Guia Completo NIS2 2025

A Diretiva NIS2 (2022/2555), em vigor desde 17 de outubro de 2024 (Artigo 41.º, Diretiva 2022/2555), alarga as obrigações de cibersegurança a mais de 160.000 entidades em 18 setores na UE. Substitui a NIS1 com coimas até 10 milhões de euros ou 2% do volume de negócios anual mundial.

A Diretiva NIS (Segurança das Redes e da Informação) de 2016 foi o primeiro quadro legislativo europeu dedicado à cibersegurança. Obrigava os Estados-Membros a designar autoridades competentes e a estabelecer requisitos mínimos de segurança para os operadores de serviços essenciais e os fornecedores de serviços digitais. Embora tenha lançado as bases de uma abordagem comum, a sua aplicação desigual entre os países revelou lacunas significativas em matéria de harmonização.

Perante a rápida evolução das ameaças cibernéticas e a persistente fragmentação entre os Estados-Membros, a Comissão Europeia publicou a Diretiva NIS2 (2022/2555) em 27 de dezembro de 2022. Este texto reformula integralmente o quadro anterior: alarga consideravelmente o âmbito das entidades abrangidas — mais de 160.000 entidades (Artigo 2.º, Diretiva 2022/2555) —, reforça as obrigações de segurança, agrava as sanções e exige uma cooperação reforçada entre as autoridades nacionais. A Diretiva entrou em vigor em 17 de outubro de 2024 (Artigo 41.º, Diretiva 2022/2555), data-limite para os Estados-Membros transporem as suas disposições para o direito nacional.

Em Portugal, a transposição da NIS2 é da responsabilidade do CNCS (Centro Nacional de Cibersegurança), a autoridade nacional competente em matéria de cibersegurança. A Lei n.º 65/2021 e a sua revisão de transposição da NIS2 constituem o quadro legal aplicável às entidades portuguesas. Recomenda-se que as empresas avaliem desde já o seu nível de segurança e iniciem as ações necessárias para alcançar a conformidade.

A NIS2 classifica as organizações em entidades essenciais (mais de 250 trabalhadores ou 50 milhões de euros de volume de negócios) e entidades importantes (mais de 50 trabalhadores ou 10 milhões de euros de volume de negócios) em 18 setores abrangidos pelos Anexos I e II da Diretiva 2022/2555, incluindo energia, saúde, transportes e infraestruturas digitais.

Entidades essenciais vs entidades importantes

A NIS2 distingue duas categorias de entidades sujeitas a obrigações: as entidades essenciais (EE) e as entidades importantes (EI). Esta distinção determina o nível de supervisão exercido pelo CNCS e a intensidade das sanções aplicáveis. As entidades essenciais são grandes organizações (mais de 250 trabalhadores ou mais de 50 milhões de euros de volume de negócios anual) (Artigo 2.º, Diretiva 2022/2555) que operam nos setores altamente críticos do Anexo I. As entidades importantes abrangem organizações de média dimensão (mais de 50 trabalhadores ou mais de 10 milhões de euros de volume de negócios) (Artigo 2.º, Diretiva 2022/2555) nos setores dos Anexos I ou II.

Critérios de dimensão

Para determinar se a sua empresa se qualifica como entidade essencial ou importante aplicam-se dois critérios: o número de trabalhadores e o volume de negócios anual. Uma empresa é considerada grande (limiar de entidade essencial) se ultrapassar 250 trabalhadores ou 50 milhões de euros de volume de negócios (Artigo 2.º, Diretiva 2022/2555). É considerada de média dimensão (limiar de entidade importante) se ultrapassar 50 trabalhadores ou 10 milhões de euros de volume de negócios (Artigo 2.º, Diretiva 2022/2555). Estes limiares são avaliados ao nível da pessoa jurídica e não do grupo.

Os 18 setores abrangidos

A Diretiva abrange 18 setores (Anexos I e II, Diretiva 2022/2555) distribuídos por dois anexos. O Anexo I compreende 11 setores altamente críticos: energia — transportes — setor bancário — infraestruturas dos mercados financeiros — saúde — água potável — águas residuais — infraestruturas digitais — gestão de serviços TIC — administração pública — espaço. O Anexo II acrescenta 7 setores críticos: serviços postais e de correio — gestão de resíduos — fabricação e distribuição de produtos químicos — produção e distribuição alimentar — indústria transformadora — fornecedores digitais — investigação.

Mesmo que a sua empresa não pertença diretamente a um setor abrangido, pode ser afetada se fornecer serviços ou produtos a uma entidade essencial ou importante. A NIS2 exige que as entidades no seu âmbito garantam que os seus fornecedores críticos também mantêm um nível de segurança adequado, na prática através de cláusulas contratuais, questionários de segurança e auditorias.

O artigo 21.º da Diretiva 2022/2555 impõe oito obrigações fundamentais: governação, gestão de riscos, segurança da cadeia de abastecimento, notificação de incidentes em 24 h/72 h (Artigo 23.º), continuidade do negócio, segurança de RH, criptografia e controlo de acessos (MFA).

O artigo 21.º da Diretiva NIS2 define as medidas técnicas, operacionais e organizacionais que as entidades abrangidas devem implementar. Estas medidas devem ser proporcionadas ao nível de risco, à dimensão da entidade e às potenciais consequências dos incidentes. São definidas oito obrigações principais.

Governação e responsabilidade

Primeiro, governação e responsabilidade da direção: os órgãos de administração devem aprovar as medidas de cibersegurança e assumir responsabilidade pessoal em caso de incumprimento grave. Segundo, gestão de riscos: avaliações periódicas de riscos, identificação de ativos críticos e política de segurança documentada. Terceiro, segurança da cadeia de abastecimento: avaliação e supervisão de fornecedores críticos através de cláusulas contratuais, questionários e auditorias.

Notificação de incidentes

Quarto, gestão de incidentes e notificação em 72 horas (Artigo 23.º, Diretiva 2022/2555): alerta precoce ao CNCS nas 24 horas (Artigo 23.º, Diretiva 2022/2555) seguintes à deteção de um incidente significativo, notificação completa em 72 horas e relatório final no prazo de um mês.

Continuidade do negócio

Quinto, continuidade do negócio: planos de continuidade (BCP) e de recuperação de desastres (DRP) formalizados e testados periodicamente.

Gestão de riscos

Sexto, segurança dos recursos humanos: verificação de antecedentes para funções sensíveis, formação em cibersegurança e revogação imediata de acessos aquando da saída de colaboradores. Sétimo, criptografia: cifragem de dados sensíveis em trânsito e em repouso, e gestão documentada de chaves e certificados. Oitavo, controlo de acessos: autenticação multifator (MFA) obrigatória para sistemas críticos e política IAM baseada no princípio do mínimo privilégio.

As coimas NIS2 atingem 10.000.000 € ou 2% do volume de negócios anual mundial para as entidades essenciais, e 7.000.000 € ou 1,4% para as entidades importantes (Artigo 34.º, Diretiva 2022/2555). Os gestores de topo respondem pessoalmente, incluindo a proibição temporária de exercer funções de direção.

A NIS2 institui um regime de sanções significativamente mais severo do que o seu predecessor. As coimas são calculadas com base no valor mais elevado entre um limite fixo e uma percentagem do volume de negócios anual mundial, para garantir um efeito dissuasor independentemente da dimensão da entidade. Para as entidades essenciais, a coima máxima é de 10.000.000 € ou 2% do volume de negócios anual mundial (Artigo 34.º, Diretiva 2022/2555). Para as entidades importantes, é de 7.000.000 € ou 1,4% do volume de negócios anual mundial (Artigo 34.º, Diretiva 2022/2555).

Uma inovação importante em relação à NIS1 é a responsabilidade pessoal dos gestores de topo em caso de violação grave das obrigações de cibersegurança. Os Estados-Membros podem prever sanções individuais contra as pessoas singulares que exercem funções de gestão em entidades essenciais, incluindo a proibição temporária de exercer funções de direção. Esta disposição visa que os órgãos de governação assumam responsabilidade direta pela política de cibersegurança.

O CNCS dispõe de amplos poderes de controlo: auditorias de segurança no local e à distância, pedidos de informação, ordens de conformidade com prazo e publicação das infrações (name and shame). Para as entidades essenciais, as auditorias podem ser iniciadas proativamente sem que tenha ocorrido previamente um incidente.

A conformidade NIS2 desenvolve-se em 5 etapas ao longo de pelo menos 9 meses: mapeamento de ativos, avaliação de riscos (ISO 27005 ou orientações do CNCS), implementação de medidas técnicas, formação das equipas e auditoria contínua. A direção deve liderar o projeto organizacional.

Alcançar a conformidade com a NIS2 é um projeto organizacional que se estende por vários meses. O seguinte plano de cinco etapas baseia-se nas recomendações do CNCS e nas diretrizes da ENISA.

Etapa 1: Mapear os ativos

Etapa 1 (meses 1-2) — Mapeamento de ativos: identifique e catalogue todos os ativos digitais (servidores, aplicações, equipamentos de rede, postos de trabalho, acessos cloud) e classifique-os de acordo com a sua criticidade para o negócio.

Etapa 2: Avaliar os riscos

Etapa 2 (meses 2-3) — Avaliação de riscos: conduza uma análise de riscos identificando ameaças, vulnerabilidades e impactos potenciais para cada ativo crítico; a metodologia ISO 27005 ou as orientações do CNCS são adequadas para este exercício.

Etapa 3: Implementar as medidas

Etapa 3 (meses 3-6) — Implementação de medidas: implemente as medidas técnicas e organizacionais priorizadas pela sua análise de riscos (MFA, cifragem, segmentação de rede, gestão de patches, cópias de segurança, deteção de incidentes) e documente cada medida implementada.

Etapa 4: Formar as equipas

Etapa 4 (meses 6-9) — Formação das equipas: sensibilize todos os colaboradores para os riscos cibernéticos e boas práticas; forme especificamente as equipas de TI nos novos procedimentos de deteção e notificação de incidentes; envolva a direção em formações sobre governação e responsabilidades NIS2.

Etapa 5: Auditar e melhorar continuamente

Etapa 5 (contínua) — Auditoria e melhoria contínua: planeie auditorias internas e externas regulares, atualize a sua análise de riscos pelo menos anualmente, teste o seu plano de continuidade através de exercícios de crise e mantenha atualizada a documentação de todas as atividades de conformidade.

Os recursos essenciais para a conformidade NIS2 incluem o texto oficial no EUR-Lex, os guias práticos do CNCS (cncs.gov.pt), as diretrizes da ENISA e a norma ISO/IEC 27001 para a análise de riscos exigida pelo artigo 21.º.

Vários recursos oficiais ajudam a aprofundar a compreensão da NIS2 e a iniciar o processo de conformidade.

O texto integral da Diretiva (UE) 2022/2555 está disponível no EUR-Lex, o Jornal Oficial da União Europeia. O CNCS (cncs.gov.pt) publica guias práticos, ferramentas de autoavaliação e informações atualizadas sobre a transposição portuguesa da NIS2. O CNCS colabora ainda com o CERT.PT para a gestão de incidentes e a resposta a ciberameaças que afetam as entidades nacionais.

Para a gestão de riscos, a norma ISO/IEC 27001 é amplamente reconhecida em Portugal como referência para a implementação de sistemas de gestão de segurança da informação, e a sua certificação pode ser valorizada como prova de conformidade perante as autoridades de supervisão. A ENISA disponibiliza diretrizes técnicas e recomendações de implementação complementares para os Estados-Membros e as entidades abrangidas.