Nova lei da Cibersegurança: a sua empresa está abrangida?
O Decreto-Lei n.º 125/2025, de 4 de dezembro, que aprova o novo Regime Jurídico da Cibersegurança em Portugal (transpondo a Diretiva NIS 2), é o diploma que define também a qualificação das entidades. Saiba se a sua empresa está abrangida.
O novo regime assenta na classificação das entidades em três grandes categorias, baseada na sua relevância para a segurança nacional e para o funcionamento da sociedade e da economia:
- 1) Entidades Essenciais
- 2) Entidades Importantes
- 3) Entidades Públicas Relevantes
A Diretiva NIS 2 identifica 18 setores considerados críticos, divididos em setores essenciais e setores importantes.
Entidades Essenciais e Importantes
Esta é a distinção principal e a que determina o nível de supervisão e as coimas aplicáveis. A qualificação baseia-se nos setores de atividade (constantes dos Anexos I e II do Decreto-Lei) e no critério de dimensão (limiares para média empresa, nos termos da Recomendação 2003/361/CE).
1) Entidades Essenciais
São consideradas críticas para o funcionamento da sociedade e da economia. Digamos que são a "espinha dorsal" do país. Pertencem a setores altamente críticos e em regra geral são médias ou grandes entidades. Têm elevado impacto sistémico em caso de incidente.
Setores Abrangidos (Exemplos):
- Energia (eletricidade, gás, petróleo, aquecimento/refrigeração).
- Transportes (aéreo, ferroviário, marítimo, rodoviário).
- Saúde (prestadores de cuidados de saúde, laboratórios de referência).
- Água (abastecimento e distribuição).
- Infraestruturas do mercado financeiro e bancos.
- Administração Pública Central.
- Entidades de redes de comunicações eletrónicas (em alguns casos).
- Prestadores de serviços de confiança qualificados.
Implicações: Estão sujeitas a um regime de supervisão mais rigoroso, incluindo inspeções proativas - supervisão mais rigorosa (ex ante).
As coimas por incumprimento podem ir até € 10.000.000 ou 2% do volume de negócios global anual.
Nota: entidades pequenas também podem ser classificadas como Essenciais se prestarem um serviço crítico ou único (ex.: operador DNS nacional).
2) Entidades Importantes
São relevantes, mas com impacto menos sistémico do que as essenciais. Impacto significativo, mas não vital para o país.
Setores Abrangidos (Exemplos):
- Serviços postais e de estafeta.
- Gestão de resíduos.
- Produção, transformação e distribuição de alimentos.
- Fabrico de determinados produtos (e.g., equipamentos médicos, químicos).
- Fornecedores de serviços digitais (motores de busca, serviços de computação em nuvem).
- Algumas entidades de investigação.
Implicações: Estão sujeitas a um regime de supervisão menos rigoroso (supervisão reativa), mas têm obrigações de gestão de risco e notificação de incidentes.
As coimas por incumprimento podem ir até € 7.000.000 ou 1,4% do volume de negócios global anual.
3) Entidades Públicas Relevantes
São entidades públicas que não se enquadram nas categorias acima, mas que são relevantes para o regime de cibersegurança.
Qualificação São divididas em
- Grupo A (maior dimensão, com mais de 250 trabalhadores ou acima dos limiares de PME)
- Grupo B (média dimensão, entre 50 e 249 trabalhadores ou médias empresas).
Procedimento de Qualificação (Artigo 8.º)
Registo: As entidades com potencial enquadramento nas categorias Essenciais ou Importantes têm a obrigação de se registar numa plataforma eletrónica a ser disponibilizada pelo Centro Nacional de Cibersegurança (CNCS).
Qualificação pelo CNCS: Cabe ao CNCS, enquanto Autoridade Nacional de Cibersegurança, efetuar a qualificação final, que será fundamentada e precedida de audiência prévia da entidade em causa.
Uma entidade é qualificada como Entidade Essencial ou Entidade Importante com base em quatro critérios cumulativos/alternativos:
- Setor de Atividade (um dos 18 setores críticos definidos nos Anexos I e II)
- Dimensão da Entidade (A NIS 2 aplica-se, em regra, a médias e grandes empresas, de acordo com os critérios da União Europeia)
- Média empresa:
- 50 a 249 trabalhadores
- Volume de negócios anual ≤ 50 milhões €
- Grande empresa:
- 250 ou mais trabalhadores
- Volume de negócios anual > 50 milhões €
- Média empresa:
- Importância do Serviço Prestado
- Independentemente da dimensão, algumas entidades podem ser abrangidas se:
- Prestarem serviços críticos para a sociedade ou economia
- Um incidente tiver impacto significativo
- Na segurança pública
- Na saúde
- Na economia
- No funcionamento do Estado
- Independentemente da dimensão, algumas entidades podem ser abrangidas se:
Quando uma entidade se enquadra em mais do que um grupo de classificação para efeitos do Regime Jurídico da Cibersegurança, a lei determina que prevalece sempre a classificação que impõe os requisitos de segurança mais rigorosos.
A ordem hierárquica de aplicação e exigência é a seguinte:
- Entidade Essencial (Mais exigente)
- Entidade Importante
- Entidade Pública Relevante - Grupo A
- Entidade Pública Relevante - Grupo B (Menos exigente)
Para saber se a sua empresa está abrangida:
- Identifique o seu setor: O seu setor de atividade está listado como "Essencial" ou "Importante"?
- Verifique a dimensão: A sua empresa é considerada média ou grande (mais de 50 trabalhadores ou mais de 10 milhões de euros)?