Quinta-feira, Abril 23, 2026
texto a procurar...
InícioCIBERSEGURANÇA
CIBERSEGURANÇA

CER e NIS2

CER (Diretiva de Resiliência de Entidades Críticas)

Diretiva (UE) 2022/2557 – Relativa à resiliência das entidades críticas

Transposição em Portugal:

  • Decreto-Lei n.º 22/2025 (publicado a 19 de março de 2025)

Objetivo: Reforçar a capacidade de proteção de infraestruturas essenciais contra ameaças físicas e não-cibernéticas:

  • Catástrofes naturais
  • Ataques terroristas
  • Emergências de saúde pública
  • Sabotagem física

Setores Abrangidos: Energia, transportes, saúde, água potável, águas residuais, espaço, banca, mercados financeiros, seguros, infraestruturas digitais, administração pública

Obrigações das Entidades Críticas:

  1. Avaliação de risco (art.º 23.º DL 22/2025)
  2. Plano de resiliência (art.º 24.º) – revisto a cada 4 anos
  3. Proteção física das infraestruturas críticas
  4. Identificação de pessoal com funções críticas
  5. Formação e treino de recursos humanos
  6. Notificação de incidentes às autoridades
  7. Designação de agente de ligação (art.º 27.º e 31.º)

Prazo: Estratégia Nacional de Resiliência e Avaliação Nacional de Risco devem estar definidas até 2026

NIS2 (Diretiva de Cibersegurança)

Diretiva (UE) 2022/2555 – Medidas para assegurar elevado nível comum de cibersegurança

Transposição em Portugal:

  • Lei n.º 59/2025 (publicada em outubro de 2025) – autoriza o Governo a transpor
  • Prazo de transposição: 180 dias após publicação (aproximadamente abril 2026)
  • Substituirá a Lei n.º 46/2018 (regime anterior – NIS1)

Objetivo: Proteção contra ameaças cibernéticas e riscos de segurança de redes e sistemas de informação

Categorias de Entidades:

  1. Entidades Essenciais – setores críticos (energia, transportes, saúde, banca, água, administração pública, espaço, infraestruturas digitais)
  2. Entidades Importantes – setores de alta criticidade
  3. Entidades Públicas Relevantes – administração pública e tribunais

Critérios de Aplicação:

  • Empresas com volume de negócios anual > €43M
  • Ou 250+ colaboradores
  • Operadores de serviços essenciais (independentemente do tamanho)

Obrigações Principais:

  1. Gestão de Riscos:
    • Políticas de análise e avaliação de riscos
    • Gestão de incidentes
    • Continuidade de negócio e gestão de crises
    • Segurança da cadeia de abastecimento
  2. Medidas Técnicas:
    • Políticas de criptografia
    • Controlo de acessos
    • Gestão de vulnerabilidades
    • Backup e recuperação de desastres
  3. Notificação de Incidentes:
    • Alerta precoce: 24h após deteção
    • Notificação de incidente: 72h
    • Relatório final: 1 mês após incidente
    • Autoridade: CNCS (Centro Nacional de Cibersegurança)
  4. Responsabilidade da Gestão:
    • Aprovação de medidas de cibersegurança
    • Supervisão da implementação
    • Formação regular em cibersegurança

Sanções:

  • Multas até €10 milhões ou 2% do volume de negócios anual global
  • Responsabilização individual da gestão de topo

Quadro Institucional:

  • Criação do Conselho Superior de Segurança do Ciberespaço
  • Reforço das competências do CNCS
  • Plataforma eletrónica de registo (60 dias para inscrição após publicação)

IMPORTANTE: Entidades podem estar sujeitas a ambas as diretivas simultaneamente – devendo garantir conformidade com CER para incidentes físicos e NIS2 para incidentes cibernéticos.

Artigos Relacionados

Caso detete algum erro ou omissão relevante, ou pretenda colaborar na melhoria deste manual, por favor contacte-me através do e-mail: gvb@incendio.pt