Agendar diagnóstico →

Conformidade Regulatória · NIS2

3 de Abril de 2027. NIS2 sancionatório.

A NIS2 (Diretiva UE 2022/2555) foi transposta para o ordenamento português pelo DL 125/2025. A partir de 3 de Abril de 2027 é plenamente sancionatório. Coimas até €10M para entidades essenciais, até €7M para importantes.

Assessment de preparação → Ver calendário completo
01

A quem se aplica

Quem tem que cumprir, e quando.

A NIS2 aplica-se a entidades essenciais e entidades importantes em 18 sectores identificados no Anexo I e II da Diretiva. Energia, transportes, bancos, infra-estruturas financeiras, saúde, águas, infra-estruturas digitais, administração pública, espaço, serviços postais, gestão de resíduos, química, alimentar, indústrias transformadoras, provedores digitais, investigação.

Critérios quantitativos: tipicamente mais de 50 colaboradores ou €10M de volume de negócios em sectores identificados. Há exceções sectoriais — algumas entidades entram com limites menores (infra-estruturas críticas, provedores de serviços digitais críticos).

Gap assessment inicial identifica se a vossa empresa está mesmo dentro do âmbito. A resposta a esta pergunta é o primeiro passo — muitas PMEs assumem que não entram sem verificar.

02

O que fazemos em NIS2

Âmbito operacional.

Gap assessment. Duas a quatro semanas, preço fixo. Avaliação de enquadramento no DL 125/2025, mapa de controlos exigidos vs. controlos em vigor, classificação de risco.

Implementação técnica. Deploy de Microsoft Defender (Cloud, Endpoint, Office, Identity), Microsoft Sentinel para SIEM/SOAR, Entra ID com MFA obrigatório e Conditional Access, políticas de backup e retenção, encriptação em repouso e em trânsito.

Implementação processual. Incident response plan documentado, procedimento de notificação à Coordenação Nacional de Cibersegurança em 24h (alerta inicial) e 72h (notificação detalhada), registo de incidentes, plano de continuidade de negócio.

Formação e governance. Formação da direção (obrigatória no DL 125/2025), formação de utilizadores, nomeação de responsável de cibersegurança, revisão anual.

03

Prazos críticos e consequências

Datas, impactos, sanções.

3 de Abril de 2027 — início do regime sancionatório
DL 125/2025 em vigor com coimas máximas aplicáveis: €10M para essenciais, €7M para importantes.
Obrigação de notificação de incidentes em 24h/72h
Já em vigor desde a publicação do DL. Incidentes com impacto relevante têm de ser notificados à CNCS (Centro Nacional de Cibersegurança) em 24h (alerta inicial) e 72h (detalhado).
Responsabilidade pessoal da direção
A NIS2 introduz responsabilidade pessoal da direção pela conformidade. Coimas podem ser aplicadas pessoalmente aos administradores.

Gap assessment: €6 000 a €12 000 preço fixo. Implementação técnica e processual: €25 000 a €80 000 conforme dimensão e maturidade de partida.

Perguntas frequentes

FAQ — NIS2 — DL 125/2025

Como sei se sou entidade essencial ou importante?
Está no Anexo I e II da Diretiva NIS2 (e no DL 125/2025 transposto). A distinção depende do sector e da dimensão. O gap assessment começa sempre por esta classificação formal — é o primeiro entregável.
Já temos ISO 27001. Basta?
Ajuda muito — ISO 27001 cobre grande parte dos controlos técnicos exigidos pela NIS2. Mas não cobre tudo (notificação de incidentes, responsabilidade pessoal da direção, algumas obrigações sectoriais). Gap assessment identifica o que falta face a ISO 27001 existente.
Somos uma empresa com 60 pessoas. NIS2 aplica-se?
Depende do sector. 60 pessoas num escritório de advogados: muito provavelmente não. 60 pessoas numa clínica: muito provavelmente sim (saúde é sector essencial com limiares baixos). 60 pessoas numa empresa de logística: provavelmente sim (transportes). Cada caso tem de ser avaliado contra o DL 125/2025.
Vocês fazem auditoria legal ou técnica?
Só técnica. A análise jurídica do enquadramento legal é trabalho de advogado especializado em direito digital e cibersegurança — recomendamos escritórios com essa prática. Coordenamos com o advogado escolhido pela empresa.

Assessment de preparação. Duas semanas, preço fixo.

Saímos com o mapa de obrigações aplicáveis e o plano concreto para cumprir dentro dos prazos legais.

Ver assessment → Diagnóstico primeiro