O que precisas de saber (Resumo Rápido)
- O novo Regime Jurídico da Cibersegurança em Portugal, regulado pelo Decreto-Lei n.º 125/2025, estabelece três categorias de entidades.
- As entidades são classificadas como Essenciais, Importantes ou Públicas Relevantes, dependendo da sua relevância para a segurança nacional e funcionamento da economia.
- As multas por incumprimento podem atingir até €10.000.000 para Entidades Essenciais e €7.000.000 para Entidades Importantes.
Análise Detalhada
O Decreto-Lei n.º 125/2025, publicado a 4 de dezembro, introduz um novo marco na cibersegurança em Portugal, alinhando-se com a Diretiva NIS 2 da União Europeia. Este diploma tem como principal objetivo classificar as entidades que operam no território nacional com base na sua importância para a segurança e funcionamento da sociedade.
As entidades são divididas em três categorias principais:
1) Entidades Essenciais
As Entidades Essenciais são consideradas críticas para o funcionamento do país. Estas entidades pertencem a setores de alta relevância e têm um impacto significativo em caso de incidentes de cibersegurança. Entre os setores abrangidos estão:
- Energia: Eletricidade, gás, petróleo, aquecimento e refrigeração.
- Transportes: Aéreo, ferroviário, marítimo e rodoviário.
- Saúde: Prestadores de cuidados de saúde, laboratórios de referência.
- Água: Abastecimento e distribuição.
- Infraestruturas Financeiras: Bancos e serviços financeiros.
- Administração Pública: Nível central e outras entidades relevantes.
Estas entidades estão sujeitas a um regime de supervisão rigoroso e podem enfrentar multas severas em caso de incumprimento, que podem ascender a €10.000.000 ou até 2% do seu volume de negócios global.
2) Entidades Importantes
As Entidades Importantes são aquelas que, embora relevantes, não têm o mesmo impacto sistémico que as Essenciais. Contudo, ainda assim são cruciais para a sociedade. Exemplos de setores incluem:
- Serviços postais e de estafeta.
- Gestão de resíduos.
- Fabrico de alimentos e produtos médicos.
- Fornecedores de serviços digitais, como motores de busca e computação em nuvem.
O regime de supervisão é menos rigoroso, mas as Entidades Importantes ainda têm obrigações significativas em gestão de risco e notificação de incidentes. As multas por incumprimento são limitadas a €7.000.000 ou 1,4% do volume de negócios.
3) Entidades Públicas Relevantes
As Entidades Públicas Relevantes são aquelas que não se enquadram nas categorias anteriores mas têm um papel importante no contexto da cibersegurança. Estas entidades estão divididas em dois grupos com base na sua dimensão:
- Grupo A: Com mais de 250 trabalhadores ou limiares de PME.
- Grupo B: Entre 50 e 249 trabalhadores.
O registo na plataforma eletrónica do Centro Nacional de Cibersegurança (CNCS) é obrigatório para entidades que se enquadram nas categorias de Entidades Essenciais ou Importantes. A qualificação final é feita pelo CNCS, baseada em quatro critérios principais: setor de atividade, dimensão da entidade e importância do serviço prestado.
Vale a pena o investimento?
Para empresas que operam em setores críticos, o investimento em conformidade com o novo regime é imprescindível, uma vez que a não conformidade pode resultar em multas pesadas. A cibersegurança é um investimento essencial, especialmente no mundo atual, onde as ameaças digitais estão em franca ascensão.
Veredito HotNews
O novo Regime Jurídico da Cibersegurança é um passo crucial para proteger as entidades em Portugal, tornando a conformidade um imperativo para a segurança nacional e operacional. As empresas devem estar atentas às suas obrigações e consequências associadas.
🔧 Gostaste desta análise?
Mantemos o HotNews Tech online graças a leitores como tu. Se estás a pensar comprar algum gadget, ferramentas ou peças, usa o nosso link.
Não pagas nem mais um cêntimo e ajudas-nos a criar mais conteúdo!