NIS2 em Portugal: o que o DL 125/2025 exige às PMEs (e até quando)

Resposta rápida: A NIS2 aplica-se à sua PME se tiver ≥50 trabalhadores ou ≥€10M de volume de negócios E operar num dos 18 sectores abrangidos. O prazo de adaptação termina a 3 de abril de 2027 — mas o reporting de incidentes (24h/72h/30d) já é exigível. Coimas até €10M ou 2% do volume de negócios global.

A 4 de dezembro de 2025, o Decreto-Lei 125/2025 foi publicado no Diário da República. A 3 de abril de 2026, entrou em vigor. Em pouco mais de quatro meses, Portugal passou de cerca de 1.000 entidades sujeitas a obrigações de cibersegurança para um universo estimado entre 7.000 e 9.000 — uma expansão de 7 a 9 vezes. A maioria são PMEs.

Este guia explica, em linguagem prática, o que a nova lei significa para a sua empresa, o que tem de fazer, e por onde começar sem entrar em pânico.

A nova lei está em vigor: o que significa para a sua PME

O Decreto-Lei 125/2025 transpõe a Diretiva (UE) 2022/2555 — a chamada NIS2 — para o ordenamento jurídico português. Substitui a Lei 46/2018 (que transpunha a NIS1) e cria um novo Regime Jurídico da Cibersegurança. O CNCS (Centro Nacional de Cibersegurança) é a autoridade nacional, com supervisão proactiva de Entidades Essenciais e reactiva de Entidades Importantes.

Há três coisas que mudam de forma material para qualquer PME:

1. O âmbito alargou. A NIS1 cobria essencialmente operadores de infraestrutura crítica de grande dimensão. A NIS2 cobre 18 sectores e dezenas de subsectores, com obrigações que se estendem a empresas com 50+ trabalhadores ou €10M+ de volume de negócios.
2. A administração é pessoalmente responsável. O Artigo 25 do DL 125/2025 estabelece responsabilidades não-delegáveis dos órgãos de gestão. Coimas individuais podem chegar a €200.000 por infrações graves. Isto é novo no direito administrativo português e altera materialmente a relação entre direção, IT, e governance.
3. As coimas escalaram. Até €10M ou 2% do volume de negócios global (Entidades Essenciais), até €7M ou 1,4% (Entidades Importantes). Para uma empresa com €100M de volume, isto pode significar até €2M numa única infração — mais do que muitas PMEs investem em IT durante uma década.

A boa notícia: existe um período de adaptação até 3 de abril de 2027 durante o qual o regulador não aplica coimas para esforços de boa-fé. A má notícia: este período não cobre as obrigações de reporting de incidentes — essas são imediatamente exigíveis.

A NIS2 aplica-se à sua empresa? Decisão em 60 segundos

Há três critérios cumulativos. Aplica-se se cumprir os três:

Critério 1 — Dimensão. ≥50 trabalhadores ou ≥€10M de volume de negócios anual (ou €10M de balanço). O critério é cumulativo na empresa-mãe, não por unidade de negócio.

Critério 2 — Sector. Opera num dos 18 sectores listados nos Anexos I (essenciais) ou II (importantes) do DL 125/2025: energia, transportes, banca, saúde, água, infraestrutura digital, administração pública, espaço, telecomunicações, postal, gestão de resíduos, química, alimentar, manufactura, fornecedores digitais, investigação, fabrico de medicamentos.

Critério 3 — Excepções de cadeia. Mesmo que esteja fora do scope direto, pode ser puxado para dentro pela due diligence de um cliente ou parceiro maior. Bancos, hospitais públicos e operadores críticos vão exigir aos seus fornecedores prova de conformidade NIS2 — e isto inclui SaaS, IT services, consultoras, e fornecedores de hardware.

A forma mais rápida de saber é o simulador oficial em myciber.gov.pt. Mais de 6.000 organizações já o usaram em apenas algumas semanas após o lançamento. Os resultados não são vinculativos — a qualificação formal acontece via registo na MyCiber — mas dão uma indicação fiável.

Entidades Essenciais vs Importantes: a diferença prática

Tanto Entidades Essenciais (EE) como Entidades Importantes (EI) têm os mesmos requisitos técnicos — os 10 controlos do Artigo 27, o reporte 24h/72h/30d, a designação do responsável de cibersegurança, o registo na MyCiber. Onde divergem é na intensidade da supervisão e nas coimas.

• Threshold — Entidade Essencial (EE): ≥250 trab. ou ≥€50M turnover · Entidade Importante (EI): 50–249 trab. ou €10M–€50M turnover
• Sectores — Entidade Essencial (EE): Anexo I (energia, banca, saúde, água, etc.) · Entidade Importante (EI): Anexo II (postal, química, alimentar, etc.)
• Supervisão — Entidade Essencial (EE): Proactiva (auditorias sem aviso) · Entidade Importante (EI): Reactiva (após incidente ou denúncia)
• Coima máxima — Entidade Essencial (EE): €10M ou 2% turnover · Entidade Importante (EI): €7M ou 1,4% turnover
• Coima pessoal — Entidade Essencial (EE): Até €200k · Entidade Importante (EI): Até €125k

Há uma armadilha importante: certas entidades especializadas (provedores DNS, registos TLD, fornecedores de identidade digital, prestadores eIDAS) são classificados como EE independentemente da dimensão. Pode ter 10 trabalhadores e mesmo assim cair no regime mais exigente.

Os 10 controlos do Artigo 27 que tem mesmo de implementar

O Artigo 27 estabelece 10 categorias de medidas mínimas. Todas são proporcionais ao risco — não tem de implementar tudo ao mesmo nível, mas tem de documentar porque escolheu o nível que escolheu.

1. Políticas de segurança e análise de risco. Documento aprovado pela administração que mapeia activos críticos, ameaças, e nível de risco aceito.
2. Gestão de incidentes. Procedimento que define detecção, classificação, resposta, e — crítico — escalonamento ao CNCS.
3. Segurança da cadeia de fornecimento. Avaliação de risco dos fornecedores; cláusulas contratuais; due diligence em SaaS críticos.
4. Criptografia e autenticação. MFA em sistemas críticos, encryption at rest e in transit, gestão de chaves criptográficas.
5. Segurança física e ambiental. Controlos de acesso a salas com servidores, climatização, redundância eléctrica.
6. Segurança de rede e monitorização. Segmentação, IDS/IPS, monitorização contínua (que requer SIEM).
7. Continuidade de negócio e recuperação. Backups testados, plano de recuperação documentado, exercícios anuais.
8. Segurança de pessoal e formação. Background checks, formação inicial, formação periódica para staff técnico.
9. Gestão de vulnerabilidades. Scanning regular, patching priorizado por risco, processo de disclosure.
10. Cyber-hygiene e formação à administração. Especificamente referido — a administração tem de receber formação periódica.

A maioria das PMEs já tem 4 ou 5 destes controlos parcialmente implementados, mesmo sem saber. A NIS2 obriga é a documentar, formalizar, e demonstrar.

Os 5 prazos que importam

A linha temporal que cada PME no scope deve gravar:

• 20 dias úteis após assumir funções: designar formalmente um responsável de cibersegurança e comunicar identidade e contactos ao CNCS via MyCiber. Para empresas que já existiam antes de 3 de abril de 2026, este prazo terminou a 4 de maio de 2026 — se ainda não cumpriu, está em incumprimento técnico.
• 60 dias após disponibilidade da MyCiber: registo formal da empresa, classificação (EE/EI/relevante), informação operacional. A plataforma foi lançada em fases entre abril e junho 2026.
• 24 horas após detecção de incidente significativo: alerta inicial ao CNCS via MyCiber. Sem grace period.
• 72 horas: relatório detalhado do incidente com avaliação preliminar de impacto.
• 30 dias: relatório final com causas raiz, impacto efectivo, e medidas implementadas.

E o prazo macro: 3 de abril de 2027. Fim do período de adaptação. Após esta data, a aplicação de coimas torna-se automática para infrações materiais.

Coimas: quanto custa não estar em conformidade

As coimas são as mais elevadas alguma vez introduzidas no direito administrativo português para cibersegurança:

• EE: até €10.000.000 ou 2% do volume de negócios global (o maior dos dois).
• EI: até €7.000.000 ou 1,4% do volume de negócios global.
• Pessoais: até €200.000 a administradores por infrações graves; até €125.000 por sérias.
• Complementares: suspensão de licenças (em sectores regulados), publicação obrigatória da decisão, formação obrigatória, inibição temporária de funções de gestão.

Mas o custo real raramente é a coima isoladamente. Um incidente significativo numa empresa não-conforme tipicamente combina: coima do CNCS, coima da CNPD se houver dados pessoais, custos de resposta a incidente (€50k–€500k para uma PME), perda de receita por downtime, churn de clientes empresariais que activam cláusulas de auditoria, custos legais com fornecedores afectados, e — em casos extremos — responsabilização civil pessoal de administradores.

Por onde começar (sem entrar em pânico)

A nossa recomendação para PMEs que estão a iniciar agora:

Semana 1 (acção pessoal):

1. Use o simulador em myciber.gov.pt para confirmar âmbito.
2. Leia o Artigo 25 (governance) e Artigo 27 (controlos) do DL 125/2025.
3. Designe internamente alguém como responsável de cibersegurança — pode ser uma pessoa existente em IT ou compliance.

Mês 1 (gap analysis):

1. Faça (ou contrate) um gap analysis contra os 10 controlos. 2 a 4 semanas de esforço.
2. Identifique os 3 controlos com maior risco vs menor esforço de remediação.

Trimestre 1 (implementação):

1. Implemente governance (política aprovada pela administração, training à direção, designação formal).
2. Implemente os 3 controlos prioritários (tipicamente: MFA universal, backups testados, segmentação de rede).
3. Estabeleça procedimento de notificação CNCS e teste-o internamente.

Trimestre 2 e seguintes (operação contínua):

1. SOC interno ou MSSP — para monitorização 24/7 e threat hunting.
2. Auditoria interna anual + revisão pela administração.

Este caminho é factível para uma PME com 50–250 trabalhadores em 6 a 9 meses, com investimento entre €30k e €150k consoante o ponto de partida e a opção (in-house vs gerido). É menos do que uma única coima EI mínima.

A NIS2 não é uma reforma técnica de IT — é uma reforma de governance que altera o que significa dirigir uma empresa em sectores regulados em Portugal. O período de adaptação até abril 2027 é generoso, mas curto para quem espera. Comece agora.

Próximos passos:

• Artigo 27: os 10 controlos NIS2 explicados
• Registo MyCiber: passo-a-passo
• Marcar Assessment NIS2 (2 semanas, sem compromisso)