NIS2

NIS2 em Portugal: o que muda para a sua PME

A Directiva NIS2 já foi transposta para o direito português. Saiba quem é abrangido, que obrigações surgem, quais os riscos de incumprimento e como começar a implementar o compliance de forma estruturada.

Ricardo Costa
Ricardo Costa
8 min de leitura

NIS2 em Portugal: o que muda para a sua PME

Durante anos, as regras de cibersegurança em Portugal foram vistas como "coisa de grandes empresas". A NIS2 acabou com essa ideia.

A Directiva NIS2 (Network and Information Security Directive 2) entrou em vigor na União Europeia e foi transposta para o direito dos Estados-membros. Portugal não é excepção. Se a sua empresa pertence a um dos sectores abrangidos, o momento de agir é agora — não quando chegar a primeira notificação de auditoria.

Este artigo explica, de forma directa, o que é a NIS2, quem fica obrigado, o que muda na prática e como dar os primeiros passos sem transformar isto num projecto interminável.


O que é a NIS2?

A NIS2 é a segunda geração da directiva europeia de segurança das redes e dos sistemas de informação. Substituiu a NIS1 original com um âmbito muito mais alargado e obrigações mais concretas.

O objectivo é simples: elevar o nível de cibersegurança em toda a União Europeia, incluindo nas empresas mais pequenas que operam em sectores críticos ou importantes.

A novidade mais relevante para as PMEs: o âmbito de aplicação expandiu-se consideravelmente. A NIS2 já não se limita a operadores de infraestruturas críticas de grande dimensão. Abrange agora entidades de média dimensão em dezenas de sectores.


Quem é abrangido em Portugal?

A NIS2 distingue dois grupos:

Entidades Essenciais — sectores como energia, transportes, banca, saúde, água, infraestrutura digital e administração pública. As obrigações são mais exigentes e a supervisão é mais activa.

Entidades Importantes — sectores como serviços postais, gestão de resíduos, fabrico de produtos críticos, fornecedores de serviços digitais (incluindo plataformas e comércio electrónico), investigação e outros. As obrigações são equivalentes, mas a supervisão é reactiva — actua após incidentes ou denúncias.

Critério de dimensão: em regra, são abrangidas empresas com 50 ou mais trabalhadores ou um volume de negócios anual superior a 10 milhões de euros. Há excepções: algumas entidades ficam obrigadas independentemente da dimensão, por operarem em sectores de impacto elevado.

Se a sua empresa presta serviços a entidades públicas ou a grandes grupos empresariais em sectores regulados, é provável que as obrigações da NIS2 já cheguem até si por via contratual, mesmo que não seja formalmente abrangida pela directiva.

Entidades Essenciais

  • Energia, transportes, banca, saúde
  • Água e infraestrutura digital
  • Administração pública
  • Supervisão activa — auditoria proactiva
  • Coimas até €10M ou 2% do volume de negócios

Entidades Importantes

  • Serviços postais e gestão de resíduos
  • Fabrico de produtos críticos
  • Fornecedores de serviços digitais
  • Supervisão reactiva — actua após incidentes
  • Coimas até €7M ou 1,4% do volume de negócios

O que obriga a NIS2 a fazer?

A directiva não prescreve soluções técnicas concretas. Exige que a entidade adopte medidas de gestão de riscos de cibersegurança proporcionais à sua dimensão, ao seu sector e ao seu perfil de risco.

Na prática, isso traduz-se em:

Governação — a gestão de topo é responsável pelo cumprimento. A NIS2 introduz responsabilidade pessoal dos administradores em caso de incumprimento grave.

Gestão de riscos — identificar os activos críticos, avaliar riscos e documentar as medidas implementadas. Não basta ter um antivírus.

Segurança da cadeia de fornecimento — avaliar os riscos introduzidos por fornecedores e prestadores de serviços, especialmente em TI e cloud.

Planos de resposta a incidentes — ter procedimentos definidos para quando algo corre mal.

Notificação de incidentes — os incidentes significativos têm de ser reportados à autoridade competente dentro de prazos curtos (alerta inicial em 24 horas, relatório detalhado em 72 horas, relatório final em 30 dias úteis após a cessação do impacto do incidente (DL 125/2025)).

Continuidade de negócio — planos de recuperação para os sistemas e serviços críticos.

Formação e consciencialização — colaboradores informados sobre riscos e procedimentos.


Quais são os riscos de não cumprir?

O regime sancionatório da NIS2 é mais pesado do que o da directiva anterior.

€10M / 2%

Coima máxima para Entidades Essenciais

As coimas máximas para entidades essenciais podem atingir 10 milhões de euros ou 2% do volume de negócios mundial anual, consoante o que for mais elevado. Para entidades importantes, os limites são de 7 milhões de euros ou 1,4% do volume de negócios.

Além das coimas, existem outras consequências:

  • Suspensão temporária de serviços ou actividades
  • Proibição temporária de exercício de funções de gestão
  • Publicação das decisões sancionatórias — com efeito reputacional directo
  • Responsabilidade civil por danos causados a terceiros em resultado de um incidente

O risco financeiro é real. Mas o risco reputacional — especialmente para empresas que trabalham com clientes empresariais exigentes — pode ser ainda mais relevante.


Como começar sem entrar em pânico

A implementação da NIS2 não precisa de ser um projecto de 18 meses com consultores externos.

O ponto de partida é perceber onde está a sua empresa hoje: que activos existem, que riscos enfrenta, que medidas já estão implementadas e que lacunas há. Este diagnóstico inicial é o que orienta tudo o resto.

Ponto de partida recomendado

Um diagnóstico inicial estruturado é mais eficaz do que começar pela implementação. O EterShield permite mapear controlos existentes e identificar lacunas prioritárias sem precisar de consultora externa.

A partir daí, o processo tem três fases essenciais:

  1. Mapear e classificar os sistemas e dados críticos
  2. Avaliar os riscos em cada domínio (acesso, rede, dados, fornecedores)
  3. Implementar e documentar as medidas, mantendo evidências auditáveis

A documentação é fundamental. Não apenas para a auditoria — mas porque sem registo, não há como demonstrar que as medidas foram implementadas.

É aqui que uma plataforma de GRC faz a diferença. Em vez de gerir folhas de cálculo dispersas e documentos Word desactualizados, o EterShield centraliza os controlos, as evidências e o histórico de conformidade numa plataforma construída especificamente para PMEs. Com mais de 700 controlos mapeados para frameworks como NIS2, ISO 27001 e RGPD, permite operacionalizar o compliance sem precisar de começar do zero.

A plataforma EterShield permite ainda acompanhar o progresso de implementação em tempo real — útil tanto para a equipa interna como para demonstrar maturidade a clientes e auditores.


Perguntas frequentes

A NIS2 aplica-se às microempresas? Em geral, não. O limiar de dimensão (50 trabalhadores ou 10 M€ de volume de negócios) exclui a maioria das microempresas. Existem excepções para entidades que operam em domínios de impacto elevado, independentemente da dimensão.

Quando é que a NIS2 entra em vigor em Portugal? A NIS2 foi transposta em Portugal pelo Decreto-Lei n.º 125/2025, publicado a 4 de dezembro de 2025 e em vigor desde 3 de abril de 2026. As entidades abrangidas já têm de cumprir os requisitos e de se registar na plataforma do CNCS (Centro Nacional de Cibersegurança). O CNCS publicou ainda o Regulamento n.º 756/2026 (22 de junho de 2026), que operacionaliza o regime de notificação de incidentes e outros procedimentos.

A minha empresa não é entidade essencial nem importante. Preciso de fazer alguma coisa? Mesmo fora do âmbito directo da NIS2, a cadeia de fornecimento é afectada. Clientes abrangidos vão exigir garantias de segurança aos seus fornecedores. Ter o compliance estruturado é uma vantagem competitiva, mesmo sem obrigação legal directa.

Qual a diferença entre NIS2 e ISO 27001? A ISO 27001 é uma norma de certificação voluntária para sistemas de gestão de segurança da informação. A NIS2 é direito comunitário com força legal. As duas são complementares: a ISO 27001 é um bom ponto de partida para cumprir os requisitos da NIS2, mas não é suficiente por si só nem obrigatória.

Quanto tempo demora a implementação? Depende do ponto de partida. Uma PME que já tem algumas medidas implementadas (RGPD, por exemplo) pode estruturar o essencial em semanas. Uma empresa sem qualquer framework de segurança vai precisar de mais tempo. O mais importante é começar com um diagnóstico honesto.


Próximo passo

Se ainda não tem claro onde está a sua empresa face à NIS2, o melhor ponto de partida é um diagnóstico inicial. O EterShield permite mapear os controlos existentes e identificar as lacunas prioritárias sem precisar de contratar uma consultora para o efeito.

Pode também explorar os planos disponíveis para perceber qual se adequa à dimensão e ao perfil da sua empresa.

A NIS2 é uma obrigação legal. Mas tratada com método, é também uma oportunidade de construir uma empresa mais resiliente — e de demonstrá-lo a clientes, parceiros e investidores.

Ricardo Costa

Curated by

Ricardo Costa

CEO, Eter Growth · Especialista em compliance digital e cibersegurança para PMEs

EterShield

Pronto para estruturar o compliance da sua empresa?

O EterShield centraliza controlos, evidências e histórico de conformidade — NIS2, ISO 27001, RGPD e AML — numa plataforma construída para PMEs portuguesas.

Explorar o EterShield