O Decreto-Lei n.º 125/2025, de 4 de dezembro, que aprova o novo Regime Jurídico da Cibersegurança em Portugal (transpondo a Diretiva NIS 2), é o diploma que define também a qualificação das entidades. Saiba se a sua empresa está abrangida.

O novo regime assenta na classificação das entidades em três grandes categorias, baseada na sua relevância para a segurança nacional e para o funcionamento da sociedade e da economia:

1) Entidades Essenciais

2) Entidades Importantes

3) Entidades Públicas Relevantes

A Diretiva NIS 2 identifica 18 setores considerados críticos, divididos em setores essenciais e setores importantes.

Entidades Essenciais e Importantes

Esta é a distinção principal e a que determina o nível de supervisão e as coimas aplicáveis. A qualificação baseia-se nos setores de atividade (constantes dos Anexos I e II do Decreto-Lei) e no critério de dimensão (limiares para média empresa, nos termos da Recomendação 2003/361/CE).

1) Entidades Essenciais

São consideradas críticas para o funcionamento da sociedade e da economia. Digamos que são a "espinha dorsal" do país. Pertencem a setores altamente críticos e em regra geral são médias ou grandes entidades. Têm elevado impacto sistémico em caso de incidente.

Setores Abrangidos (Exemplos):

Energia (eletricidade, gás, petróleo, aquecimento/refrigeração).

Transportes (aéreo, ferroviário, marítimo, rodoviário).

Saúde (prestadores de cuidados de saúde, laboratórios de referência).

Água (abastecimento e distribuição).

Infraestruturas do mercado financeiro e bancos.

Administração Pública Central.

Entidades de redes de comunicações eletrónicas (em alguns casos).

Prestadores de serviços de confiança qualificados.

Implicações: Estão sujeitas a um regime de supervisão mais rigoroso, incluindo inspeções proativas - supervisão mais rigorosa (ex ante).

As coimas por incumprimento podem ir até € 10.000.000 ou 2% do volume de negócios global anual.

Nota: entidades pequenas também podem ser classificadas como Essenciais se prestarem um serviço crítico ou único (ex.: operador DNS nacional).

2) Entidades Importantes

São relevantes, mas com impacto menos sistémico do que as essenciais. Impacto significativo, mas não vital para o país.

Setores Abrangidos (Exemplos):

Serviços postais e de estafeta.

Gestão de resíduos.

Produção, transformação e distribuição de alimentos.

Fabrico de determinados produtos (e.g., equipamentos médicos, químicos).

Fornecedores de serviços digitais (motores de busca, serviços de computação em nuvem).

Algumas entidades de investigação.

Implicações: Estão sujeitas a um regime de supervisão menos rigoroso (supervisão reativa), mas têm obrigações de gestão de risco e notificação de incidentes.

As coimas por incumprimento podem ir até € 7.000.000 ou 1,4% do volume de negócios global anual.

3) Entidades Públicas Relevantes

São entidades públicas que não se enquadram nas categorias acima, mas que são relevantes para o regime de cibersegurança.

Qualificação São divididas em

Grupo A (maior dimensão, com mais de 250 trabalhadores ou acima dos limiares de PME)

(maior dimensão, com mais de 250 trabalhadores ou acima dos limiares de PME) Grupo B (média dimensão, entre 50 e 249 trabalhadores ou médias empresas).

Procedimento de Qualificação (Artigo 8.º)

Registo: As entidades com potencial enquadramento nas categorias Essenciais ou Importantes têm a obrigação de se registar numa plataforma eletrónica a ser disponibilizada pelo Centro Nacional de Cibersegurança (CNCS).

Qualificação pelo CNCS: Cabe ao CNCS, enquanto Autoridade Nacional de Cibersegurança, efetuar a qualificação final, que será fundamentada e precedida de audiência prévia da entidade em causa.

Uma entidade é qualificada como Entidade Essencial ou Entidade Importante com base em quatro critérios cumulativos/alternativos:

Setor de Atividade (um dos 18 setores críticos definidos nos Anexos I e II)

(um dos 18 setores críticos definidos nos Anexos I e II) Dimensão da Entidade (A NIS 2 aplica-se, em regra, a médias e grandes empresas, de acordo com os critérios da União Europeia) Média empresa: 50 a 249 trabalhadores Volume de negócios anual ≤ 50 milhões € Grande empresa: 250 ou mais trabalhadores Volume de negócios anual > 50 milhões €

(A NIS 2 aplica-se, em regra, a médias e grandes empresas, de acordo com os critérios da União Europeia) Importância do Serviço Prestado Independentemente da dimensão, algumas entidades podem ser abrangidas se: Prestarem serviços críticos para a sociedade ou economia Um incidente tiver impacto significativo Na segurança pública Na saúde Na economia No funcionamento do Estado



Quando uma entidade se enquadra em mais do que um grupo de classificação para efeitos do Regime Jurídico da Cibersegurança, a lei determina que prevalece sempre a classificação que impõe os requisitos de segurança mais rigorosos.

A ordem hierárquica de aplicação e exigência é a seguinte:

Entidade Essencial (Mais exigente)

Entidade Importante

Entidade Pública Relevante - Grupo A

Entidade Pública Relevante - Grupo B (Menos exigente)

Para saber se a sua empresa está abrangida: