratégias de segurança e políticas de governação digital. A proteção dos sistemas é, em última instância, inseparável da proteção da privacidade e da dignidade dos titulares dos dados.

Previous Post

    Categorias populares

    Documentos Institucionais

    • All Posts
    • Políticas
    • Documentos

    Estatutos

    28 de Abril, 2022/

    DOCUMENTO COMPLEMENTAR ELABORADO NOS TERMOS DO Nº 2 DO ARTIGO 64º DO…

    Read More

    Orgãos Sociais

    3 de Maio, 2025/

    Quadriénio 22-26 Assembleia Geral Presidente da Assembleia Geral – Dr. Alexandre de…

    Read More

    Tags populares

      Aviso Legal: O conteúdo do site, incluindo os artigos do(s) autor(es), não constitui aconselhamento jurídico. Deve procurar aconselhamento jurídico específico antes de tomar ou abster-se de tomar qualquer ação em relação aos assuntos descritos.

      Facebook Youtube Instagram
      Autarquias
      Titulares dos Dados
      Associação

      Copyright © 2025 Artigo 80 – Associação Portuguesa para a defesa do titular de dados pessoais | Todos os direitos reservados.