Guia Completo NIS2 2025

A Diretiva NIS (Segurança das Redes e da Informação) de 2016 foi o primeiro quadro legislativo europeu dedicado à cibersegurança. Obrigava os Estados-Membros a designar autoridades competentes e a estabelecer requisitos mínimos de segurança para os operadores de serviços essenciais e os fornecedores de serviços digitais. Embora tenha lançado as bases de uma abordagem comum, a sua aplicação desigual entre os países revelou lacunas significativas em matéria de harmonização.

Perante a rápida evolução das ameaças cibernéticas e a persistente fragmentação entre os Estados-Membros, a Comissão Europeia publicou a Diretiva NIS2 (2022/2555) em 27 de dezembro de 2022. Este texto reformula integralmente o quadro anterior: alarga consideravelmente o âmbito das entidades abrangidas, reforça as obrigações de segurança, agrava as sanções e exige uma cooperação reforçada entre as autoridades nacionais. A Diretiva entrou em vigor em 17 de outubro de 2024, data-limite para os Estados-Membros transporem as suas disposições para o direito nacional.

Em Portugal, a transposição da NIS2 é da responsabilidade do CNCS (Centro Nacional de Cibersegurança), a autoridade nacional competente em matéria de cibersegurança. A Lei n.º 65/2021 e a sua revisão de transposição da NIS2 constituem o quadro legal aplicável às entidades portuguesas. Recomenda-se que as empresas avaliem desde já o seu nível de segurança e iniciem as ações necessárias para alcançar a conformidade.

A NIS2 distingue duas categorias de entidades sujeitas a obrigações: as entidades essenciais (EE) e as entidades importantes (EI). Esta distinção determina o nível de supervisão exercido pelo CNCS e a intensidade das sanções aplicáveis. As entidades essenciais são grandes organizações (mais de 250 trabalhadores ou mais de 50 milhões de euros de volume de negócios anual) que operam nos setores altamente críticos do Anexo I. As entidades importantes abrangem organizações de média dimensão (mais de 50 trabalhadores ou mais de 10 milhões de euros de volume de negócios) nos setores dos Anexos I ou II.

A Diretiva abrange 18 setores distribuídos por dois anexos. O Anexo I (setores altamente críticos) inclui: energia, transportes, setor bancário, infraestruturas dos mercados financeiros, saúde, água potável, águas residuais, infraestruturas digitais, gestão de serviços TIC, administração pública e espaço. O Anexo II acrescenta: serviços postais e de correio, gestão de resíduos, fabricação e distribuição de produtos químicos, produção e distribuição alimentar, fabricação de dispositivos médicos e eletrónicos, fornecedores digitais e investigação.

Mesmo que a sua empresa não pertença diretamente a um setor abrangido, pode ser afetada se fornecer serviços ou produtos a uma entidade essencial ou importante. A NIS2 exige que as entidades no seu âmbito garantam que os seus fornecedores críticos também mantêm um nível de segurança adequado, na prática através de cláusulas contratuais, questionários de segurança e auditorias.

O artigo 21.º da Diretiva NIS2 define as medidas técnicas, operacionais e organizacionais que as entidades abrangidas devem implementar. Estas medidas devem ser proporcionadas ao nível de risco, à dimensão da entidade e às potenciais consequências dos incidentes. São definidas oito obrigações principais.

Primeiro, governação e responsabilidade da direção: os órgãos de administração devem aprovar as medidas de cibersegurança e assumir responsabilidade pessoal em caso de incumprimento grave. Segundo, gestão de riscos: avaliações periódicas de riscos, identificação de ativos críticos e política de segurança documentada. Terceiro, segurança da cadeia de abastecimento: avaliação e supervisão de fornecedores críticos através de cláusulas contratuais, questionários e auditorias.

Quarto, gestão de incidentes e notificação em 72 horas: alerta precoce ao CNCS nas 24 horas seguintes à deteção de um incidente significativo, notificação completa em 72 horas e relatório final no prazo de um mês. Quinto, continuidade do negócio: planos de continuidade (BCP) e de recuperação de desastres (DRP) formalizados e testados periodicamente. Sexto, segurança dos recursos humanos: verificação de antecedentes para funções sensíveis, formação em cibersegurança e revogação imediata de acessos aquando da saída de colaboradores. Sétimo, criptografia: cifragem de dados sensíveis em trânsito e em repouso, e gestão documentada de chaves e certificados. Oitavo, controlo de acessos: autenticação multifator (MFA) obrigatória para sistemas críticos e política IAM baseada no princípio do mínimo privilégio.

A NIS2 institui um regime de sanções significativamente mais severo do que o seu predecessor. As coimas são calculadas com base no valor mais elevado entre um limite fixo e uma percentagem do volume de negócios anual mundial, para garantir um efeito dissuasor independentemente da dimensão da entidade. Para as entidades essenciais, a coima máxima é de 10.000.000 € ou 2% do volume de negócios anual mundial. Para as entidades importantes, é de 7.000.000 € ou 1,4% do volume de negócios anual mundial.

Uma inovação importante em relação à NIS1 é a responsabilidade pessoal dos gestores de topo em caso de violação grave das obrigações de cibersegurança. Os Estados-Membros podem prever sanções individuais contra as pessoas singulares que exercem funções de gestão em entidades essenciais, incluindo a proibição temporária de exercer funções de direção. Esta disposição visa que os órgãos de governação assumam responsabilidade direta pela política de cibersegurança.

O CNCS dispõe de amplos poderes de controlo: auditorias de segurança no local e à distância, pedidos de informação, ordens de conformidade com prazo e publicação das infrações (name and shame). Para as entidades essenciais, as auditorias podem ser iniciadas proativamente sem que tenha ocorrido previamente um incidente.

Alcançar a conformidade com a NIS2 é um projeto organizacional que se estende por vários meses. O seguinte plano de cinco etapas baseia-se nas recomendações do CNCS e nas diretrizes da ENISA.

Etapa 1 (meses 1-2) — Mapeamento de ativos: identifique e catalogue todos os ativos digitais (servidores, aplicações, equipamentos de rede, postos de trabalho, acessos cloud) e classifique-os de acordo com a sua criticidade para o negócio. Etapa 2 (meses 2-3) — Avaliação de riscos: conduza uma análise de riscos identificando ameaças, vulnerabilidades e impactos potenciais para cada ativo crítico; a metodologia ISO 27005 ou as orientações do CNCS são adequadas para este exercício. Etapa 3 (meses 3-6) — Implementação de medidas: implemente as medidas técnicas e organizacionais priorizadas pela sua análise de riscos (MFA, cifragem, segmentação de rede, gestão de patches, cópias de segurança, deteção de incidentes) e documente cada medida implementada.

Etapa 4 (meses 6-9) — Formação das equipas: sensibilize todos os colaboradores para os riscos cibernéticos e boas práticas; forme especificamente as equipas de TI nos novos procedimentos de deteção e notificação de incidentes; envolva a direção em formações sobre governação e responsabilidades NIS2. Etapa 5 (contínua) — Auditoria e melhoria contínua: planeie auditorias internas e externas regulares, atualize a sua análise de riscos pelo menos anualmente, teste o seu plano de continuidade através de exercícios de crise e mantenha atualizada a documentação de todas as atividades de conformidade.

Vários recursos oficiais ajudam a aprofundar a compreensão da NIS2 e a iniciar o processo de conformidade.

O texto integral da Diretiva (UE) 2022/2555 está disponível no EUR-Lex, o Jornal Oficial da União Europeia. O CNCS (cncs.gov.pt) publica guias práticos, ferramentas de autoavaliação e informações atualizadas sobre a transposição portuguesa da NIS2. O CNCS colabora ainda com o CERT.PT para a gestão de incidentes e a resposta a ciberameaças que afetam as entidades nacionais.

Para a gestão de riscos, a norma ISO/IEC 27001 é amplamente reconhecida em Portugal como referência para a implementação de sistemas de gestão de segurança da informação, e a sua certificação pode ser valorizada como prova de conformidade perante as autoridades de supervisão. A ENISA disponibiliza diretrizes técnicas e recomendações de implementação complementares para os Estados-Membros e as entidades abrangidas.