Agendar diagnóstico →

3 de Abril de 2027. NIS2 plenamente sancionatória.

A NIS2 (Diretiva UE 2022/2555) foi transposta pelo DL 125/2025 e está em vigor desde 3 de Abril de 2026. O período de carência de coimas termina a 3 de Abril de 2027 — a partir dessa data, coimas máximas aplicáveis: €10M para entidades essenciais, €7M para importantes.

Assessment de preparação → Ver calendário completo
01

A quem se aplica

Quem tem que cumprir, e quando.

A NIS2 aplica-se a entidades essenciais e entidades importantes em 18 sectores identificados no Anexo I e II da Diretiva. Energia, transportes, bancos, infra-estruturas financeiras, saúde, águas, infra-estruturas digitais, administração pública, espaço, serviços postais, gestão de resíduos, química, alimentar, indústrias transformadoras, provedores digitais, investigação.

Critérios quantitativos: tipicamente mais de 50 colaboradores ou €10M de volume de negócios em sectores identificados. Há exceções sectoriais — algumas entidades entram com limites menores (infra-estruturas críticas, provedores de serviços digitais críticos).

Na nossa carteira, a saúde especializada — onde figuram clientes como B. Braun Medical, Recipharm, Ferring Portugal e Expomédica, e um grupo nacional de análises clínicas — cai quase sempre como entidade essencial. Indústria, transportes (Air Rail, OMNI Helicopters International, Lusoponte, DDN Engenharia) e serviços financeiros regulados (Montepio Valor SGOIC, Futuro, Servdebt, Best Ability Financial Consulting) cruzam frequentemente o limiar de importantes.

Uma análise de lacunas inicial identifica se a vossa empresa está mesmo dentro do âmbito. A resposta a esta pergunta é o primeiro passo — muitas PMEs assumem que não entram sem verificar.

02

O que fazemos em NIS2

Âmbito operacional.

Escala Microsoft sob gestão: 84 subscrições Azure activas, 131 tenants Microsoft 365 com mais de oito mil utilizadores activos mensais. Implementar NIS2 em ambientes que já conhecemos desde a identidade (Entra ID) até ao ERP (Cegid) é materialmente mais rápido do que levantá-los de zero.

Análise de lacunas. Duas a quatro semanas, preço fixo. Avaliação de enquadramento no DL 125/2025, mapa de controlos exigidos vs. controlos em vigor, classificação de risco.

Implementação técnica. Implantação do Microsoft Defender (Cloud, Endpoint, Office, Identity), Microsoft Sentinel para SIEM/SOAR, Entra ID com MFA obrigatório e Conditional Access, políticas de salvaguarda e retenção, cifra em repouso e em trânsito.

Implementação processual. Plano de resposta a incidentes documentado, procedimento de notificação ao CNCS (Centro Nacional de Cibersegurança) em 24h (alerta inicial) e 72h (notificação detalhada), registo de incidentes, plano de continuidade de negócio.

Formação e governance. Formação da direção (obrigatória no DL 125/2025), formação de utilizadores, nomeação de responsável de cibersegurança, revisão anual.

03

Prazos críticos e consequências

Datas, impactos, sanções.

3 de Abril de 2026 — entrada em vigor do DL 125/2025
Todas as obrigações técnicas, organizacionais e de notificação passam a vincular entidades essenciais e importantes. Período de carência de 12 meses para coimas.
4 de Maio de 2026 — designação do Responsável de Cibersegurança
Prazo legal para nomeação formal do responsável. Incumprimento é incumprimento declarativo imediato, ainda que na carência de coimas até 3 Abril 2027.
3 de Abril de 2027 — fim do período de carência
Regime plenamente sancionatório. Coimas máximas aplicáveis: €10M para essenciais, €7M para importantes.
Obrigação de notificação de incidentes em 24h/72h
Em vigor desde 3 Abril 2026. Incidentes com impacto relevante têm de ser notificados à CNCS (Centro Nacional de Cibersegurança) em 24h (alerta inicial) e 72h (detalhado).
Responsabilidade pessoal da direção
A NIS2 introduz responsabilidade pessoal da direção pela conformidade. Coimas podem ser aplicadas pessoalmente aos administradores.

Análise de lacunas: €3 000 a €10 000 preço fixo. Implementação técnica e processual: €15 000 a €45 000 conforme dimensão e maturidade de partida.

Perguntas frequentes

FAQ — NIS2 — DL 125/2025

Como sei se sou entidade essencial ou importante?
Está no Anexo I e II da Diretiva NIS2 (e no DL 125/2025 transposto). A distinção depende do sector e da dimensão. A análise de lacunas começa sempre por esta classificação formal — é o primeiro entregável.
Já temos ISO 27001. Basta?
Ajuda muito — ISO 27001 cobre grande parte dos controlos técnicos exigidos pela NIS2. Mas não cobre tudo (notificação de incidentes, responsabilidade pessoal da direção, algumas obrigações sectoriais). A análise de lacunas identifica o que falta face à ISO 27001 existente.
Somos uma empresa com 60 pessoas. NIS2 aplica-se?
Depende do sector e das actividades concretas. 60 pessoas num escritório de advogados: muito provavelmente fora. 60 pessoas numa clínica: provavelmente dentro (a saúde figura no âmbito típico da NIS2, com limiares que tendem a ser baixos). 60 pessoas numa empresa de logística: frequentemente dentro (transportes costumam estar listados). Cada caso tem de ser avaliado contra o DL 125/2025, idealmente com suporte jurídico.
Vocês fazem auditoria legal ou técnica?
Só técnica. A análise jurídica do enquadramento legal é trabalho de advogado especializado em direito digital e cibersegurança — recomendamos escritórios com essa prática. Coordenamos com o advogado escolhido pela empresa.

Assessment de preparação. Duas semanas, preço fixo.

Saímos com o mapa de obrigações aplicáveis e o plano concreto para cumprir dentro dos prazos legais.

Ver assessment → Diagnóstico primeiro