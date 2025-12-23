Nova Lei da Cibersegurança: as 10 medidas mínimas de segurança
A "nova lei da cibersegurança" em Portugal refere-se ao Decreto-Lei n.º 125/2025, publicado em 4 de dezembro de 2025. Este diploma transpõe a diretiva europeia NIS 2 e substitui o regime anterior, trazendo obrigações muito mais rigorosas e abrangendo um maior número de setores. Conheças as 10 medidas mínimas obrigatórias de segurança.
A lei foca-se numa abordagem de "gestão de todos os riscos" e estabelece um conjunto de medidas que as entidades (essenciais e importantes) devem adotar.
As 10 Medidas Mínimas de Segurança
De acordo com o novo regime, as organizações devem implementar medidas técnicas, operacionais e organizativas para gerir os riscos. As medidas mínimas obrigatórias incluem:
- Políticas de Análise de Riscos e de Segurança
- Documentação formal de como a organização identifica e trata ameaças.
- Tratamento de Incidentes
- Processos claros para deteção, análise, contenção e resposta a ciberataques.
- Continuidade do Negócio
- Planos de recuperação de desastres, gestão de crises e cópias de segurança (backups).
- Segurança da Cadeia de Abastecimento
- Avaliação do risco dos fornecedores e prestadores de serviços diretos.
- Segurança na Aquisição e Manutenção
- Garantir que os sistemas e redes são seguros desde o desenvolvimento até à exploração (incluindo gestão de vulnerabilidades).
- Avaliação da Eficácia
- Políticas para testar e auditar regularmente a eficácia das medidas de cibersegurança.
- Práticas de Higiene Cibernética
- Formação básica para colaboradores e atualizações regulares de software.
- Criptografia e Codificação
- Utilização de soluções de cifragem para proteger dados sensíveis.
- Segurança dos Recursos Humanos
- Políticas de controlo de acessos e gestão de ativos por parte dos funcionários.
- Autenticação Multifator (MFA)
- Uso de soluções de autenticação forte e comunicações seguras (voz, vídeo e texto).
O diploma entra em vigor a 3 de abril de 2026, dando um período de adaptação para as entidades se registarem na plataforma do Centro Nacional de Cibersegurança (CNCS) e implementarem as medidas.
