| Legislação / Norma | Descrição | Âmbito |
|---|---|---|
| Decreto‑Lei n.º 125/2025 | Regime Jurídico da Cibersegurança (transposição da NIS2) | Novo quadro jurídico de cibersegurança em Portugal, com foco em sectores essenciais e importantes, gestão de risco e reporte de incidentes (Entra em vigor a 3 de abril de 2026) |
| Lei n.º 46/2018, de 13 de agosto | Regime Jurídico da Segurança do Ciberespaço (antigo) | Define operadores de serviços essenciais e prestadores de serviços digitais e obrigações de segurança e reporte de incidentes. |
| Lei n.º 59/2025, de 21 de outubro | Autoriza transposição da Diretiva (UE) NIS2 | Substitui a Lei 46/2018 e insere novo quadro jurídico de cibersegurança. Sanções reforçadas. |
| Decreto‑Lei n.º 65/2021, de 30 de julho | Cria o Centro Nacional de Cibersegurança (CNCS) | Define competências e coordenação nacional de cibersegurança. |
| Decreto‑Lei n.º 22/2025, de 19 de março | Resiliência de Entidades Críticas (transpõe CER) | Proteção das infraestruturas críticas e notificações de incidentes. |
| Lei n.º 109/2009, de 15 de setembro | Cibercrime | Criminaliza ataques informáticos (acesso ilegítimo, dano a programas/dados, falsidade informática). |
| Lei n.º 58/2019 | Execução nacional do RGPD | Regime sancionatório aplicado em Portugal ao RGPD (tratamento de dados pessoais). |
| Lei n.º 59/2019 | Regras relativas ao RGPD | Regras aplicadas em Portugal ao RGPD (tratamento de dados pessoais). |
| Regulamento (UE) 2016/679 (RGPD) | Proteção de dados pessoais | Obriga medidas de segurança, notificação de violações e direitos dos titulares. |
| Regulamento (UE) 2019/881 (Cybersecurity Act) | Certificação de cibersegurança | Mandato permanente da ENISA e certificação de produtos/serviços TIC. |
| Regulamento (UE) 2022/2555 (NIS2) | Diretiva sobre medidas de cibersegurança | Objectivo de alto nível de cibersegurança em toda a UE; transposto pelo DL 125/2025. |
| Regulamento (UE) 2024/2847 (Cyber Resilience Act – CRA) | Segurança de produtos com elementos digitais | Requisitos de segurança no design e gestão de vulnerabilidades. |
Normas Técnicas de Referência – Cibersegurança
| Norma Técnica | Descrição |
|---|---|
| ISO/IEC 27001:2022 | Sistema de gestão da segurança da informação (SGSI). |
| ISO/IEC 27002:2022 | Boas práticas de controlo de segurança da informação. |
| ISO/IEC 27005:2022 | Gestão de riscos da segurança da informação. |
| ISO/IEC 27035:2023 | Gestão de incidentes de segurança da informação (partes 1–3). |
| IEC 62443 (série) | Segurança de sistemas de automação e controlo industrial. |
Legislação Setorial Relevante
Setor Financeiro:
- Aviso Banco de Portugal n.º 6/2018 (gestão de risco TIC)
- Regulamento Delegado (UE) 2022/203 (RTS sobre TIC)
- DORA (UE 2022/2554) – desde 17/01/2025
Telecomunicações:
- Lei n.º 16/2004 (Lei das Comunicações Eletrónicas)
- Regulamento (UE) 2022/0383 (ePrivacy – em discussão)
Infraestruturas Críticas:
- Lei n.º 19/2013 (Segurança das infraestruturas críticas)
- DL 22/2025 (atualização)
Administração Pública:
- Resolução do Conselho de Ministros n.º 92/2019 (Estratégia Nacional de Segurança do Ciberespaço 2019-2023)
- Portaria n.º 1389/2019 (Catálogo de Normas de Segurança)