Lei da Cibersegurança: responsabilidades dos órgãos de Gestão, Direção e Administração

Com a nova Lei da Cibersegurança (transposta pelo Decreto-Lei n.º 125/2025, que implementa a NIS 2), os órgãos de Gestão, Direção e Administração (GDA) têm a responsabilidade significativamente reforçada. Saiba o que muda.

O novo regime estabelece obrigações claras para os órgãos de Gestão, Direção e Administração, garantindo que a cibersegurança seja uma prioridade estratégica e não apenas uma questão técnica de TI (Tecnologias de Informação).

Cibersegurança: Responsabilidades dos órgãos de Gestão, Direção e Administração

1 — Os órgãos de gestão, direção e administração das entidades essenciais e importantes:

• a) Aprovam as medidas de gestão dos riscos de cibersegurança, adotadas em conformidade com o artigo 27.º:
  • Tratamento de incidentes
  • Continuidade das atividades
  • Segurança da cadeia de abastecimento
  • Segurança na aquisição, desenvolvimento e manutenção das redes e sistemas de informação
  • Políticas e procedimentos para avaliar a eficácia das medidas de gestão dos riscos de cibersegurança
  • Práticas básicas de ciber-higiene e formação em cibersegurança,
  • Políticas e procedimentos relativos à utilização de criptografia
  • Segurança dos recursos humanos
  • Utilização de autenticação multifator ou de autenticação contínua
• b) Supervisionam a aplicação das medidas de gestão dos riscos de cibersegurança;
• c) Asseguram o cumprimento das medidas de supervisão e de execução (ver capítulo vi)
• d) Asseguram a realização, com uma periodicidade regular, de ações de formação em cibersegurança, de forma a promover uma cultura de gestão interna sobre práticas de gestão dos riscos de cibersegurança.

Os titulares dos órgãos de gestão, direção e administração podem responder por ação ou omissão, com dolo ou culpa grave, nos termos da legislação aplicável, pelas infrações previstas no presente decreto-lei.