A publicação do Decreto-Lei n.º 125/2025, de 4 de dezembro, que estabelece o novo Regime Jurídico da Cibersegurança em Portugal e transpõe a Diretiva (UE) 2022/2555 (NIS 2), veio alargar de forma significativa o conjunto de entidades sujeitas a obrigações legais em matéria de cibersegurança.

Uma das questões mais frequentemente colocadas pelas organizações é simples, mas decisiva:
a minha empresa está abrangida pela NIS 2?

A resposta nem sempre é evidente. Muitas entidades só descobrem o seu enquadramento quando já se encontram perante exigências legais, pedidos de informação ou obrigações de reporte. Por isso, compreender quem são as empresas-alvo da NIS 2 é o primeiro passo para uma adaptação consciente e atempada.

A NIS 2: porque é que o âmbito de aplicação foi alargado

Ao contrário do regime anterior, a NIS 2 parte de um princípio claro: a segurança digital depende da forma como as organizações articulam tecnologia, processos e pessoas.

O legislador europeu reconheceu que:

incidentes de cibersegurança têm frequentemente origem em falhas organizacionais e humanas;
setores aparentemente “não críticos” podem ter impacto relevante na economia e na sociedade;
a interdependência entre entidades públicas e privadas aumenta o risco sistémico.

Neste contexto, o novo Regime Jurídico da Cibersegurança alarga substancialmente o número de entidades abrangidas.

Que entidades podem ser abrangidas pela NIS 2?

O Decreto-Lei n.º 125/2025 estrutura o regime em três grandes categorias de entidades:

Entidades Essenciais

As Entidades Essenciais são consideradas críticas para o funcionamento da sociedade e da economia. Em caso de incidente de cibersegurança, o impacto pode ser elevado e sistémico.

Estas entidades enquadram-se, em regra, nos setores de elevada criticidade previstos no Anexo I do diploma, incluindo, entre outros:

energia;
transportes;
saúde;
água;
infraestruturas do mercado financeiro;
determinados serviços digitais e de confiança;
Administração Pública Central, em domínios específicos.

No entanto, a qualificação como Entidade Essencial não depende exclusivamente da dimensão, pois mesmo entidades de menor dimensão podem ser abrangidas quando prestam um serviço crítico ou único para o país ou para a economia.

Entidades Importantes

As Entidades Importantes exercem atividades relevantes, embora com impacto menos sistémico do que as entidades essenciais.

Estão associadas aos outros setores críticos previstos no Anexo II do Decreto-Lei, abrangendo, entre outros:

produção, transformação e distribuição alimentar;
gestão de resíduos;
determinados setores industriais;
serviços digitais e plataformas;
entidades de investigação em contextos específicos.

Apesar de sujeitas a um regime de supervisão menos rigoroso, estas entidades têm obrigações claras em matéria de gestão de risco, formação e notificação de incidentes.

Entidades Públicas Relevantes

O diploma cria ainda a categoria de Entidades Públicas Relevantes, que abrange entidades do setor público que não se enquadram como essenciais ou importantes, mas cuja atividade é relevante para a segurança da informação.

Estas entidades são diferenciadas em:

Grupo A – entidades de maior dimensão;
Grupo B – entidades de média dimensão.

Como saber se a sua empresa está abrangida?

A qualificação de uma entidade não é automática nem baseada num único fator. O Decreto-Lei n.º 125/2025 estabelece um conjunto de critérios que devem ser analisados de forma integrada, designadamente:

Setor de atividade: mais do que o CAE, é analisada a atividade real da entidade, bem como subsetores em que atue ou funções específicas envolvidas;
Dimensão: em regra, a NIS 2 aplica-se a médias e grandes empresas, de acordo com a definição europeia de PME, mas este critério não é absoluto, podendo abranger empresas de outra dimensão;
Importância do serviço prestado: independentemente da dimensão, uma entidade pode ser abrangida quando presta um serviço essencial ou crítico, bem como quando um incidente possa ter impacto significativo na segurança pública, na saúde, na economia ou no funcionamento do Estado.

Assim, cabe à autoridade nacional de cibersegurança, o Centro Nacional de Cibersegurança (CNCS), proceder à qualificação final das entidades, após:

registo em plataforma eletrónica;
análise fundamentada;
audiência prévia da entidade.

A formação no cumprimento da NIS 2

A NIS 2 não se cumpre apenas com tecnologia, políticas ou ferramentas. Cumpre-se, sobretudo, com pessoas informadas, conscientes e capacitadas.

A formação em cibersegurança, proteção de dados (RGPD) e compliance é essencial para:

identificar corretamente o enquadramento legal;
compreender responsabilidades individuais e coletivas;
prevenir incidentes;
demonstrar diligência e boa governação.

Fale connosco para reforçar a Cibersegurança da sua organização!

A Academia Grow da Estrategor apoia as organizações através de formação certificada adaptada à realidade de cada entidade, contribuindo para:

a correta identificação do enquadramento na NIS 2;
o reforço da cultura de cibersegurança;
a integração do RGPD e do compliance no dia a dia;
a redução de riscos legais, operacionais e reputacionais.

Fale connosco para proteger a sua organização com formação!

Fale connosco!

Nome

Empresa

Telefone

Número de Colaboradores

Região

Mensagem

Regulamento Geral de Proteção de Dados Pessoais Regulamento Geral de Proteção de Dados Pessoais Consinto que os meus dados de contacto sejam usados para envio de informação relacionada com a prestação dos nossos serviços e produtos.

Novo Regime da Cibersegurança: a sua empresa é abrangida pela NIS 2?