o regime, explicado
o Regime Jurídico da Cibersegurança, sem rodeios.
O Decreto-Lei n.º 125/2025 transpôs a diretiva NIS2 e está em vigor desde 3 de abril de 2026. Este guia explica quem fica abrangido, que obrigações existem e que prazos já correm. Não substitui aconselhamento jurídico.
dois diplomas, um regime.
O Decreto-Lei n.º 125/2025, de 4 de dezembro, aprovou o Regime Jurídico da Cibersegurança e transpôs a diretiva europeia NIS2. Está em vigor desde 3 de abril de 2026. O Regulamento n.º 756/2026, publicado a 22 de junho de 2026 e em vigor desde 23 de junho de 2026, concretizou-o: criou a plataforma MyCiber, o processo de autoidentificação e registo, o Quadro Nacional de Referência para a Cibersegurança e as medidas mínimas. A autoridade nacional é o CNCS. A leitura conjunta dos dois diplomas define, na prática, o que cada entidade tem de fazer e até quando.
cerca de 6.000 entidades, mais a cadeia.
O regime abrange cerca de 6.000 entidades em Portugal, classificadas como essenciais ou importantes consoante o setor e a relevância. Há um caminho frequentemente subestimado: a segurança da cadeia de abastecimento é uma das medidas mínimas obrigatórias, pelo que os fornecedores das entidades abrangidas são alcançados por via contratual, mesmo quando não estão diretamente no âmbito.
- Entidades essenciais: tipicamente as maiores entidades dos setores críticos, sujeitas a supervisão mais apertada.
- Entidades importantes: abrangidas pelas mesmas medidas mínimas, com supervisão sobretudo reativa.
- Cadeia de abastecimento: os fornecedores de entidades abrangidas são alcançados por via contratual, através da obrigação de segurança da cadeia dos seus clientes.
- Autoidentificação: cada entidade identifica-se e regista-se na plataforma MyCiber, criada pelo Regulamento n.º 756/2026.
essenciais e importantes
duas classes, deveres diferentes.
O regime distingue entidades essenciais e importantes. A classe condiciona a intensidade da supervisão e o teto das coimas.
supervisão mais apertada
Tipicamente as maiores entidades dos setores críticos. Estão sujeitas a supervisão proativa e ao teto sancionatório mais elevado, até € 10 milhões ou 2% do volume de negócios anual mundial.
supervisão sobretudo reativa
Abrangidas pelas mesmas medidas mínimas, mas com supervisão sobretudo reativa, desencadeada por incidentes ou indícios de incumprimento, e com valores de coima inferiores.
as obrigações principais
o que o regime exige, em concreto.
Seis blocos de deveres, a implementar dentro da janela de 24 meses para as medidas mínimas.
a obrigação que apanha quem não estava à espera.
A segurança da cadeia de abastecimento é uma das medidas mínimas obrigatórias e a que mais alarga o alcance do regime. Cada entidade abrangida tem de avaliar as vulnerabilidades de cada fornecedor direto e a maturidade de cibersegurança da sua cadeia, de forma contínua. Na prática, isto não fica dentro de portas: chega aos fornecedores por contrato. Um fornecedor de software, manutenção ou logística de uma entidade abrangida passa a ter de demonstrar medidas equivalentes, mesmo que não esteja diretamente no âmbito. Por isso muitas empresas descobrem o regime não por carta da autoridade, mas por uma cláusula num contrato que já tinham.
os prazos que já correm
o relógio começou a contar.
Quatro datas balizam o regime. Duas já passaram.
os referenciais
onde estão definidos os controlos.
As medidas mínimas concretizam-se através de referenciais que as autoridades e os compradores já reconhecem. A certificação acreditada é feita pelo IPAC.
Perguntas frequentes
A minha empresa é pequena. Fico abrangida?
Diretamente, depende do setor e da relevância da entidade. Mas, se fornece entidades abrangidas, pode ser alcançada por via contratual, através da obrigação de segurança da cadeia de abastecimento dos seus clientes.
Como confirmo se estou abrangido?
A autoidentificação e o registo fazem-se na plataforma MyCiber, criada pelo Regulamento n.º 756/2026. Recomendamos confirmar o enquadramento concreto com aconselhamento jurídico.
Qual é a diferença entre entidade essencial e importante?
Ambas estão sujeitas às mesmas medidas mínimas. As entidades essenciais, tipicamente as maiores dos setores críticos, têm supervisão mais apertada e o teto de coima mais elevado. As importantes têm supervisão sobretudo reativa e valores inferiores.
Quais são as coimas?
Até € 10 milhões ou 2% do volume de negócios anual mundial para entidades essenciais, e valores inferiores para entidades importantes. As sanções plenas aplicam-se a partir de 3 de abril de 2027.
O que tenho de fazer com os meus fornecedores?
Avaliar as vulnerabilidades de cada fornecedor direto e a maturidade de cibersegurança da sua cadeia, de forma contínua. Não é um exercício único: é um processo que tem de se manter atualizado ao longo do tempo.
A foraudits emite certificados de conformidade?
Não. A certificação acreditada é feita pelo IPAC, através de organismos por ele acreditados. A foraudits prepara, mapeia e organiza as evidências e produz relatórios de prontidão. Para a certificação acreditada, encaminhamos para parceiros.
Este conteúdo é informativo e não constitui aconselhamento jurídico. A qualificação concreta de cada entidade depende da sua atividade e dimensão e deve ser confirmada com assessoria especializada. A foraudits não é um organismo de certificação acreditado.
veja onde a sua cadeia está exposta.
Pedimos alguns dados e devolvemos um retrato inicial do risco de terceiros da sua organização, com os primeiros passos para a conformidade. Sem compromisso.