Com a nova Lei da Cibersegurança (transposta pelo Decreto-Lei n.º 125/2025, que implementa a NIS 2), os órgãos de Gestão, Direção e Administração (GDA) têm a responsabilidade significativamente reforçada. Saiba o que muda.

O novo regime estabelece obrigações claras para os órgãos de Gestão, Direção e Administração, garantindo que a cibersegurança seja uma prioridade estratégica e não apenas uma questão técnica de TI (Tecnologias de Informação).

Cibersegurança: Responsabilidades dos órgãos de Gestão, Direção e Administração

1 — Os órgãos de gestão, direção e administração das entidades essenciais e importantes:

a) Aprovam as medidas de gestão dos riscos de cibersegurança , adotadas em conformidade com o artigo 27.º: Tratamento de incidentes Continuidade das atividades Segurança da cadeia de abastecimento Segurança na aquisição, desenvolvimento e manutenção das redes e sistemas de informação Políticas e procedimentos para avaliar a eficácia das medidas de gestão dos riscos de cibersegurança Práticas básicas de ciber-higiene e formação em cibersegurança, Políticas e procedimentos relativos à utilização de criptografia Segurança dos recursos humanos Utilização de autenticação multifator ou de autenticação contínua

, adotadas em conformidade com o artigo 27.º: b) Supervisionam a aplicação das medidas de gestão dos riscos de cibersegurança ;

; c) Asseguram o cumprimento das medidas de supervisão e de execução (ver capítulo vi)

(ver capítulo vi) d) Asseguram a realização, com uma periodicidade regular, de ações de formação em cibersegurança, de forma a promover uma cultura de gestão interna sobre práticas de gestão dos riscos de cibersegurança.

Os titulares dos órgãos de gestão, direção e administração podem responder por ação ou omissão, com dolo ou culpa grave, nos termos da legislação aplicável, pelas infrações previstas no presente decreto-lei.