A transformação digital das empresas e a crescente dependência de sistemas de informação tornaram a cibersegurança uma questão central na gestão empresarial. Ataques informáticos, interrupções operacionais e falhas de sistemas deixaram de ser riscos remotos para se tornarem ameaças concretas à continuidade do negócio. É neste enquadramento que surge a Diretiva (UE) 2022/2555, conhecida como Diretiva NIS2, que estabelece um novo quadro europeu destinado a reforçar o nível comum de cibersegurança na União Europeia.

A NIS2 substitui a anterior Diretiva NIS de 2016 e introduz um regime mais exigente,  nas obrigações impostas, no universo de entidades abrangidas. Em Portugal, esta diretiva foi transposta pelo Decreto-Lei n.º 125/2025, de 4 de dezembro, que define o regime jurídico da cibersegurança aplicável às entidades classificadas como essenciais e importantes.

O objetivo da NIS2 é reforçar a resiliência das organizações que operam em setores considerados críticos ou de elevada relevância para a sociedade e para a economia. A lógica é simples: a interrupção de determinados serviços pode gerar impactos significativos, justificando a imposição de padrões mínimos comuns de gestão de risco a nível europeu. Entre os setores abrangidos encontram-se, designadamente, energia, transportes, saúde, banca, infraestruturas digitais, administração pública, gestão de resíduos e produção e distribuição alimentar. O setor dos transportes e logística, por exemplo, está expressamente incluído como setor essencial.

Contudo, o enquadramento setorial não é, por si só, suficiente. A diretiva aplica-se, regra geral, a médias e grandes empresas, nos termos da Recomendação da Comissão de 6 de maio de 2003. Para efeitos desta qualificação, é necessário atender ao número de trabalhadores e aos limiares financeiros. Uma empresa que ultrapasse os 10 milhões de euros de volume de negócios anual ou de balanço total deixa de ser considerada pequena empresa, ainda que tenha menos de 50 trabalhadores. Consequentemente, poderá enquadrar-se como média empresa e ficar sujeita às obrigações da NIS2.

Uma vez aplicável, o regime impõe a adoção de medidas técnicas, operacionais e organizativas adequadas e proporcionais para gerir os riscos de cibersegurança. O enfoque passa a estar numa abordagem preventiva e estruturada, integrada na governação da empresa.

Entre as principais exigências encontra-se a implementação de políticas internas formalizadas de cibersegurança, devidamente aprovadas pelo órgão de administração. A responsabilidade deixa de estar circunscrita à área técnica, passando a envolver diretamente a gestão de topo, que deve supervisionar e assegurar a adequação das medidas adotadas.

As entidades abrangidas devem identificar e avaliar os riscos relevantes para os seus sistemas de informação, estabelecer mecanismos eficazes de deteção e resposta a incidentes e garantir a capacidade de recuperação das operações. A continuidade do negócio assume particular relevância, sendo necessária a existência de planos de recuperação e soluções de backup que minimizem o impacto de ataques ou falhas graves.

A diretiva impõe ainda a obrigação de notificação de incidentes significativos às autoridades competentes, dentro dos prazos legalmente estabelecidos. Esta exigência visa permitir uma resposta coordenada e reforçar a partilha de informação a nível nacional e europeu.

Outro aspeto relevante é a atenção dada aos riscos associados à cadeia de fornecimento. As empresas devem avaliar os riscos decorrentes da utilização de fornecedores e prestadores de serviços críticos, especialmente na área das tecnologias de informação e serviços digitais. A segurança passa, assim, a abranger não apenas a organização, mas também o seu ecossistema empresarial.

A formação e sensibilização interna constituem igualmente um elemento essencial do novo regime, atendendo ao papel determinante do fator humano na prevenção de incidentes de cibersegurança.

O Decreto-Lei n.º 125/2025 concretiza estas obrigações no ordenamento jurídico português, estabelecendo mecanismos de supervisão, fiscalização e eventual aplicação de sanções em caso de incumprimento. A entrada em vigor deste novo quadro normativo representa uma mudança significativa na forma como a cibersegurança deve ser encarada pelas empresas. Mais do que uma imposição regulatória, trata-se de um elemento central da gestão de risco e da sustentabilidade do negócio num contexto digital cada vez mais exigente. A avaliação atempada do enquadramento legal aplicável e a implementação de medidas adequadas revelam-se, por isso, essenciais para assegurar conformidade e reforçar a resiliência organizacional.

Poderá consultar o texto do Decreto-Lei neste link: diariodarepublica.pt/dr/detalhe/decreto-lei/125-2025-962603401