A NIS2 é, neste momento, a maior mudança regulatória em cibersegurança para as organizações portuguesas. Em vigor desde outubro de 2024, alarga as obrigações a muito mais empresas, e responsabiliza pessoalmente a gestão. A CyberS3c ajuda-o a perceber se está abrangido, a fechar as lacunas e a demonstrar conformidade.
O contexto que torna a NIS2 urgente
Os dados nacionais não deixam margem para dúvidas: a ameaça está a crescer, e os operadores de serviços essenciais e as infraestruturas críticas estão na linha da frente. A NIS2 é a resposta regulatória a esta realidade.
Fonte: CNCS · Observatório de Cibersegurança · «Cibersegurança em Portugal — Riscos & Conflitos» (6.ª ed., 2025) · dados de 2024. Consulte o Observatório de Cibersegurança do CNCS.
NIS2: a sua empresa está abrangida?
A NIS2 cobre entidades essenciais e entidades importantes em 18 setores críticos. Se a sua organização opera num destes setores e tem dimensão relevante, é muito provável que esteja abrangida.
| Entidades essenciais | Entidades importantes | |
|---|---|---|
| Coima máxima | €10.000.000 ou 2% do volume de negócios global | €7.000.000 ou 1,4% do volume de negócios global |
| Exemplos | Energia, banca, saúde, infraestrutura digital, Administração Pública | Serviços postais, gestão de resíduos, química, alimentação, fabricação |
| Supervisão | Proativa (auditorias, inspeções) | Reativa (após indícios de incumprimento) |
| Obrigações de segurança | As mesmas medidas de gestão de risco | As mesmas medidas de gestão de risco |
O que a NIS2 exige
As organizações têm de implementar medidas técnicas e organizativas proporcionais ao risco. Estas são as principais:
Análise de risco e políticas
Políticas de análise de risco e de segurança dos sistemas de informação.
Tratamento de incidentes
Deteção, resposta e recuperação de incidentes de segurança.
Continuidade de negócio
Continuidade, gestão de crises e cópias de segurança.
Cadeia de fornecimento
Segurança na relação com fornecedores e prestadores de serviços.
MFA e cifra
Autenticação multifator, comunicações seguras e criptografia.
Formação
Sensibilização e formação em cibersegurança para toda a organização.
Prazos de reporte de incidentes
A NIS2 reduz drasticamente os prazos de notificação. Um incidente significativo obriga a:
- 1 24 horas
Alerta precoce
- ▸ Notificação inicial ao CNCS
- ▸ Indicação de suspeita de ilícito ou impacto transfronteiriço
- 2 72 horas
Notificação do incidente
- ▸ Avaliação inicial de gravidade e impacto
- ▸ Indicadores de compromisso conhecidos
- 3 30 dias
Relatório final
- ▸ Descrição detalhada do incidente
- ▸ Medidas de mitigação aplicadas
Responsabilidade dos órgãos de gestão
A administração é pessoalmente responsável
A NIS2 traz uma novidade que muda o jogo: os órgãos de gestão (conselhos de administração, gerências) são pessoalmente responsáveis pelo cumprimento dos requisitos. Em caso de incumprimento grave, podem ser temporariamente proibidos de exercer funções de gestão. A conformidade deixou de ser um assunto só das TI, é uma responsabilidade da liderança.
Como a CyberS3c ajuda com a NIS2
Cada obrigação da NIS2 tem correspondência num serviço nosso. Cobrimos o ciclo completo, da avaliação à demonstração de conformidade.
Análise de risco e governação
Avaliação de risco e liderança de segurança com o CISO as a Service.
Tratamento de incidentes
Resposta a incidentes e monitorização 24/7 alinhadas com os prazos do CNCS.
Testes de segurança
Testes de exploração e análise de vulnerabilidades para validar as medidas.
Forense e reporte
Auditoria forense digital e evidências para o relatório final ao CNCS.
Formação
Sensibilização e formação da equipa através da Academia CyberS3c.
Gap analysis e roadmap
Diagnóstico face à NIS2 e roteiro priorizado até à conformidade.
Prazos apertados, coimas milionárias
A NIS2 não espera. A sua conformidade também não devia.
Comece por perceber onde está: descarregue a nossa checklist de prontidão NIS2 ou peça uma avaliação guiada.
Não é só a NIS2
Além da NIS2, asseguramos a conformidade com o RGPD, a ISO 27001 e as legislações nacionais e setoriais aplicáveis, com o mesmo processo de avaliação, implementação, monitorização contínua e relatórios que resistem a auditoria.
- 1 Etapa 1
Avaliação
- ▸ Análise dos sistemas e práticas existentes
- ▸ Levantamento das leis e normas aplicáveis
- 2 Etapa 2
Soluções à medida
- ▸ Ajuste de políticas internas
- ▸ Novas tecnologias e formação de colaboradores
- 3 Etapa 3
Monitorização
- ▸ Acompanhamento contínuo
- ▸ Atualização face a novas ameaças e regras
- 4 Etapa 4
Relatórios
- ▸ Demonstração de conformidade
- ▸ Facilita auditorias e comunicação com stakeholders
Perguntas frequentes
Como sei se a minha empresa está abrangida pela NIS2?
Depende do setor (18 setores críticos) e da dimensão da organização. Fazemos essa avaliação consigo, comece pela nossa checklist de prontidão NIS2 ou peça uma avaliação guiada.
Quais são as sanções por incumprimento da NIS2?
Até €10.000.000 ou 2% do volume de negócios global para entidades essenciais, e até €7.000.000 ou 1,4% para entidades importantes, além de danos reputacionais.
A administração é mesmo responsável?
Sim. Os órgãos de gestão são pessoalmente responsáveis pelo cumprimento e podem ser temporariamente proibidos de exercer funções de gestão em caso de incumprimento grave.
Que prazos tenho para reportar um incidente?
24 horas para o alerta precoce ao CNCS, 72 horas para a notificação do incidente e 30 dias para o relatório final.
Ajudam também com o RGPD e a ISO 27001?
Sim. Adaptamos a conformidade à NIS2, ao RGPD, à ISO 27001 e às legislações nacionais e setoriais específicas, com o mesmo processo de ponta a ponta.
Interessado neste serviço?
Entre em contacto e a nossa equipa responde em menos de 24 horas.