O novo Regime Jurídico da Cibersegurança (RJC), resultante da transposição da diretiva europeia NIS2 através do Decreto-Lei 125/2025, já está em vigor desde 3 de abril. Muito embora o novo Regime Jurídico da Cibersegurança (DL 125/2025) já esteja em vigor desde o dia 3 de abril, foi estabelecido um período de transição até abril de 2027 para viabilizar uma readequação faseada das entidades face à anterior Lei n.º 46/2018. Ambas as normas coexistem num período de adaptação planeado para garantir que a transição ocorra com total segurança jurídica e operacional, evitando lacunas ou vulnerabilidades. Se está a pensar em ir já aceder ao simulador do CNCS para perceber se a sua empresa é uma “Entidade Essencial” ou “Importante”, e, depois, começar a implementar medidas conformes, talvez possa começar antes por responder a uma simples pergunta:
O seu negócio sobreviveria a um ataque que parasse a sua operação hoje?
A Lei como Bitola de Responsabilidade
Mais do que um exercício de compliance, as novas regras de governação e gestão de risco devem ser interpretadas como a unidade de medida que lhe permite orientar o seu negócio. Cumprir o que está estabelecido no RJC e, acima de tudo, conseguir prová-lo, é a sua melhor defesa. Em caso de incidente de segurança, esta conformidade funciona como um mecanismo de exoneração de culpas ou responsabilidades.
O novo RJC não surge para o “castigar” com obrigações preventivas, mas para fornecer a bitola clara que permite saber o que é considerado “o bastante” para eximir a sua empresa de responsabilidades legais e civis perante terceiros.
Sim, quando o pior acontecer, a sua empresa será questionada! Nessa altura até pode
ganhar o processo no tribunal civil, mas e se perder no tribunal da opinião pública
perdendo o negócio no mercado?
Quando enfrentar um incidente de segurança da informação, seja uma perda de dados, um
acesso ilegítimo ou um bloqueio de sistemas… a sua resposta será avaliada sob três prismas fundamentais, não discorrendo da lei, o terceiro é, sem dúvida o mais relevante:
Os 3 Prismas que Avaliam a Sua Resposta a um Incidente
1. Responsabilidade Civil:
Se não conseguir provar que adotou as medidas técnicas e organizativas adequadas, como evitará ser condenado a pagar coimas e a indemnizar clientes e parceiros?
2. Diligência da Gestão:
A lei clarifica que a responsabilidade é dos órgãos de administração. Ora sem provas que as medidas adequadas para prevenção foram tomadas, a
defesa jurídica torna-se quase impossível.
3. O Ativo Irrecuperável: O seu “Bom Nome”
Enquanto os dois primeiros prismas garantem o seu cumprimento da norma, este terceiro é o
que define o seu “day after”. Pode até ser exonerado judicialmente, mas não há tribunal mais rápido e menos condescendente do que o da opinião pública ou seja a escolha dos clientes. A confiança é um ativo de via única e o custo de a recuperar é, invariavelmente, superior a qualquer investimento em segurança.
Quer saber por onde começar? O primeiro passo é confirmar o enquadramento legal da sua empresa — gratuitamente, em 5 minutos, aqui. A partir daí, ajudamos a desenhar a proteção que faz sentido para o seu negócio.