A cibersegurança deixou de ser apenas uma preocupação técnica para passar a ser uma prioridade estratégica para empresas e organizações em toda a União Europeia. Com a entrada em vigor da Diretiva NIS2 e a sua transposição para o ordenamento jurídico português através do novo Regime Jurídico da Cibersegurança (RJC), surgem novas obrigações para muitas entidades.
Mas afinal, o que muda na prática?
📌 O que é a NIS2?
A Diretiva NIS2 (Network and Information Security Directive 2) vem substituir a anterior NIS, alargando significativamente o número de entidades abrangidas e reforçando os requisitos de segurança.
O principal objetivo é claro: Aumentar o nível global de cibersegurança na União Europeia.
🏢 Quem passa a ser abrangido?
Uma das maiores mudanças é o alargamento do âmbito. Deixa de abranger apenas operadores de serviços essenciais e passa a incluir:
- Fornecedores de pontos de troca de tráfego;
- Fornecedores de Nomes de TLD (Registries);
- Fornecedores de Serviços de Alojamento Web / Cloud;
- Fornecedores de Serviços de Computação na Núvem;
- Fornecedores de Registo de Domínios (Registrars) e Revendedores de Domínios;
- Prestadores de Serviços de Datacenter / Centro de Dados;
- Prestadores de Serviços de DNS;
- Fornecedores de redes de distribuição de conteúdos / CDN;
- Prestadores de serviços de confiança;
- Fornecedores de redes públicas de comunicações eletrónicas;
- Prestadores de serviços de comunicações eletrónicas acessíveis ao público;
- Prestadores de serviços geridos;
- Prestadores de serviços de segurança geridos;
- Prestadores de serviços digitais;
- Infra-estruturas Críticas (Energia, Saúde, Transportes, Setor Bancário, etc.);
- Empresas de médio e grande porte em setores relevantes;
Ou seja, muitas empresas tecnológicas portuguesas passam agora a estar diretamente abrangidas, incluindo várias no ecossistema de serviços de IT, incluindo fornecedores de serviços de Datacenter, serviços geridos, serviços de Alojamento Web e Computação na Cloud e Registo de domínios.
⚖️ O novo Regime Jurídico de Cibersegurança em Portugal
Em Portugal, a NIS2 é transposta através do novo Regime Jurídico de Cibersegurança (Decreto-Lei n.º 125/2025, de 4 de dezembro), que define:
• As entidades obrigadas
• As autoridades competentes (como o CNCS)
• Os deveres de segurança e notificação
• O regime sancionatório
🔐 Principais obrigações
As entidades abrangidas passam a ter obrigações mais exigentes, nomeadamente:
- Medidas de gestão de risco
Implementação de políticas e práticas como:
• Controlo de Acessos
• Gestão de Vulnerabilidades
• Segurança de Redes e Sistemas
• Continuidade de Negócio - Notificação de Incidentes
• Comunicação obrigatória de incidentes relevantes
• Prazos apertados (Exemplo: Notificação de Incidente Inicial em 24h) - Responsabilização da Gestão
• A gestão de topo passa a ser diretamente responsável
• Possibilidade de sanções pessoais em alguns casos - Segurança na Cadeia de Fornecimento
• Avaliação de fornecedores e parceiros
• Maior controlo sobre terceiros
💸 Coimas e penalizações
O incumprimento pode resultar em coimas significativas, que podem atingir:
• Até 10 milhões de euros ou
• 2% do volume de negócios anual global
Este é um sinal claro de que a cibersegurança deixou de ser opcional e deve ser tratada com a importância que sempre deveria ter tido.
⚠️ O que isto significa para empresas de Alojamento Web e Registo de Domínios?
Para empresas como a WebTuga, estas mudanças são especialmente relevantes:
• Maior exigência na Segurança da Infraestrutura;
• Necessidade de processos formais de Gestão de Incidentes;
• Auditorias e Documentação mais rigorosas;
• Reforço da confiança junto dos clientes;
Ao mesmo tempo, representa uma oportunidade para diferenciação pela segurança e conformidade.
🚀 Como preparar a sua empresa?
Alguns passos essenciais:
1. Avaliar se a sua empresa está abrangida;
2. Realizar uma análise de risco;
3. Implementar políticas e procedimentos formais;
4. Criar um plano de resposta a incidentes;
5. Formar equipas e sensibilizar colaboradores;
6. Rever contratos com fornecedores;
🧭 Conclusão
A NIS2 e o novo Regime Jurídico de Cibersegurança representam uma mudança profunda no panorama digital europeu.
Mais do que uma obrigação legal, são um passo importante para um ecossistema digital mais seguro, resiliente e confiável.
Para as empresas que se anteciparem, isto não se irá traduzir apenas em conformidade legal e maior preparação a nível de cibersegurança, mas também em vantagem competitiva em comparação com outros fornecedores.