Portugal: nova Lei da CiberSegurança entra hoje em vigor

A nova Lei da Cibersegurança em Portugal entra hoje em vigor (3 de abril de 2026) e traz mudanças profundas para empresas e entidades públicas.

O chamado Regime Jurídico da Cibersegurança, aprovado pelo Decreto-Lei n.º 125/2025, passa agora a aplicar-se oficialmente em Portugal, transpondo a diretiva europeia NIS2.

A nova lei não é apenas uma atualização da NIS, mas sim uma reforma estrutural da forma como a cibersegurança é tratada no país:

#1 - Mais entidades abrangidas

Deixa de ser apenas para infraestruturas críticas. Agora inclui:

• Empresas médias e grandes
• Serviços digitais
• Administração Pública
• Setores como energia, saúde, banca e transportes

O novo regime assenta na classificação das entidades em três grandes categorias, baseada na sua relevância para a segurança nacional e para o funcionamento da sociedade e da economia:

• 1) Entidades Essenciais
• 2) Entidades Importantes
• 3) Entidades Públicas Relevantes

A Diretiva NIS 2 identifica 18 setores considerados críticos, divididos em setores essenciais e setores importantes. Saber mais aqui.

#2 - Obrigações mais exigentes

As organizações passam a ter de:

• Implementar medidas de gestão de risco
• Garantir segurança na cadeia de fornecimento
• Reportar incidentes de segurança rapidamente
  • 30 dias - Para entidades que iniciem atividade após a entrada em vigor do RJC, para se identificarem na plataforma do Centro Nacional de Cibersegurança
  • 60 dias — Para entidades já em atividade, contados a partir da disponibilização da plataforma
  • 30 dias — Prazo para a Autoridade de Cibersegurança Competente (CNCS, ANACOM ou Gabinete Nacional de Segurança) comunicar a qualificação - Saber mais aqui.

#3 - Supervisão mais apertada

O Centro Nacional de Cibersegurança (CNCS) ganha mais poderes:

• Auditorias e inspeções
• Imposição de medidas corretivas
• Possibilidade de ordenar ações imediatas em caso de risco

Saber mais aqui.

#4 - Multas pesadas

O incumprimento pode sair caro:

• Até 10 milhões de euros
• Ou 2% do volume de negócios anual global

Saber mais aqui.

#5 - O artigo 8.º-A

O artigo 8.º-A (aditado à Lei do Cibercrime – Lei n.º 109/2009 pelo Decreto-Lei n.º 125/2025) consagra, pela primeira vez em Portugal, um regime de não punibilidade para atos de cibersegurança de interesse público, enquadrando legalmente a atuação de hackers éticos ("investigadores" de cibersegurança).

Ou seja, se até agora, a identificação de vulnerabilidades através de testes não autorizados podia enquadrar-se em crimes como o acesso ilegítimo a sistemas informáticos, com o novo diploma, passa a existir uma “proteção” legal para atividades realizadas de boa-fé e de interesse público.

#6) Implementação não é imediata para tudo

Apesar de entrar hoje em vigor hoje, muitas obrigações:

• Terão aplicação faseada
• Podem estender-se até 24 meses para cumprimento total

Esta lei surge num contexto de aumento de ciberataques e coloca Portugal alinhado com o resto da União Europeia. De referir que no Decreto-Lei 125/2025 podemos também encontrar as medidas mínimas de segurança que devem ser implementadas.

Leia também...

• CiberSegurança: NIS 2 introduz conceito de Responsabilidade Criminal
• NIS2: 63% das organizações portuguesas preveem estar em conformidade em 12 meses
• Nova Lei da Cibersegurança: as 10 medidas mínimas de segurança
• Nova Lei da Cibersegurança: principais mudanças em Portugal