Solicitar Informações
Decreto-Lei n.º 125/2025 Publicado

O Plano de Atividades que a sua organização precisa para a NIS2

O regime jurídico da cibersegurança foi publicado em 4 de dezembro de 2025. A sua organização dispõe agora de um período limitado para implementar as medidas obrigatórias e garantir a conformidade regulatória perante o Centro Nacional de Cibersegurança.

Ver Soluções Disponíveis
Consultar Cronograma

120

Dias para entrada em vigor do regime

12

Meses de carência para aplicação de coimas

€10M

Coimas máximas para entidades essenciais

Responsabilização Pessoal dos Órgãos de Gestão

Nos termos do artigo 25.º do Decreto-Lei n.º 125/2025, os titulares dos órgãos de gestão, direção e administração podem responder pessoalmente, por ação ou omissão, com dolo ou culpa grave, pelas infrações previstas no regime jurídico da cibersegurança.

Sessão Técnica de Formação

Plano NIS2

Oito horas de formação especializada para estruturar o Plano de Atividades para Implementação da NIS2, em conformidade com o Decreto-Lei n.º 125/2025.

Inscrever-se
Mais Informações
Enquadramento Legal

A Nova Lei de Cibersegurança em Portugal

O Decreto-Lei n.º 125/2025 transpõe a Diretiva (UE) 2022/2555 para o ordenamento jurídico português, estabelecendo um quadro regulamentar reforçado para a segurança das redes e dos sistemas de informação.

Transição do Regime Anterior

O novo regime jurídico da cibersegurança revoga integralmente a Lei n.º 46/2018 e o Decreto-Lei n.º 65/2021, introduzindo obrigações substancialmente mais exigentes em matéria de governação, gestão de riscos, medidas técnicas e organizativas, e notificação de incidentes.

As organizações que já haviam implementado controlos ao abrigo do regime anterior necessitam agora de avaliar a conformidade das suas práticas com os novos requisitos e desenvolver um plano estruturado de transição que assegure o cumprimento integral das obrigações no prazo estabelecido.

Publicação

4 de dezembro de 2025, Diário da República n.º 234, 1.ª série

Entrada em Vigor

120 dias após publicação (3 de abril de 2026)

Autoridade Competente

Centro Nacional de Cibersegurança (CNCS)
Cronograma Regulatório

Datas Críticas para a Conformidade

O cumprimento das obrigações estabelecidas no regime jurídico da cibersegurança exige uma planificação rigorosa das atividades a desenvolver em cada fase do período de transição.

4 de dezembro de 2025
Publicação do Decreto-Lei n.º 125/2025

Publicação no Diário da República do regime jurídico da cibersegurança que transpõe a Diretiva NIS2 para o ordenamento jurídico português.

3 de abril de 2026
Entrada em Vigor do Regime

O regime jurídico entra em vigor 120 dias após a publicação, tornando-se aplicáveis as obrigações em matéria de governação, designação do responsável de cibersegurança, e comunicações ao CNCS.

[A definir pelo CNCS]
Publicação da Regulamentação Complementar

O CNCS aprovará regulamentação específica sobre modelos de reporte, requisitos técnicos das medidas de cibersegurança, e procedimentos de notificação de incidentes.

[Abril de 2027 - estimativa]
Início da Aplicação Plena de Coimas

Após o período de carência de 12 meses, inicia-se a aplicação plena do regime sancionatório, com coimas que podem atingir os 10 milhões de euros para entidades essenciais.

Setores Impactados

Organizações Abrangidas pelo Regime

O regime jurídico da cibersegurança aplica-se a um conjunto alargado de setores de importância crítica e de outros setores críticos, abrangendo entidades essenciais, entidades importantes e entidades públicas relevantes.

Energia

Eletricidade, petróleo, gás, hidrogénio e sistemas de aquecimento e arrefecimento urbano, incluindo operadores de redes de distribuição e transporte.

Transportes

Transporte aéreo, ferroviário, marítimo e rodoviário, incluindo gestores de infraestruturas, operadores e entidades de controlo de tráfego.

Setor Bancário

Instituições de crédito e infraestruturas do mercado financeiro, em articulação com o Regulamento DORA para a resiliência operacional digital.

Saúde

Prestadores de cuidados de saúde, laboratórios de referência, entidades que desenvolvem investigação e fabricantes de dispositivos médicos.

Água

Empresas de captação, tratamento e distribuição de água potável, bem como operadores de sistemas de águas residuais.

Infraestruturas Digitais

Prestadores de serviços DNS, registos de nomes de domínio, centros de dados, redes de distribuição de conteúdos e serviços de computação em nuvem.

Administração Pública

Serviços da administração direta e indireta do Estado, autarquias locais, entidades reguladoras e outras entidades públicas relevantes.

Espaço

Operadores de infraestruturas terrestres que apoiam a prestação de serviços espaciais, excluindo prestadores de redes públicas de comunicações eletrónicas.

Desafios de Transformação

Os Obstáculos que a sua Organização Enfrenta

A implementação do regime jurídico da cibersegurança confronta as organizações com um conjunto de desafios complexos que exigem uma abordagem estruturada e competências especializadas.

Incerteza sobre Aplicabilidade

Muitas organizações não conseguem determinar com clareza se são consideradas entidades essenciais, importantes ou públicas relevantes, e quais as obrigações específicas que lhes são aplicáveis.

Complexidade Regulatória

O novo regime introduz um conjunto extenso de obrigações técnicas, organizativas e de reporte que exigem uma interpretação cuidada e uma tradução para a realidade operacional de cada organização.

Escassez de Competências

A designação do responsável de cibersegurança e a implementação das medidas obrigatórias requerem competências especializadas que muitas organizações não dispõem internamente.

Pressão Temporal

O período de 120 dias para entrada em vigor do regime e de 12 meses de carência para aplicação de coimas impõe uma urgência significativa no desenvolvimento e execução dos planos de conformidade.

Alocação de Recursos

A definição de orçamentos e a priorização de investimentos em cibersegurança exige uma avaliação fundamentada dos riscos e uma demonstração clara do retorno para os órgãos de gestão.

Evidenciação de Conformidade

As organizações necessitam de documentar adequadamente as medidas implementadas e manter registos que permitam demonstrar a conformidade perante as autoridades de supervisão.

Responsabilização

Responsabilização: Institucional e Pessoal

O regime jurídico da cibersegurança estabelece um quadro de responsabilização que abrange tanto as entidades como pessoas coletivas, quanto os titulares dos seus órgãos de gestão a título individual.

Responsabilidade Institucional

As entidades abrangidas pelo regime respondem pelas contraordenações previstas, podendo ser sujeitas a coimas de valor significativo em função da gravidade das infrações e da sua categorização.

    Z

    Entidades essenciais: coimas até €10.000.000 ou 2% do volume de negócios mundial

    Z

    Entidades importantes: coimas até €7.000.000 ou 1,4% do volume de negócios mundial

    Z

    Entidades públicas Grupo A: coimas até €4.000.000

    Z

    Entidades públicas Grupo B: coimas até €350.000

    Fundamentação: Arts. 61.º a 66.º do DL 125/2025

    Responsabilidade Pessoal

    Os titulares dos órgãos de gestão, direção e administração podem responder pessoalmente pelas infrações, não podendo delegar as responsabilidades de aprovação, supervisão e formação.

      p

      Responsabilidade por ação ou omissão com dolo ou culpa grave

      p

      Coimas pessoais até €200.000 para pessoas singulares

      p

      Possibilidade de interdição temporária do exercício de funções

      p

      Obrigação de frequência de formação em cibersegurança

      Fundamentação: Art. 25.º, n.º 2 e Art. 67.º, al. f) do DL 125/2025
      Soluções de Conformidade

      Soluções para o Planeamento de Atividades NIS2

      Desenvolvemos um conjunto integrado de soluções profissionais (SP) que permitem às organizações iniciar de imediato o seu percurso de conformidade regulatória, com diferentes níveis de profundidade e investimento adequados a cada fase do processo.

      Entrada

      Avaliação Rápida de Impacto

      Sessão de diagnóstico inicial de 60 minutos que permite verificar a aplicabilidade do regime, identificar gaps preliminares e estabelecer um roadmap prioritário de atividades.

      Verificação de aplicabilidade

      Gaps preliminares

      Roadmap prioritário

      Diagnóstico

      Gap Analysis Estruturada

      Análise completa das nove áreas obrigatórias previstas no artigo 27.º, identificando lacunas específicas, priorizando ações de remediação e estabelecendo um plano de implementação calendarizado.

      9 áreas obrigatórias

      Matriz de priorização

      Plano de implementação

      Documentação

      Kit de Documentação NIS2

      Conjunto completo de templates e modelos documentais adaptados ao regime jurídico português, incluindo políticas, procedimentos, registos e formulários de reporte ao CNCS.

      Políticas modelo

      Procedimentos

      Formulários CNCS

      Estratégico

      Plano de Atividades de Conformidade

      Desenvolvimento do PAC anual com cronograma detalhado de implementação, atribuição de responsabilidades, indicadores de progresso e sistemas de monitorização contínua.

      Cronograma detalhado

      KPIs de progresso

      Sistema de monitorização

      Operacional

      Responsável de Cibersegurança Externo

      Serviço de designação de responsável de cibersegurança em regime de outsourcing, assegurando o cumprimento das obrigações previstas nos artigos 31.º e 32.º do regime jurídico.

      Regime de avença

      Reporting ao CNCS

      Suporte contínuo

      Governação

      Programa de Formação Executiva

      Programa estruturado de formação para órgãos de gestão que satisfaz a obrigação prevista na alínea d) do n.º 1 do artigo 25.º, incluindo certificação e evidenciação documental.

      Formação certificada

      Órgãos de gestão

      Evidenciação documental

      Inicie Hoje o Seu Plano de Conformidade

      Não espere pelo fim do período de carência para iniciar a implementação das medidas obrigatórias. Contacte-nos para uma avaliação inicial sem compromisso.

      Solicitar Avaliação Gratuita
      Ver Todas as Soluções
      Ecossistema de Serviços

      Recursos Complementares

      O planeamento de atividades de conformidade NIS2 integra-se num ecossistema mais amplo de serviços profissionais especializados na implementação do regime jurídico da cibersegurança em Portugal.

      DNIS2.pt

      Portal central de soluções e serviços profissionais para a conformidade regulatória NIS2, incluindo avaliações, consultoria e suporte operacional.

      Visitar DNIS2.pt

      PlanoNIS2.pt

      Especialização em planeamento de atividades de conformidade, desenvolvimento de PAC anuais, cronogramas de implementação e sistemas de monitorização do progresso.

      Está Aqui

      Solicite Informações

      Deixe-nos o seu contacto e entraremos em contacto consigo para apresentar as soluções mais adequadas às necessidades específicas da sua organização.

      Solicitar Contacto
      Politica de Proteção de Dados

      Consoante o seu consentimento, os Cookies neste sítio eletrónico podem ser utilizados (i) para melhorar a sua navegação e desempenho, (ii) para analisar a sua utilização, (iii) para possibilitar a criação de conteúdos de publicidade direcionada ou (iv) para integrar com a gestão de redes sociais.

      Por defeito, só os Cookies estritamente necessários se encontram ativos.

      Poderá aceitar ou rejeitar todos os Cookies nos botões apresentados ou gerir ou desativar alguns destes Cookies selecionando as opções “Configurar Cookies”.

      Para mais informações sobre tratamento de dados, visite, por favor, a [Política de Cookies] ou a [Política de Proteção de Dados].