NIS 2
A Lei que Muda as Regras da Cibersegurança em Portugal
O que é a NIS 2 — e o que veio mudar
A Diretiva Europeia NIS 2 (Diretiva UE 2022/2555, de 14 de Dezembro de 2022) surgiu para corrigir as limitações da sua antecessora, a NIS 1 (2016), que deixou demasiado espaço para interpretações divergentes entre os Estados-Membros. Com a crescente digitalização, a pandemia global e o aumento exponencial dos ataques cibernéticos, ficou claro que as regras existentes eram insuficientes.
A NIS 2 não é apenas uma atualização técnica. É uma mudança de paradigma: eleva os padrões mínimos de cibersegurança, alarga significativamente o número de setores e empresas abrangidas, e responsabiliza diretamente os órgãos de administração das organizações pelo cumprimento das medidas de segurança.
Em Portugal, a NIS 2 foi transposta através do Decreto-Lei n.º 125/2025, em vigor desde 3 de Abril de 2025, com período de transição até Abril de 2027.
A sua empresa está abrangida pela NIS 2?
A NIS 2 introduziu uma distinção clara entre dois tipos de entidades: Essenciais e Importantes. A sua classificação determina o nível de obrigações e o grau de supervisão a que está sujeito.
Mas atenção: mesmo que a sua empresa não seja diretamente classificada como Essencial ou Importante, pode ainda assim estar na mira da lei.
A NIS 2 obriga as entidades abrangidas a avaliar e controlar a segurança de toda a sua cadeia de abastecimento — o que significa que, se for fornecedor de uma entidade abrangida (serviços de TI, alojamento, comunicações, software, manutenção, entre outros), o seu cliente é legalmente obrigado a auditar e a exigir-lhe garantias de segurança. Na prática, as obrigações da NIS 2 chegam às PME através dos seus clientes. Não saber se está abrangido pode ser tão arriscado como não cumprir.
Como a CLML transforma a lei em proteção real para o seu negócio.
Na CLML, acreditamos que a verdadeira mudança não está em produzir documentos que parecem cumprir uma lei. Está em alinhar as decisões estratégicas de segurança da sua empresa com as exigências legais — de forma que o cumprimento do RJC seja a consequência natural de proteger bem o seu negócio.
Não precisa de decifrar a lei. Nós fazemos essa ligação por si.
| O que implementamos para proteger o seu negócio | Como responde à Lei (RJC/NIS 2) |
| Políticas de Backup e Disaster Recovery | Gestão de Risco Operacional |
| Auditoria e Gestão de Acessos de Fornecedores | Segurança da Cadeia de Abastecimento |
| Monitorização Proativa e Resposta a Incidentes | Notificação de Incidentes (24h/72h) |
| Formação de Equipas e Gestão de Identidades (IAM) | Governação e Ciber-Higiene |
| Firewalls, VPNs e Encriptação de Dados | Segurança de Redes e Sistemas de Informação |
| Dashboards de Conformidade e Logs de Auditoria | Relatórios, Evidências e Prova Documental |
| Designação e apoio ao Responsável de Cibersegurança | Cumprimento dos Artigos 31.º e 32.º do DL 125/2025 |
A lei pede Gestão de Risco?
A lei pede Controlo de Fornecedores?
A lei exige Reporte de Incidentes?
Não tem a certeza sobre o seu enquadramento?
Links importantes:
MyCiber — A Plataforma de Registo do CNCS
O MyCiber é a plataforma oficial do Centro Nacional de Cibersegurança (CNCS) onde as entidades se devem registar para receber informação sobre se estão ou não abrangidas pelo RJC — o Regime Jurídico da Cibersegurança, estabelecido pelo DL 125/2025, que transpôs a NIS 2 para o ordenamento jurídico português. O registo no MyCiber é o primeiro passo formal para qualquer entidade que queira apurar o seu enquadramento legal.
Verifique.pt — Conformidade de Domínios .pt
Como registador acreditado junto da DNS.PT, a CLML criou a plataforma Verifique.pt para garantir a sua própria conformidade e, simultaneamente, apoiar os seus parceiros nessa mesma tarefa — permitindo-lhes enviar o formulário de validação diretamente ao cliente final, titular do domínio .pt. Uma forma de a cadeia de responsabilidade funcionar de ponta a ponta, com menos fricção para todos.
A conformidade protege-o da lei. A segurança protege-o da extinção.
O Decreto-Lei n.º 125/2025 transpõe a Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho. As informações contidas nesta página têm carácter informativo e não constituem aconselhamento jurídico. Para análise do seu caso concreto, contacte a CLML.
precisa de descomplicar?