Ficha técnica completa do Regime Jurídico da Cibersegurança (RJCS), transposto pela Directiva (UE) 2022/2555 e pelo Decreto-Lei n.º 125/2025. Obrigações de gestão de riscos, notificação de incidentes ao CNCS, regime sancionatório, serviços de suporte ao Responsável de Cibersegurança, apoio à equipa do Ponto de Contacto Permanente de Segurança, formação em cibersegurança e ciberhigiene.
A Directiva (UE) 2022/2555, conhecida como NIS2, estabelece o quadro jurídico europeu para um elevado nível comum de cibersegurança na União Europeia. Em Portugal, a sua transposição é assegurada pelo Decreto-Lei n.º 125/2025, de 4 de dezembro, que define o Regime Jurídico da Cibersegurança (RJCS).
O regime aplica-se a entidades essenciais e importantes em sectores críticos como energia, transportes, saúde, água, infra-estruturas digitais, administração pública, serviços financeiros e espaço, entre outros, estabelecendo obrigações de gestão de riscos, notificação de incidentes, governação da cibersegurança e responsabilidade dos órgãos de direcção.
O Centro Nacional de Cibersegurança (CNCS) é a autoridade nacional competente em matéria de cibersegurança, responsável pela supervisão e pela aplicação do regime, contando com o CSIRT nacional como equipa de resposta a incidentes.
O Decreto-Lei n.º 125/2025 estabelece um conjunto abrangente de obrigações para as entidades essenciais e importantes, centradas na gestão de riscos, governação, notificação de incidentes e cooperação com o CNCS.
Implementação de medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos que se colocam à segurança das redes e sistemas de informação (artigo 21.º NIS2).
Os órgãos de direcção devem aprovar e supervisionar as medidas de cibersegurança, podendo ser pessoalmente responsabilizados. É obrigatória formação regular em cibersegurança (artigo 20.º NIS2).
Obrigação de notificação faseada ao CNCS: alerta inicial sem demora injustificada e no prazo máximo de 24 horas; notificação completa em 72 horas; relatório final no prazo de 1 mês (artigo 23.º NIS2).
As entidades abrangidas devem registar-se junto do CNCS, fornecendo informações sobre os seus serviços, redes e sistemas de informação, e designar um ponto de contacto permanente de segurança.
Avaliação e gestão dos riscos de cibersegurança associados à cadeia de abastecimento e às relações com fornecedores directos de produtos e serviços TIC.
Obrigação de formação contínua em cibersegurança para os órgãos de direcção e colaboradores, incluindo práticas de ciberhigiene (artigo 21.º, n.º 2, alínea g) NIS2).
Acompanhamos a sua organização em todo o ciclo de conformidade com o Decreto-Lei n.º 125/2025, desde o diagnóstico inicial até à manutenção contínua do programa de cibersegurança.
Diagnóstico de âmbito e classificação (entidade essencial vs. importante), análise de lacunas (gap analysis), plano de conformidade e apoio na implementação das medidas de gestão de riscos.
consultajuridica.ptExternalização completa ou apoio técnico ao Responsável de Cibersegurança interno. Definição de políticas, coordenação com o CNCS, gestão do programa de conformidade e interface com os órgãos de direcção.
assessoriajuridica.ptAuditoria de conformidade com o DL 125/2025, avaliação da maturidade das medidas de gestão de riscos, revisão dos procedimentos de notificação e verificação da segurança da cadeia de abastecimento.
auditoriajuridica.ptElaboração do plano de resposta a incidentes de cibersegurança, definição dos procedimentos de notificação faseada ao CNCS (24h/72h/1 mês) e condução de exercícios de simulação.
centrodeservicos.ptA Directiva NIS2, transposta pelo Decreto-Lei n.º 125/2025, exige que as entidades abrangidas designem um responsável pela cibersegurança com competências adequadas. Esta função pode ser exercida internamente ou através de um modelo de externalização — o CISO-as-a-Service.
Assunção integral da função de Responsável de Cibersegurança em regime de externalização, incluindo a definição da estratégia de cibersegurança, elaboração de políticas de segurança, coordenação das medidas de gestão de riscos (artigo 21.º NIS2) e representação junto do CNCS.
Assessoria jurídico-regulatória sobre as obrigações do DL 125/2025, apoio na relação com o CNCS, preparação para acções de supervisão, revisão de procedimentos internos e elaboração de relatórios de conformidade.
Preparação de apresentações de cibersegurança para os órgãos de direcção (artigo 20.º NIS2), assessoria sobre responsabilidade pessoal dos dirigentes, definição do modelo de governação e elaboração de actas e deliberações de aprovação de políticas.
Coordenação global do programa de conformidade, incluindo a implementação das medidas de gestão de riscos, gestão de indicadores de desempenho, preparação de relatórios periódicos e monitorização de alterações regulatórias.
Suporte na gestão de incidentes significativos, coordenação do procedimento de notificação faseada ao CNCS (alerta 24h, notificação 72h, relatório final 1 mês), análise forense inicial e interface com o CSIRT nacional.
Apoio no registo junto do CNCS, manutenção da informação actualizada, gestão da relação institucional com a autoridade competente e preparação para processos de supervisão proactiva (entidades essenciais) ou reactiva (entidades importantes).
Integração com o Ecossistema
O serviço articula-se com os pilares de suporte do ecossistema Regimes Jurídicos:
O Regime Jurídico da Cibersegurança exige que as entidades abrangidas mantenham um ponto de contacto permanente de segurança (PCP), acessível ao CNCS e ao CSIRT nacional em regime contínuo, para efeitos de recepção de alertas, coordenação na resposta a incidentes e comunicação de vulnerabilidades.
Definição da estrutura, composição e competências da equipa do PCP, incluindo perfis funcionais, escalas de disponibilidade, procedimentos de activação, matrizes de escalamento interno e garantia de cobertura permanente 24/7.
Elaboração de PON para comunicação com o CNCS e CSIRT nacional, protocolos de alerta inicial (24h), notificação completa (72h) e relatório final (1 mês), templates padronizados, fluxos de aprovação e articulação com a CNPD.
Definição do papel do PCP na cadeia de resposta a incidentes, articulação com equipas técnicas internas, comunicação com fornecedores e terceiros, e interface com entidades reguladoras durante incidentes significativos.
Concepção e condução de exercícios de simulação (tabletop exercises), teste de procedimentos de notificação e tempos de resposta, avaliação da eficácia dos protocolos de comunicação e relatório de avaliação com recomendações.
Programa de formação dedicado aos membros da equipa do PCP, abrangendo os procedimentos de notificação, taxonomia de incidentes, competências de comunicação de crise e ferramentas de gestão de incidentes.
Avaliação periódica da eficácia da equipa PCP, monitorização de métricas de desempenho (tempos de resposta, qualidade das notificações), revisão de procedimentos e actualização face a novas orientações do CNCS.
Articulação com a Notificação RGPD
Um incidente de cibersegurança pode constituir simultaneamente uma violação de dados pessoais, exigindo notificações paralelas ao CNCS (NIS2) e à CNPD (RGPD):
A formação contínua em cibersegurança é uma obrigação expressa da Directiva NIS2 (artigo 20.º, n.º 2 e artigo 21.º, n.º 2, alínea g)). O programa integra-se sistemicamente com a Academia de Cibersegurança e o portal de Práticas de Ciberhigiene.
Directiva (UE) 2022/2555, DL 125/2025, âmbito de aplicação, classificação de entidades essenciais e importantes, obrigações de gestão de riscos, regime sancionatório e articulação com o RGPD e o Regulamento DORA.
Metodologias de análise de riscos, implementação das medidas do artigo 21.º NIS2, continuidade de negócio, segurança da cadeia de abastecimento, criptografia, controlo de acessos e gestão de activos.
Procedimentos de notificação faseada ao CNCS (24h/72h/1 mês), taxonomia de incidentes significativos, gestão de crises de cibersegurança e exercício prático de simulacro de incidente.
Gestão de palavras-passe, autenticação multifactor, detecção de phishing e engenharia social, segurança em trabalho remoto, boas práticas de navegação, actualizações de software e utilização segura de dispositivos móveis.
Workshop executivo sobre as responsabilidades NIS2 dos órgãos de direcção (artigo 20.º), obrigações de formação, aprovação de políticas de cibersegurança e supervisão da implementação.
Exercício prático de simulação de incidente significativo, testando a cadeia completa de detecção, resposta, notificação ao CNCS e comunicação de crise, com relatório de avaliação e recomendações.
Integração Sistémica — Academia de Cibersegurança e Ciberhigiene
O programa articula-se com os portais especializados do ecossistema:
Repositório centralizado de documentação e informação sobre cibersegurança e ciberhigiene em Portugal, reunindo o quadro legislativo, orientações do CNCS e da ENISA, guias de boas práticas, ferramentas de auto-avaliação e recursos de referência.
Directiva NIS2, DL 125/2025, Lei 46/2018, DL 65/2021, Lei 109/2009 (Cibercrime), Regulamento (UE) 2019/881 (Cybersecurity Act) e legislação complementar.
Guias de implementação, recomendações de segurança, quadro nacional de referência para a cibersegurança (QNRCS) e boas práticas publicadas pelo CNCS.
Publicações ENISA, relatórios de ameaças (Threat Landscape), esquemas de certificação de cibersegurança europeus e boas práticas sectoriais.
Manuais de boas práticas, guias de sensibilização, materiais de formação e recursos de auto-avaliação para colaboradores e organizações, em articulação com ciberhigiene.pt.
Modelos de políticas de cibersegurança, templates de notificação de incidentes, matrizes de avaliação de riscos, checklists de conformidade e ferramentas de auto-diagnóstico NIS2.
ISO 27001, ISO 27002, NIST CSF, IEC 62443, CIS Controls e outros referenciais técnicos de cibersegurança aplicáveis no contexto da NIS2.
Portais Integrados
Recursos complementares disponíveis nos domínios especializados do ecossistema:
A classificação depende de dois critérios principais: o sector de actividade e a dimensão da entidade. As entidades essenciais são operadores em sectores de elevada criticidade conforme o Anexo I da NIS2, enquanto as entidades importantes são operadores em outros sectores críticos conforme o Anexo II. A classificação determina o nível de supervisão aplicável — proactiva para entidades essenciais, reactiva para entidades importantes — e o regime sancionatório. Recomendamos uma análise jurídica específica para confirmar o enquadramento da sua organização.
A NIS2 prevê um sistema de notificação faseado para incidentes significativos (artigo 23.º): alerta inicial ao CNCS sem demora injustificada e no prazo máximo de 24 horas; notificação completa de incidente no prazo de 72 horas; relatório intercalar a pedido do CNCS; e relatório final no prazo de 1 mês após a notificação do incidente.
A NIS2 prevê sanções significativas: para entidades essenciais, coimas até 10 milhões de euros ou 2% do volume de negócios global anual (o que for mais elevado); para entidades importantes, coimas até 7 milhões de euros ou 1,4% do volume de negócios global. Adicionalmente, os Estados-Membros podem prever a responsabilização pessoal dos membros dos órgãos de direcção.
A NIS2 e o RGPD são regimes complementares. O RGPD foca-se na protecção de dados pessoais, enquanto a NIS2 aborda a segurança das redes e sistemas de informação de forma mais ampla. Um incidente de cibersegurança pode simultaneamente constituir uma violação de dados pessoais, exigindo notificações paralelas: ao CNCS no âmbito da NIS2 e à CNPD no âmbito do RGPD.
A certificação ISO 27001 é uma base sólida mas não garante por si só a conformidade total com a NIS2. A Directiva tem requisitos específicos, nomeadamente em matéria de notificação de incidentes ao CNCS, responsabilidade pessoal dos membros dos órgãos de direcção e segurança da cadeia de abastecimento, que vão além da norma ISO.
O CISO-as-a-Service é um modelo de externalização da função de responsável pela segurança da informação e cibersegurança. Inclui a definição e supervisão de políticas de segurança, a coordenação com o CNCS, a gestão do programa de conformidade NIS2, o apoio à governação de cibersegurança junto dos órgãos de direcção e a representação técnica junto de reguladores.
O Ponto de Contacto Permanente de Segurança (PCP) é a função obrigatória que assegura a interface contínua entre a entidade e o CNCS. A equipa PCP é responsável pela recepção de alertas do CSIRT nacional, pela execução dos procedimentos de notificação de incidentes dentro dos prazos legais (24h/72h/1 mês) e pela manutenção de um canal de comunicação permanente com as autoridades.
A conformidade com a NIS2 articula-se com outros regimes jurídicos do ecossistema regulatório, exigindo uma abordagem integrada de compliance.
Solicite um diagnóstico de conformidade ou uma proposta de serviços. Avaliamos a sua situação e apresentamos um plano de conformidade adequado às necessidades da sua organização.