Regime Jurídico da Cibersegurança: o novo quadro regulatório

Iara Pires Gomes Hours
Capa do artigo de opinião da BQ Advogadas sobre o novo regime jurídico da cibersegurança e o Decreto-Lei n.º 125/2025.

O novo regime jurídico da cibersegurança está prestes a entrar em vigor e representa uma mudança estruturante para as organizações que operam em Portugal. A transposição da Diretiva NIS 2 através do Decreto-Lei n.º 125/2025, de 4 de dezembro, estabelece um quadro normativo mais exigente e abrangente, com impacto direto em entidades públicas e privadas de setores críticos.

A partir de 3 de abril de 2026, data que assinala o fim do período de 120 dias de vacatio legis, as organizações abrangidas terão de estar preparadas para cumprir um conjunto de obrigações que vão muito além da mera conformidade formal. O diploma procura responder ao aumento da sofisticação das ameaças digitais e reforçar a resiliência das infraestruturas essenciais em toda a União Europeia.

iara pires gomes 1

O que é o novo Regime Jurídico da Cibersegurança

regime jurídico da cibersegurança assenta em pilares que alteram profundamente a forma como as organizações devem encarar a segurança das redes e sistemas de informação. A principal inovação reside na ampliação do seu âmbito de aplicação. O novo quadro deixa de se focar apenas nos operadores de serviços essenciais e passa a abranger um universo muito mais alargado de entidades, incluindo prestadores de serviços digitais, infraestruturas críticas e toda a Administração Pública.

Esta ampliação obriga a que muitas organizações que até agora não estavam sujeitas a regulação específica em matéria de cibersegurança tenham agora de se identificar junto do Centro Nacional de Cibersegurança (CNCS) e de cumprir um conjunto de deveres de governação, gestão de risco e reporte.

Entrada em vigor e prazos críticos

Com a entrada em vigor a 3 de abril de 2026, as entidades dispõem de prazos concretos para se identificarem na plataforma eletrónica disponibilizada pelo CNCS. Em regra, a identificação deve ocorrer no prazo de 30 dias após o início da atividade ou, para as entidades que já estejam a operar, no prazo de 60 dias após a disponibilização da plataforma. É essencial que cada organização avalie desde já o seu enquadramento como entidade essencial, importante ou pública relevante.

Reporte de incidentes no novo regime jurídico da cibersegurança

Um dos pilares centrais do regime jurídico da cibersegurança é o novo sistema de reporte de incidentes. Qualquer incidente significativo, entendido como aquele que possa causar perturbações operacionais graves ou perdas financeiras relevantes, deve ser comunicado ao CNCS no prazo máximo de 24 horas após a sua identificação.

Após a notificação inicial, deve ser feita uma notificação de fim de impacto significativo, também no prazo de 24 horas após o fim do impacto. Por fim, é exigido um relatório final no prazo de 30 dias úteis. Caso o incidente envolva dados pessoais, a comunicação à CNPD e aos titulares dos dados é igualmente obrigatória. Estes prazos curtos exigem das entidades uma capacidade de deteção e resposta que o anterior regime não impunha.

Governação, compliance e cadeia de fornecedores

Além do reporte, o novo regime jurídico da cibersegurança impõe deveres acrescidos de governação e supervisão interna. As entidades devem adotar medidas técnicas, operacionais e organizativas adequadas, com uma atenção reforçada à cadeia de fornecedores e à mitigação de vulnerabilidades. A responsabilidade pela conformidade não pode ser delegada exclusivamente nos departamentos de IT, exigindo um compromisso claro da gestão de topo.

A revisão de políticas, procedimentos e práticas de segurança da informação é o ponto de partida. Mas o diploma exige mais: maturidade operacional e uma cultura de cibersegurança enraizada. As organizações que invistam nesta preparação não só cumprirão o novo quadro regulatório como reforçarão a sua robustez operacional.

Cinco mudanças essenciais a reter

Para apoiar as organizações neste processo, sintetizamos as cinco principais mudanças trazidas pelo novo regime jurídico da cibersegurança:

  1. Alargamento do âmbito de aplicação, passando a incluir entidades públicas e privadas de setores antes não abrangidos.
  2. Obrigação de identificação junto do CNCS em prazos definidos.
  3. Reporte de incidentes em 24 horas, seguido de notificação de fim de impacto e relatório final.
  4. Deveres de governação e supervisão interna, com necessidade de envolvimento da gestão de topo.
  5. Atenção reforçada à cadeia de fornecedores e à mitigação de vulnerabilidades externas.

A preparação como fator crítico de sucesso

Num contexto em que a resiliência digital se tornou um elemento central da competitividade e da confiança das organizações, o regime jurídico da cibersegurança representa simultaneamente um desafio e uma oportunidade. As entidades que se prepararem atempadamente poderão não só cumprir o novo quadro regulatório como reforçar a sua robustez operacional, protegendo-se contra ameaças cada vez mais complexas e assegurando a continuidade e integridade dos seus serviços.

O momento para agir é agora. O prazo de adaptação está a contar e o novo regime não admite improvisos. Consulte o texto integral do Decreto-Lei n.º 125/2025 no Diário da República Eletrónico.

imagem 2 regime juridico 1

BQ Advogadas

As nossas áreas de actuação

Conhecer

Artigos similares