O Novo Regime Jurídico da Cibersegurança marca uma viragem na segurança digital das empresas em Portugal. Com as novas obrigações que a NIS 2 acarreta, há mudanças estruturais que deve fazer já e outras que deve começar a preparar.

Falamos-lhe da Diretiva (EU) 2022/2555, conhecida como NIS 2, aprovada em Portugal com o Decreto-Lei nº 125/2025. Este novo regime de cibersegurança, mais do que um diploma técnico, introduz uma visão integrada na gestão de risco: agora, a tecnologia, os processos e, sobretudo, as pessoas, passam a ser igualmente responsáveis pela segurança da informação.

E qual é a ponte entre estes três agentes? Formação.

Quer saber o que muda em concreto na sua empresa com a NIS 2?

O que é a NIS 2 e o que muda na sua empresa em 2026?

A NIS 2 alarga significativamente:

o número de entidades abrangidas;
os setores considerados críticos e relevantes;
as responsabilidades dos órgãos de gestão;
e o conjunto de obrigações em matéria de prevenção, resposta e reporte de incidentes.

Ao contrário da versão anterior, a NIS 2 não se limita à segurança das infraestruturas tecnológicas. O legislador europeu parte de um pressuposto claro: grande parte dos incidentes de cibersegurança tem origem em falhas humanas, como erros, desconhecimento, más práticas ou ausência de cultura de segurança.

É aqui que a formação pode fazer a diferença no cumprimento da NIS 2.

A formação passa a ser um pilar obrigatório da cibersegurança

O novo Regime Jurídico da Cibersegurança impõe às entidades abrangidas a adoção de medidas técnicas e organizativas adequadas, incluindo:

políticas internas de segurança da informação;
procedimentos de resposta a incidentes;
gestão de riscos associados à cadeia de fornecimento;
e ações de formação e sensibilização para os colaboradores.

Na prática, não basta ter firewalls, antivírus ou backups, nem nomear um responsável de cibersegurança. É necessário garantir que as pessoas sabem o que fazer, o que evitar e como reagir.

Ou seja, a formação passa a integrar o próprio conceito de compliance.

A NIS 2 e o RGPD: o que há em comum?

A NIS 2 e o RGPD partilham um ponto comum fundamental: as organizações são responsáveis pela forma como gerem riscos que afetam dados, sistemas e direitos fundamentais.

Uma vez que a ausência de sensibilização dos colaboradores é frequentemente apontada como fator agravante em processos de contraordenação, formar em cibersegurança é também formar em RGPD e compliance.

NIS 2: Que tipos de formação são exigidos? E para quem?

A abordagem à formação deve ser diferenciada por perfis, nomeadamente:

Órgãos de gestão e direções: Formação sobre responsabilidades legais, deveres de diligência, tomada de decisão informada e impacto reputacional e financeiro dos incidentes.
Colaboradores em geral: Sensibilização prática para boas práticas de segurança, proteção de dados, identificação de riscos e reporte de incidentes.
Equipas técnicas e responsáveis de cibersegurança: Formação especializada, atualizada e alinhada com as exigências legais e normativas.

O novo Regime Jurídico da Cibersegurança 2 não exige formação genérica e pontual, mas sim formação contínua, ajustada ao risco e à função desempenhada.

Os riscos reais de não investir em formação

Ignorar a dimensão formativa da NIS 2 expõe as organizações a vários riscos, tais como:

aumento da probabilidade de incidentes de segurança;
incumprimento das obrigações legais;
coimas e sanções administrativas;
responsabilidade dos gestores;
perda de confiança de clientes, parceiros e mercado.

Mais do que um custo, a formação é um investimento em resiliência organizacional.

Como estruturar um plano de formação alinhado com a NIS 2?

Um plano eficaz deve:

partir de um diagnóstico de riscos;
estar alinhado com as políticas internas de segurança e proteção de dados;
ser adaptado à dimensão e setor da organização;
integrar formação inicial e ações periódicas de reciclagem;
produzir evidências documentais de cumprimento.

Este último ponto é especialmente relevante, uma vez que as entidades podem ser chamadas a demonstrar, em sede de auditoria ou supervisão, que investiram efetivamente na capacitação das suas pessoas.

Fale com a Grow para investir na formação em RGPD, cibersegurança e compliance

A Academia Grow da Estrategor conta com 30 anos de experiência no desenvolvimento do capital humano das organizações. Temos uma equipa de consultores especializados para apoiar a sua empresa com formação certificada focada em:

Adaptação às exigências da NIS 2;
Reforço da cultura de segurança da informação;
Integração da proteção de dados e do compliance no dia a dia das equipas;
Desenvolvimento de competências críticas para a sustentabilidade e confiança organizacional.

Conheça todos os cursos disponíveis aqui!

E fale connosco para preparar a sua empresa para a NIS 2!

Fale connosco!

Nome

Empresa

Telefone

Número de Colaboradores

Região

Mensagem

Regulamento Geral de Proteção de Dados Pessoais Regulamento Geral de Proteção de Dados Pessoais Consinto que os meus dados de contacto sejam usados para envio de informação relacionada com a prestação dos nossos serviços e produtos.

A NIS 2 chega em 2026. Prepare a sua empresa com formação!