NIS2 em Portugal: o que muda para a sua PME
Durante anos, as regras de cibersegurança em Portugal foram vistas como "coisa de grandes empresas". A NIS2 acabou com essa ideia.
A Directiva NIS2 (Network and Information Security Directive 2) entrou em vigor na União Europeia e foi transposta para o direito dos Estados-membros. Portugal não é excepção. Se a sua empresa pertence a um dos sectores abrangidos, o momento de agir é agora — não quando chegar a primeira notificação de auditoria.
Este artigo explica, de forma directa, o que é a NIS2, quem fica obrigado, o que muda na prática e como dar os primeiros passos sem transformar isto num projecto interminável.
O que é a NIS2?
A NIS2 é a segunda geração da directiva europeia de segurança das redes e dos sistemas de informação. Substituiu a NIS1 original com um âmbito muito mais alargado e obrigações mais concretas.
O objectivo é simples: elevar o nível de cibersegurança em toda a União Europeia, incluindo nas empresas mais pequenas que operam em sectores críticos ou importantes.
A novidade mais relevante para as PMEs: o âmbito de aplicação expandiu-se consideravelmente. A NIS2 já não se limita a operadores de infraestruturas críticas de grande dimensão. Abrange agora entidades de média dimensão em dezenas de sectores.
Quem é abrangido em Portugal?
A NIS2 distingue dois grupos:
Entidades Essenciais — sectores como energia, transportes, banca, saúde, água, infraestrutura digital e administração pública. As obrigações são mais exigentes e a supervisão é mais activa.
Entidades Importantes — sectores como serviços postais, gestão de resíduos, fabrico de produtos críticos, fornecedores de serviços digitais (incluindo plataformas e comércio electrónico), investigação e outros. As obrigações são equivalentes, mas a supervisão é reactiva — actua após incidentes ou denúncias.
Critério de dimensão: em regra, são abrangidas empresas com 50 ou mais trabalhadores ou um volume de negócios anual superior a 10 milhões de euros. Há excepções: algumas entidades ficam obrigadas independentemente da dimensão, por operarem em sectores de impacto elevado.
Se a sua empresa presta serviços a entidades públicas ou a grandes grupos empresariais em sectores regulados, é provável que as obrigações da NIS2 já cheguem até si por via contratual, mesmo que não seja formalmente abrangida pela directiva.
Entidades Essenciais
- Energia, transportes, banca, saúde
- Água e infraestrutura digital
- Administração pública
- Supervisão activa — auditoria proactiva
- Coimas até €10M ou 2% do volume de negócios
Entidades Importantes
- Serviços postais e gestão de resíduos
- Fabrico de produtos críticos
- Fornecedores de serviços digitais
- Supervisão reactiva — actua após incidentes
- Coimas até €7M ou 1,4% do volume de negócios
O que obriga a NIS2 a fazer?
A directiva não prescreve soluções técnicas concretas. Exige que a entidade adopte medidas de gestão de riscos de cibersegurança proporcionais à sua dimensão, ao seu sector e ao seu perfil de risco.
Na prática, isso traduz-se em:
Governação — a gestão de topo é responsável pelo cumprimento. A NIS2 introduz responsabilidade pessoal dos administradores em caso de incumprimento grave.
Gestão de riscos — identificar os activos críticos, avaliar riscos e documentar as medidas implementadas. Não basta ter um antivírus.
Segurança da cadeia de fornecimento — avaliar os riscos introduzidos por fornecedores e prestadores de serviços, especialmente em TI e cloud.
Planos de resposta a incidentes — ter procedimentos definidos para quando algo corre mal.
Notificação de incidentes — os incidentes significativos têm de ser reportados à autoridade competente dentro de prazos curtos (alerta inicial em 24 horas, relatório detalhado em 72 horas, relatório final em 30 dias úteis após a cessação do impacto do incidente (DL 125/2025)).
Continuidade de negócio — planos de recuperação para os sistemas e serviços críticos.
Formação e consciencialização — colaboradores informados sobre riscos e procedimentos.
Quais são os riscos de não cumprir?
O regime sancionatório da NIS2 é mais pesado do que o da directiva anterior.
€10M / 2%
Coima máxima para Entidades Essenciais
As coimas máximas para entidades essenciais podem atingir 10 milhões de euros ou 2% do volume de negócios mundial anual, consoante o que for mais elevado. Para entidades importantes, os limites são de 7 milhões de euros ou 1,4% do volume de negócios.
Além das coimas, existem outras consequências:
- Suspensão temporária de serviços ou actividades
- Proibição temporária de exercício de funções de gestão
- Publicação das decisões sancionatórias — com efeito reputacional directo
- Responsabilidade civil por danos causados a terceiros em resultado de um incidente
O risco financeiro é real. Mas o risco reputacional — especialmente para empresas que trabalham com clientes empresariais exigentes — pode ser ainda mais relevante.
Como começar sem entrar em pânico
A implementação da NIS2 não precisa de ser um projecto de 18 meses com consultores externos.
O ponto de partida é perceber onde está a sua empresa hoje: que activos existem, que riscos enfrenta, que medidas já estão implementadas e que lacunas há. Este diagnóstico inicial é o que orienta tudo o resto.
Ponto de partida recomendado
Um diagnóstico inicial estruturado é mais eficaz do que começar pela implementação. O EterShield permite mapear controlos existentes e identificar lacunas prioritárias sem precisar de consultora externa.
A partir daí, o processo tem três fases essenciais:
- Mapear e classificar os sistemas e dados críticos
- Avaliar os riscos em cada domínio (acesso, rede, dados, fornecedores)
- Implementar e documentar as medidas, mantendo evidências auditáveis
A documentação é fundamental. Não apenas para a auditoria — mas porque sem registo, não há como demonstrar que as medidas foram implementadas.
É aqui que uma plataforma de GRC faz a diferença. Em vez de gerir folhas de cálculo dispersas e documentos Word desactualizados, o EterShield centraliza os controlos, as evidências e o histórico de conformidade numa plataforma construída especificamente para PMEs. Com mais de 700 controlos mapeados para frameworks como NIS2, ISO 27001 e RGPD, permite operacionalizar o compliance sem precisar de começar do zero.
A plataforma EterShield permite ainda acompanhar o progresso de implementação em tempo real — útil tanto para a equipa interna como para demonstrar maturidade a clientes e auditores.
Perguntas frequentes
A NIS2 aplica-se às microempresas? Em geral, não. O limiar de dimensão (50 trabalhadores ou 10 M€ de volume de negócios) exclui a maioria das microempresas. Existem excepções para entidades que operam em domínios de impacto elevado, independentemente da dimensão.
Quando é que a NIS2 entra em vigor em Portugal? A NIS2 foi transposta em Portugal pelo Decreto-Lei n.º 125/2025, publicado a 4 de dezembro de 2025 e em vigor desde 3 de abril de 2026. As entidades abrangidas já têm de cumprir os requisitos e de se registar na plataforma do CNCS (Centro Nacional de Cibersegurança). O CNCS publicou ainda o Regulamento n.º 756/2026 (22 de junho de 2026), que operacionaliza o regime de notificação de incidentes e outros procedimentos.
A minha empresa não é entidade essencial nem importante. Preciso de fazer alguma coisa? Mesmo fora do âmbito directo da NIS2, a cadeia de fornecimento é afectada. Clientes abrangidos vão exigir garantias de segurança aos seus fornecedores. Ter o compliance estruturado é uma vantagem competitiva, mesmo sem obrigação legal directa.
Qual a diferença entre NIS2 e ISO 27001? A ISO 27001 é uma norma de certificação voluntária para sistemas de gestão de segurança da informação. A NIS2 é direito comunitário com força legal. As duas são complementares: a ISO 27001 é um bom ponto de partida para cumprir os requisitos da NIS2, mas não é suficiente por si só nem obrigatória.
Quanto tempo demora a implementação? Depende do ponto de partida. Uma PME que já tem algumas medidas implementadas (RGPD, por exemplo) pode estruturar o essencial em semanas. Uma empresa sem qualquer framework de segurança vai precisar de mais tempo. O mais importante é começar com um diagnóstico honesto.
Próximo passo
Se ainda não tem claro onde está a sua empresa face à NIS2, o melhor ponto de partida é um diagnóstico inicial. O EterShield permite mapear os controlos existentes e identificar as lacunas prioritárias sem precisar de contratar uma consultora para o efeito.
Pode também explorar os planos disponíveis para perceber qual se adequa à dimensão e ao perfil da sua empresa.
A NIS2 é uma obrigação legal. Mas tratada com método, é também uma oportunidade de construir uma empresa mais resiliente — e de demonstrá-lo a clientes, parceiros e investidores.
