Newsletters
Foi hoje publicado o Decreto-Lei n.º 125/2025, de 4 de dezembro de 2025, que transpõe para o ordenamento jurídico nacional a Diretiva (UE) 2022/2555, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança em toda a União Europeia.
🔸Enquadramento
O novo diploma introduz alterações profundas ao regime jurídico de cibersegurança em Portugal, alargando o universo de entidades abrangidas, reforçando obrigações e criando novas categorias e mecanismos de supervisão.
🔸Responsabilidade pessoal dos Órgãos de gestão das empresas
A nova lei reforça a responsabilidade direta dos órgãos de administração na gestão dos riscos de Cibersegurança. A falta de supervisão adequada pode gerar responsabilidade e sanções para os próprios administradores. Os órgãos de gestão das Entidades Essenciais e Entidades Importantes passam a ter obrigações reforçadas de aprovação e supervisão das medidas de cibersegurança, incluindo formação regular. O regime fixa padrões mínimos de risco (matriz de risco), exige análise do risco residual, relatório anual, designação de responsável de cibersegurança e ponto de contacto permanente com disponibilidade contínua (24/7).
🔸Alargamento do âmbito de aplicação e novas categorias de entidades
O regime passa a abranger uma parte substancial da Administração Pública, incluindo serviços técnicos e administrativos dos órgãos de soberania e entidades com elevado grau de integração digital.
Introduz-se uma distinção entre:
-
Entidades Essenciais (EE): Setores críticos que excedam os limiares de médias empresas, prestadores qualificados de serviços de confiança, registos de TLD e prestadores de DNS, com classificação baseada no grau de exposição a riscos e impacto potencial.
-
Entidades Importantes (EI): Entidades dos setores críticos que não sejam EE.
-
Entidades Públicas Relevantes: Nova classificação nacional para entidades públicas não EE ou EI, divididas em Grupo A (maior dimensão) e Grupo B (menor dimensão).
As entidades devem identificar-se no prazo de 60 dias após a disponibilização pelo CNCS da plataforma eletrónica para o efeito, ou, no caso de novas entidades, no prazo de 30 dias após o início de atividade, fundamentando devidamente a sua qualificação.
Permanecem excluídas entidades públicas nos domínios da segurança nacional, da segurança pública, da defesa e dos serviços de informações, incluindo as entidades com responsabilidades de investigação criminal e os órgãos de polícia criminal.
🔸Regime de notificação de incidentes
As entidades abrangidas devem notificar incidentes significativos à autoridade competente, cumprindo prazos rigorosos: notificação inicial em 24h, atualização em 72h e relatório final até 30 dias úteis após o fim do impacto.
🔸Supervisão e execução
O regime de supervisão previsto é dual:
-
EE estão sujeitas a supervisão completa (ex ante e ex post);
-
EI estão sujeitas a supervisão reativa (ex post).
São previstas inspeções, auditorias, verificações e pedidos de informação. O CNCS pode emitir advertências, ordens vinculativas e, em último caso, suspender certificações ou licenças.
🔸Regime sancionatório e alterações à lei do cibercrime
Estabelece-se um novo regime contraordenacional: coimas até 10 milhões de euros ou 2% do volume de negócios para EE, e até 7 milhões ou 1,4% para EI, com possibilidade de dispensa nos primeiros meses de aplicação. Prevê-se a despenalização de atos de identificação de vulnerabilidades para fins de segurança, sob condições estritas e comunicação imediata à autoridade. É ainda criado um gabinete de crise para gestão de incidentes com impacto na segurança interna.
🔸Próximos passos
Recomenda-se que as organizações:
-
Avaliem preliminarmente se poderão estar abrangidas pelo novo regime, considerando o setor de atividade e dimensão;
-
Acompanhem a publicação de orientações e esclarecimentos por parte das autoridades competentes;
-
Iniciem um diagnóstico das suas atuais práticas de cibersegurança face aos requisitos previstos no decreto-lei;
-
Considerem a necessidade de reforçar competências internas ou recorrer a apoio especializado.
A equipa de Cibersegurança e Compliance Digital da CCA está disponível para prestar esclarecimentos adicionais e apoiar as organizações na análise do impacto e implementação das medidas necessárias ao cumprimento deste novo regime.
Confirme se a sua empresa está preparada AQUI.