Nova Lei da Cibersegurança: principais mudanças em Portugal

Portugal deu um passo significativo na proteção digital com a aprovação do Decreto-Lei n.º 125/2025, que transpõe para a legislação nacional a Diretiva Europeia NIS2. Esta nova lei traz mudanças profundas, ampliando as responsabilidades. O que muda?

Âmbito alargado para 18 setores críticos

Um dos principais pontos da nova lei é o alargamento do número de entidades abrangidas. Agora, além dos setores tradicionalmente essenciais como a energia, transportes, saúde, abastecimento de água e bancos, também entram no regime de cibersegurança fornecedores de serviços digitais, incluindo cloud, centros de dados, redes sociais, marketplaces e motores de busca.

A administração pública também passa a ter obrigações reforçadas, tornando a lei mais abrangente e rigorosa.

Com a nova lei passamos a ter os setores qualificados como Entidades Essenciais e Entidades Importantes e os serviços do estado passam a estar em Administração Pública.

10 medidas de segurança específicas e obrigatórias

A Nova Lei da Cibersegurança impõe 10 medidas mínimas específicas e obrigatórias:

• Gestão de Riscos
  • Implementar um sistema de gestão de riscos cibernéticos.
• Políticas e Procedimentos de Segurança
  • Criar políticas internas de segurança da informação.
• Controlo de Acessos
  • Definir perfis de utilizador e autenticação forte (MFA).
• Proteção de Sistemas e Dados
  • Instalar firewalls, antivírus e utilizar criptografia de dados.
• Continuidade e Resiliência
  • Elaborar planos de continuidade de negócio e recuperação de desastres.
• Gestão da Cadeia de Abastecimento
  • Garantir segurança em fornecedores e parceiros.
• Monitorização e Deteção de Incidentes
  • Monitorizar continuamente redes e sistemas e registar logs.
• Resposta a Incidentes
  • Criar plano de resposta e notificar incidentes significativos ao CNCS em até 24 horas.
• Formação e Sensibilização
  • Capacitar colaboradores em boas práticas de cibersegurança.
• Avaliações e Auditorias
  • Realizar testes de penetração e auditorias periódicas para corrigir vulnerabilidades.

Responsabilização de Gestores e Líderes

A lei introduz um regime de responsabilidade direta para gestores e administradores, incluindo a possibilidade de sanções pessoais em caso de incumprimento.

A nomeação de um CISO ou responsável equivalente torna-se geralmente obrigatória, garantindo que haja supervisão direta da conformidade e implementação das medidas de cibersegurança.

Supervisão e Fiscalização

O Centro Nacional de Cibersegurança (CNCS) assume um papel central na fiscalização, complementado por órgãos setoriais de supervisão, como a ANACOM no setor das telecomunicações ou o Banco de Portugal no setor financeiro. Estes organismos terão poderes para verificar a conformidade e aplicar sanções.

Prazos de Notificação

• Notificação inicial
  • dentro de 24 horas após detetar o incidente.
• Relatório detalhado
  • deve ser entregue até 72 horas após a notificação inicial, com informações adicionais sobre impacto e mitigação.

Após a notificação inicial e o relatório detalhado, a entidade deve submeter um relatório final ou complementar ao CNCS.

Sanções e Penalizações

O regime sancionatório é significativamente reforçado. As multas podem atingir até 10 milhões de euros ou 2% do volume de negócios global anual da entidade, além de sanções administrativas e medidas corretivas. O objetivo é garantir um nível elevado de cumprimento das obrigações de segurança.

Incentivo à Investigação Ética

Uma novidade relevante é a criação de um regime de proteção legal para hackers éticos, ou security researchers. A lei protege ações realizadas em "boa-fé" e com objetivo de identificar vulnerabilidades, desde que não causem danos e que as falhas sejam reportadas imediatamente aos responsáveis do sistema e ao CNCS. Este “safe harbor” incentiva a deteção responsável de falhas de segurança.

O novo regime entra em vigor a 3 de abril de 2026, com alguns prazos graduais de implementação que podem se estender até 24 meses, dependendo da complexidade das medidas exigidas.