A Lei n.º 59/2025, de 22 de outubro, autoriza o Governo a transpor a Diretiva (UE) 2022/2555, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União.
Foi publicada no Diário da República a Lei n.º 59/2025, de 22 de outubro, que autoriza o Governo a aprovar o novo regime jurídico da cibersegurança, transpondo para a ordem jurídica portuguesa a Diretiva (UE) 2022/2555, conhecida como Diretiva NIS2.
O principal objetivo desta diretiva europeia é garantir um nível elevado e comum de cibersegurança em toda a União Europeia, reforçando a proteção das redes e sistemas de informação de entidades públicas e privadas consideradas essenciais ou importantes.
Novo enquadramento da cibersegurança (NIS2)
A lei estabelece as bases para o Governo definir um quadro nacional de cibersegurança mais robusto, que abrangerá entidades públicas e privadas com papel relevante na economia e na segurança do país.
Entre as principais medidas a implementar estão:
- A criação de categorias de entidades abrangidas
- essenciais, importantes e públicas relevantes — definidas por critérios de dimensão, impacto e exposição a riscos digitais;
- O reforço dos instrumentos estratégicos nacionais, como a Estratégia Nacional de Segurança do Ciberespaço, o Plano Nacional de Resposta a Crises Cibernéticas e o Quadro Nacional de Referência para a Cibersegurança;
- A consolidação do papel do Centro Nacional de Cibersegurança (CNCS) como autoridade nacional competente, em articulação com outros organismos como o Gabinete Nacional de Segurança e o Banco de Portugal;
- A criação do Conselho Superior de Segurança do Ciberespaço, órgão consultivo do Primeiro-Ministro.
O futuro regime legal exigirá das entidades abrangidas a implementação de sistemas de gestão de riscos de cibersegurança, incluindo medidas técnicas, operacionais e organizativas adequadas. Os órgãos de administração e direção passam a ter responsabilidades diretas na supervisão das políticas de segurança digital, sendo obrigatória a nomeação de um responsável de cibersegurança e de um ponto de contacto permanente.
As entidades terão também de notificar incidentes significativos às autoridades competentes, de modo a assegurar uma resposta rápida e coordenada a ameaças e ciberataques.
O novo quadro prevê poderes reforçados de supervisão e auditoria, permitindo às autoridades realizar inspeções, emitir advertências e aplicar medidas corretivas, incluindo a suspensão de licenças ou o bloqueio de endereços IP em caso de incumprimento grave.
Será criado um regime contraordenacional específico, com possibilidade de dispensa de coimas durante os primeiros 12 meses de aplicação, enquanto as entidades se adaptam às novas regras.
A autorização legislativa concedida pela Lei n.º 59/2025 tem a duração de 180 dias, período durante o qual o Governo deverá aprovar o diploma que concretiza o novo regime de cibersegurança.