top of page
logo.png
rood vlak

NIS2 em Portugal: a lei já está em vigor — o que significa para a sua empresa?

  • Foto do escritor: Olivier Sustronck
    Olivier Sustronck
  • 23 de abr.
  • 4 min de leitura

Desde 3 de abril de 2026, a Diretiva NIS2 está transposta para o direito português através do Decreto-Lei n.º 125/2025. O novo Regime Jurídico da Cibersegurança (RJC) abrange milhares de empresas em Portugal — estima-se que até dez vezes mais do que sob o anterior quadro NIS1. O primeiro prazo crítico cai já a 4 de maio de 2026. Não há tempo a perder.


Neste guia prático explicamos quem está abrangido, que prazos se aplicam, o que deve fazer concretamente — e como a Mr. Franklin o ajuda a chegar à conformidade, a preços fixos.


1. O que é a NIS2 e o que muda em Portugal?


A NIS2 é a diretiva europeia de cibersegurança (Diretiva (UE) 2022/2555), que substitui a anterior NIS1. Em Portugal, o novo RJC substitui a Lei n.º 46/2018, com obrigações consideravelmente mais exigentes e mais alargadas. Pontos essenciais:


Autoridade competente: o Centro Nacional de Cibersegurança (CNCS), apoiado por autoridades setoriais como a ANACOM (comunicações), o Banco de Portugal e a CMVM (sector financeiro).

Plataforma: MyCiber (myciber.gov.pt) — toda a identificação e interação com o CNCS passa por este portal.

Duplo nível de responsabilidade: não apenas a pessoa coletiva, mas também os membros dos órgãos de gestão e administração podem ser sancionados a título pessoal.


2. A sua empresa está abrangida pela NIS2?


A lei distingue três categorias:


Entidades essenciais (Anexo I)

Energia, transportes, banca, infraestruturas do mercado financeiro, saúde, água potável, águas residuais, infraestruturas digitais, gestão de serviços TIC, administração pública, espaço.


Entidades importantes (Anexo II)

Serviços postais e de estafeta, gestão de resíduos, química, produção e distribuição alimentar, fabrico (dispositivos médicos, computadores, eletrónica, equipamento elétrico, máquinas, veículos), prestadores digitais, investigação.


Entidades públicas relevantes

Determinadas componentes do sector público.


Critério de dimensão: em regra, empresas de média dimensão ou superiores (a partir de 50 colaboradores, ou > €10 milhões de volume de negócios/balanço). Certos prestadores digitais estão abrangidos independentemente da dimensão — por exemplo, prestadores de DNS, fornecedores de cloud, operadores de datacenters e prestadores de serviços de segurança geridos.


3. Os prazos que não pode falhar


  • 3 de abril de 2026: Entrada em vigor do RJC — todas as obrigações aplicáveis

  • 4 de maio de 2026 (20 dias úteis após a entrada em vigor): Nomear Responsável de Cibersegurança + Ponto de Contacto Permanente 24/7, e comunicá-los ao CNCS

  • 60 dias após a disponibilização da plataforma MyCiber: Registo / autoqualificação na plataforma

  • De 2 em 2 anos: Atualização da informação na plataforma

  • A partir de 3 de abril de 2027: Fim do período de carência — aplicação plena do regime sancionatório


Incidentes: notificação inicial em 24 horas, atualização detalhada em 72 horas, relatório final em 1 mês.


4. O que deve fazer concretamente — os sete passos


1. 

Determinar o âmbito: está abrangido e, em caso afirmativo, como entidade essencial ou importante?

2. Registar-se na plataforma MyCiber e submeter a informação de base.

3. Nomear o Responsável de Cibersegurança — membro do órgão de gestão ou a reportar-lhe diretamente — e comunicar ao CNCS.

4. Estabelecer o Ponto de Contacto Permanente 24/7.

5. Implementar a gestão de risco: políticas, inventário de ativos, continuidade de negócio, segurança da cadeia de abastecimento, gestão de acessos, encriptação, plano de resposta a incidentes.

6. Formar e envolver o órgão de gestão — responsável pessoalmente pela aprovação e supervisão das medidas.

7. Testar o procedimento de incidentes — cadeia de notificação operacional junto do CNCS, documentação, exercícios.


5. Sanções: o que está em jogo?


Entidades essenciais: coimas até €10 milhões ou 2% do volume de negócios anual mundial (o valor mais elevado dos dois).

Entidades importantes: até €7 milhões ou 1,4% do volume de negócios anual.

Responsabilidade pessoal dos membros do órgão de gestão, incluindo possível inibição temporária de funções.

- Existe um período de carência de 12 meses para entidades que demonstrem um procedimento interno de adaptação — daí a importância de iniciar agora, de forma documentada.


6. Como a Mr. Franklin o ajuda — quatro pacotes a preços fixos


Dividimos o caminho para a conformidade em quatro pacotes pragmáticos, a preços fixos, para que saiba antecipadamente o que recebe e quanto custa:


  • NIS2 Scan

Análise de aplicabilidade: está abrangido pela NIS2 e, em caso afirmativo, em que categoria? Receberá um relatório sucinto com conclusão e prioridades. Ideal para saber onde se encontra.


  • NIS2 Roadmap

Análise de lacunas face aos requisitos do RJC, seguida de um plano de ação prioritizado com cronograma, responsáveis por cada ação e esforço estimado. A roadmap servirá simultaneamente de documento de trabalho interno e de prova do seu "procedimento interno de adaptação" para efeitos do período de carência de 12 meses.


  • NIS2 Implementação

Acompanhamento integral: documentos de política, procedimentos, nomeação e briefing do Responsável de Cibersegurança, playbook de resposta a incidentes, registo no MyCiber, formação ao órgão de gestão, cláusulas de segurança na cadeia de fornecimento. Um único interlocutor, preço fixo, resultado final claro.


  • NIS2 Suporte Contínuo

Retainer mensal para a conformidade contínua: aconselhamento, apoio em incidentes, relatório anual para o CNCS, atualização de políticas, briefings ao órgão de gestão. Ideal para empresas que pretendem uma solução estruturada e sem preocupações.


Oferecemos ainda o seu trajeto NIS2 integrado com RGPD, acompanhamento como DPO e ISO 27001, para que construa um quadro de conformidade coerente, em vez de silos separados.


Pronto para começar?


O prazo de 4 de maio é concreto, as coimas são reais e os administradores respondem pessoalmente. Quanto mais cedo começar, mais conseguirá resolver dentro do período de carência.


Contacte o nosso escritório em Lisboa — ines@misterfranklin.pt — para uma conversa inicial sem compromisso. Numa reunião de 30 minutos, conseguimos dizer-lhe se a NIS2 se aplica à sua empresa e qual o pacote mais adequado.


Mr. Franklin — RGPD | DPO | ISO 27001 | NIS2

Bruges · Lisboa

bottom of page