O Decreto-Lei n.º 125/2025 aprovou em Portugal o novo Regime Jurídico da Cibersegurança, transpondo a Diretiva (UE) 2022/2555 (NIS2) para o ordenamento jurídico nacional. As entidades públicas e privadas consideradas essenciais ou importantes têm de ter um Responsável de CiberSegurança. Quais as funções?
O responsável de cibersegurança é uma figura chave prevista especificamente no artigo 31.º do decreto-lei. As principais características são:
Nomeação
- As entidades essenciais e importantes devem designar um responsável de cibersegurança.
- Essa pessoa deve ser titular dos órgãos de gestão, direção ou administração da entidade ou responder diretamente a eles (sem subordinação intermédia).
Principais funções de um Responsável de Cibersegurança
O responsável de cibersegurança tem, pelo menos, as seguintes funções:
- Propor medidas de gestão de riscos de cibersegurança, incluindo na cadeia de fornecimento.
- Prestar informações sobre essas medidas aos órgãos superiores da entidade.
- Apoiar a entidade no cumprimento das medidas de supervisão e de execução de obrigações de cibersegurança.
- Promover cultura de cibersegurança na organização, sugerindo ações de formação.
- Assegurar a gestão de riscos de forma contínua.
- Garantir o cumprimento das obrigações relativas à elaboração de relatórios anuais de cibersegurança
Embora o decreto-lei também obrigue à indicação de um ponto de contacto permanente (24/7) com o Centro Nacional de Cibersegurança (CNCS), essa figura pode ser o próprio responsável de cibersegurança ou outra pessoa indicada pela entidade, conforme o artigo 26.º.