Regime Jurídico da Segurança do Ciberespaço (DL 125/2025) que Transpõe a Diretiva NIS 2

---

Quem está abrangido

O RJSC define um conjunto alargado de entidades obrigadas a cumprir as novas medidas de cibersegurança, organizadas em três categorias:

Entidades Essenciais (EE)

Organizações cuja operação é crítica para o funcionamento da sociedade e da economia, incluindo:
energia, transportes, saúde, fornecimento de água, banca e finanças, infraestruturas digitais (cloud, IXPs), e diversos serviços essenciais do Estado.

Estas entidades ficam sujeitas a supervisão direta, contínua e com auditorias obrigatórias.

Entidades Importantes (EI)

Operadores relevantes para a economia e para o normal funcionamento da sociedade — correios, gestão de resíduos, certos fabricantes e setores industriais estratégicos.

Estão sujeitas a supervisão reativa, desencadeada após incidentes ou evidência de incumprimento.

Entidades Públicas Relevantes (Grupo A / Grupo B)

Criadas especificamente para enquadrar a Administração Pública:

• Grupo A: organismos com maior criticidade digital, escala ou impacto;
• Grupo B: organismos de menor dimensão ou risco reduzido.

Ambos os grupos passam a integrar o sistema nacional de cibersegurança e estão sujeitos a obrigações proporcionais ao seu risco.

Exclusões relevantes

As micro e pequenas empresas (PME) ficam excluídas por regra, exceto quando:

• prestem serviços essenciais;
• sejam fornecedores únicos ou críticos;
• integrem cadeias de fornecimento cujo risco se propague.

---

Principais Obrigações — Medidas de Gestão de Risco

O RJSC torna obrigatórias um conjunto de medidas que, até agora, eram apenas boas práticas.
Todas as entidades essenciais e importantes, bem como as entidades públicas relevantes, devem implementar um sistema estruturado de gestão de risco que inclua:

Inventário e análise de risco

• Identificação de ativos críticos
• Avaliação contínua das vulnerabilidades
• Gestão de dependências, incluindo terceiros

Controlo e proteção dos sistemas

• Autenticação multifator (MFA)
• Políticas de controlo de acessos
• Encriptação de dados em trânsito e em repouso
• Registo e monitorização contínua de eventos

Segurança da cadeia de fornecimento

O RJSC obriga à adoção de controlos que se estendem aos fornecedores e parceiros críticos.
As entidades passam a ter responsabilidade direta pela gestão do risco associado a terceiros.

Continuidade de negócio e recuperação

• Planos de continuidade e recuperação de desastres
• Testes periódicos obrigatórios
• Melhoria contínua da capacidade de resposta

Estas obrigações são auditáveis e sujeitas a fiscalização por parte do CNCS e das autoridades setoriais.

---

Notificação Obrigatória de Incidentes

Um dos elementos centrais da NIS2 e do RJSC é a imposição de prazos rigorosos para notificação ao CNCS:

• 24 horas — alerta precoce
• 72 horas — atualização do incidente (impacto, gravidade, IoCs)
• 30 dias úteis — relatório final

As entidades têm ainda de comunicar aos seus utilizadores qualquer incidente com impacto significativo que os possa afetar.

Governança e Responsabilidade do Órgão de Gestão

A NIS2 trouxe uma revolução nesta matéria — e o DL 125/2025 reflete-a integralmente.

Responsabilidade legal do órgão de gestão

O órgão de gestão passa a ter obrigação direta de:

• Aprovar as medidas de gestão de risco
• Supervisionar a sua implementação
• Avaliar a eficácia dos controlos
• Garantir recursos suficientes para cibersegurança
• Monitorizar a capacidade de resposta a incidentes

A responsabilidade por falhas deixa de ser exclusivamente técnica; torna-se estratégica e fiduciária.

Formação obrigatória da liderança

Os membros dos órgãos de gestão devem frequentar formação periódica em cibersegurança — uma exigência prevista pelo legislador para garantir que a supervisão é efetiva e informada.

---

Regime Sancionatório — Coimas e Medidas de Execução

O novo regime sancionatório é significativamente mais severo, refletindo os limites harmonizados da NIS2.

Coimas

• Entidades Essenciais: até 10 milhões de euros ou 2% do volume de negócios mundial
• Entidades Importantes: até 7 milhões de euros ou 1,4% do volume de negócios mundial

As infrações incluem:

• Falhas na implementação das medidas de segurança
• Ausência de notificação de incidentes
• Obstrução de auditorias
• Falta de cooperação com a autoridade competente

Medidas cautelares

A autoridade de supervisão pode impor:

• Suspensão temporária de atividade
• Ordens vinculativas imediatas
• Auditorias obrigatórias e pagas pela entidade
• Exigência de substituição de responsáveis (em casos extremos)

---

Como a CONFIDEBAT apoia a sua organização

A CONFIDEBAT posiciona-se como parceiro especializado no apoio à implementação do RJSC, integrando competências técnicas, regulatórias e estratégicas:

Avaliação de Conformidade NIS2 / DL 125/2025

Diagnóstico completo do estado atual da organização, análise de maturidade e identificação de lacunas.

Desenho e implementação de medidas de gestão de risco

Políticas, processos, controlos técnicos e organizacionais, alinhados com o Quadro Nacional de Referência para a Cibersegurança (QNRCS) e com os requisitos mínimos definidos pelo CNCS.

Preparação para supervisão e auditorias

Acompanhamento para inspeções, testes, evidências e processos de conformidade.

Formação para dirigentes e equipas técnicas

Programas focados em governação, gestão de risco e resposta a incidentes — incluindo formação obrigatória para órgãos de gestão.

Cibersegurança como função contínua

Apoio permanente na operação, monitorização, melhoria contínua e implementação de práticas avançadas de segurança.

Preparado para a transição NIS2 / DL 125/2025?

O novo regime exige uma adaptação estruturada, priorização de investimentos e transformação operacional.
A CONFIDEBAT apoia organizações públicas e privadas em todas as etapas deste processo.

Fale connosco para avaliar o impacto do DL 125/2025 na sua organização e definir o plano de conformidade ideal.

---