Com a nova Lei da Cibersegurança (transposta pelo Decreto-Lei n.º 125/2025, que implementa a NIS 2), os órgãos de Gestão, Direção e Administração (GDA) têm a responsabilidade significativamente reforçada. Saiba o que muda.
O novo regime estabelece obrigações claras para os órgãos de Gestão, Direção e Administração, garantindo que a cibersegurança seja uma prioridade estratégica e não apenas uma questão técnica de TI (Tecnologias de Informação).
Cibersegurança: Responsabilidades dos órgãos de Gestão, Direção e Administração
1 — Os órgãos de gestão, direção e administração das entidades essenciais e importantes:
- a) Aprovam as medidas de gestão dos riscos de cibersegurança, adotadas em conformidade com o artigo 27.º:
- Tratamento de incidentes
- Continuidade das atividades
- Segurança da cadeia de abastecimento
- Segurança na aquisição, desenvolvimento e manutenção das redes e sistemas de informação
- Políticas e procedimentos para avaliar a eficácia das medidas de gestão dos riscos de cibersegurança
- Práticas básicas de ciber-higiene e formação em cibersegurança,
- Políticas e procedimentos relativos à utilização de criptografia
- Segurança dos recursos humanos
- Utilização de autenticação multifator ou de autenticação contínua
- b) Supervisionam a aplicação das medidas de gestão dos riscos de cibersegurança;
- c) Asseguram o cumprimento das medidas de supervisão e de execução (ver capítulo vi)
- d) Asseguram a realização, com uma periodicidade regular, de ações de formação em cibersegurança, de forma a promover uma cultura de gestão interna sobre práticas de gestão dos riscos de cibersegurança.
Os titulares dos órgãos de gestão, direção e administração podem responder por ação ou omissão, com dolo ou culpa grave, nos termos da legislação aplicável, pelas infrações previstas no presente decreto-lei.