Opinião

A responsabilidade estratégica da gestão chama-se NIS2

Paulo Fão
24 Março 2026

A cibersegurança deixou definitivamente de ser um tema exclusivamente técnico para se tornar uma prioridade estratégica ao mais alto nível nas organizações. Neste contexto, a Diretiva NIS2 representa um salto qualitativo significativo no enquadramento regulatório europeu, reforçando a resiliência digital, a gestão de risco e a responsabilização das lideranças.

Em Portugal, este novo quadro já é uma realidade jurídica e operacional, com impactos diretos em centenas de entidades públicas e privadas, de múltiplos setores de atividade.

Estado da NIS2 em Portugal (a março de 2026)

Portugal concluiu a transposição integral da Diretiva NIS2 através do Decreto-Lei n.º 125/2025, de 4 de dezembro de 2025, que aprova o novo Regime Jurídico da Cibersegurança. O diploma, em vigor a partir de 3 de abril de 2026, estabelece uma aplicação faseada e proporcional das obrigações, ajustada à dimensão, criticidade e risco das entidades abrangidas.

Apesar da entrada em vigor formal, o legislador previu um período de carência de coimas de 12 meses, aplicável exclusivamente a organizações que consigam demonstrar um processo estruturado e consistente de adaptação à NIS2.

Governação e supervisão nacional

O Centro Nacional de Cibersegurança (CNCS) é confirmado como autoridade nacional de cibersegurança, ponto único de contacto e entidade coordenadora da supervisão, em articulação com as autoridades setoriais competentes. Este papel reforçado traduz-se em maiores exigências de registo, reporte e interação contínua por parte das entidades abrangidas.

Paralelamente, encontra-se em consulta pública até 22 de abril de 2026 o regulamento do CNCS que operacionaliza o Decreto-Lei n.º 125/2025, clarificando aspetos essenciais como a designação do Responsável de Cibersegurança, as suas responsabilidades, obrigações de reporte e articulação com o ponto de contacto permanente.

Âmbito de aplicação

A NIS2 aplica-se a Entidades Essenciais, Entidades Importantes e Entidades Públicas Relevantes, abrangendo 17 setores de atividade, bem como a Administração Pública. Entre os setores incluídos destacam-se energia, transportes, saúde, água, banca, infraestruturas digitais, serviços TIC (incluindo os serviços geridos MSP/MSSP e os modelos de subscrição cloud), indústria transformadora e serviços digitais.

Ao contrário do regime anterior, no âmbito do novo quadro legal passa a existir uma obrigação clara de autoidentificação e registo junto do CNCS, eliminando ambiguidades quanto ao enquadramento das organizações.

Principais obrigações introduzidas

O Decreto-Lei n.º 125/2025 reforça significativamente o regime anterior (Lei n.º 46/2018), introduzindo exigências acrescidas, entre as quais:

  • Gestão formal e documentada do risco de cibersegurança;
  • Processos de gestão e reporte de incidentes com prazos mais exigentes;
  • Planos de continuidade de negócio e recuperação;
  • Avaliação dos riscos na cadeia de fornecimento;
  • Adoção de medidas técnicas e organizativas mínimas;
  • Registo obrigatório e comunicação contínua com o CNCS.

Um dos aspetos mais relevantes do novo regime é a responsabilização direta dos órgãos de gestão, incluindo a possibilidade de responsabilidade pessoal em situações de dolo ou culpa grave.

Calendário prático em Portugal

  • 3 de abril de 2026 – Entrada em vigor do regime NIS2;
  • Abril–maio de 2026 – Identificação e registo das entidades abrangidas;
  • Maio de 2026 – Nomeação do Responsável de Cibersegurança;
  • Abril de 2027 – Fim do período de carência de coimas.

NIS2 no contexto da estratégia europeia de cibersegurança

A centralidade da NIS2 é reforçada pelo investimento europeu em capacidades operacionais de cibersegurança. No final de 2025, a Comissão Europeia avançou com um contrato‑quadro de quatro anos para apoiar 71 Instituições, Órgãos e Agências da União Europeia no reforço das suas capacidades de cibersegurança.

O contrato cobre todo o ciclo de cibersegurança, operações e resposta a incidentes, governação e gestão de risco, e capacitação técnica, e está explicitamente alinhado com a Diretiva NIS2, o DORA, o EU Cybersecurity Act e o Cyber Resilience Act. Esta iniciativa demonstra que a NIS2 é parte integrante de uma estratégia europeia mais ampla de resiliência digital e soberania tecnológica.

Uma mudança estrutural, não apenas regulatória

A NIS2 deve ser encarada como um catalisador de maturidade organizacional. Mais do que cumprir requisitos legais, as organizações são chamadas a integrar a cibersegurança na sua estratégia, governação e cultura, com envolvimento ativo da gestão de topo.

Num contexto de ameaça crescente e de interdependência digital, a preparação atempada para a NIS2 será um fator diferenciador de resiliência, confiança e sustentabilidade no médio e no longo prazo.

Paulo Fão,
CSO – Chief Sales Officer da Capgemini Portugal

Fontes:

Diretiva NIS2 – Comissão Europeia Decreto-Lei n.º 125/2025, de 4 de dezembro Capgemini. European Commission selects Capgemini for its EU cybersecurity framework contract. Press Release, 8 December 2025. Disponível aqui.
GCN. European Commission awards EU cybersecurity framework contract to Capgemini‑led consortium. December 2025. Disponível aqui.
 The Consulting Report. European Commission awards Capgemini key role in EU‑wide cybersecurity framework. January 2026. Disponível aqui.
Investors Hangout. Capgemini wins key EU cybersecurity contract amid rising threats. December 2025. Disponível aqui.

 

Artigos Relacionados

Os próximos 50 anos do talento: a vantagem será humana

Gonçalo Lança

Vulnerabilidades do Microsoft Office – alerta máximo para as empresas portuguesas

Rui Dias

A saúde que espera o doente já chegou atrasada

Brunno Falcão

Kevin Warsh, IA e taxas de juro: uma nova doutrina da Fed ou uma aposta arriscada?

João Lampreia