A NIS2 para PME é a nova diretiva europeia de cibersegurança que entrou em vigor em Portugal a 3 de abril de 2026. Para muitos empresários, é um tema que parece distante, técnico e reservado a grandes empresas. Não é. Ao contrário da versão anterior, a NIS2 abrange muito mais entidades, incluindo muitas PME e empresas de serviços digitais.
A NIS2 estabelece um quadro europeu de cibersegurança que obriga as organizações a atualizar as suas práticas para proteger melhor as entidades essenciais e importantes. Em Portugal, esta transposição foi realizada através do Decreto-Lei n.º 125/2025, publicado em dezembro de 2025, que incorpora as obrigações da NIS2 na legislação nacional, com entrada em vigor a 3 de abril de 2026.
Se a sua empresa tem mais de 50 colaboradores ou fatura mais de 10 milhões de euros por ano e atua num setor abrangido, a NIS2 aplica-se a si. Este artigo explica o que isso significa na prática, o que tem de fazer e por onde começar, sem jargão técnico desnecessário.
O que é a NIS2 para PME e por que surgiu agora
A Diretiva NIS2 (Diretiva (UE) 2022/2555) é a nova normativa europeia em matéria de cibersegurança que substitui e amplia o âmbito da anterior diretiva NIS, aprovada em 2016. Surgiu com o objetivo de fortalecer a cibersegurança em todo o território da União Europeia e acompanhar o ritmo de um mundo digital cada vez mais complexo e vulnerável a riscos e ameaças.
A realidade que motivou a revisão é simples: os ciberataques aumentaram em frequência e sofisticação, a dependência digital das empresas é muito maior do que em 2016 e os incidentes de segurança têm impacto em cadeias de fornecimento completas, não apenas nas empresas diretamente atacadas.
A NIS2 introduz responsabilidade da direção, implicando diretamente os órgãos de administração no cumprimento da normativa. Reforça a notificação de incidentes com prazos mais concretos e procedimentos mais claros para comunicar incidentes graves à autoridade nacional, o CNCS (Centro Nacional de Cibersegurança).
A sua empresa está abrangida pela NIS2?
Este é o primeiro passo. Antes de qualquer ação, é necessário perceber se a NIS2 se aplica à sua empresa.
A NIS2 aplica-se a dois tipos de entidades, com obrigações proporcionais ao seu nível de criticidade. O critério de dimensão aplica-se a empresas com mais de 50 colaboradores ou volume de negócios superior a 10 milhões de euros. Algumas exceções aplicam-se a entidades de menor dimensão em setores críticos.
As entidades dividem-se em duas categorias:
• Entidades Essenciais (EE): setores de maior criticidade, como energia, transportes, saúde, infraestruturas digitais e administração pública
• Entidades Importantes (EI): setores de criticidade relevante, como serviços postais, gestão de resíduos, indústria transformadora, fornecedores de serviços digitais e investigação
As alterações propostas beneficiarão cerca de 28.700 empresas, incluindo 6.200 PME, através de regras mais simples e custos reduzidos de conformidade.
Se não tiver a certeza de que categoria se enquadra, o CNCS disponibiliza orientações para classificação em cncs.gov.pt. A identificação junto do CNCS na plataforma eletrónica é uma das primeiras obrigações formais.
As obrigações concretas para uma PME abrangida
1. Designar um responsável de cibersegurança
Designar um responsável de cibersegurança e notificar o CNCS no prazo de 20 dias úteis após a entrada em vigor é uma das primeiras obrigações formais da NIS2.
Este responsável não tem de ser um especialista técnico a tempo inteiro. Em PME sem equipa de TI dedicada, pode ser um colaborador com funções de gestão que assume esta responsabilidade formalmente, apoiado por um parceiro externo de cibersegurança.
2. Registar a empresa na plataforma do CNCS
As entidades devem identificar-se na plataforma eletrónica do CNCS. O registo deve acontecer dentro de 60 dias após a plataforma estar disponível, e as entidades são responsáveis por manter essa informação atualizada.
3. Realizar avaliações de risco regulares
Realizar avaliações de risco regulares aos sistemas de informação e redes da organização é uma obrigação contínua, não um exercício pontual.
Para uma PME sem equipa de TI interna, esta avaliação pode ser realizada por um parceiro externo especializado. O importante é que existe, é documentada e é revista periodicamente.
4. Implementar medidas técnicas proporcionais ao risco
Implementar medidas proporcionais ao risco inclui políticas de segurança, controlo de acessos, encriptação, backups e planos de continuidade.
Na prática, para uma PME, isto traduz-se em:
• Controlo de acessos com autenticação multifator em todos os sistemas críticos
• Backups regulares, testados e armazenados em localização separada
• Encriptação de dados sensíveis em repouso e em trânsito
• Política de atualização de software e sistemas operativos
• Plano de resposta a incidentes documentado
5. Notificar incidentes ao CNCS nos prazos legais
Reportar incidentes de cibersegurança significativos ao CNCS em 24 horas após tomar conhecimento é uma obrigação com prazos apertados.
O processo de notificação tem três fases: alerta inicial em 24 horas, relatório intercalar em 72 horas e relatório final em 30 dias. Para uma PME sem processo de gestão de incidentes definido, cumprir estes prazos sem preparação prévia é praticamente impossível.
Tabela comparativa: entidades essenciais vs. entidades importantes
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
A responsabilidade pessoal dos gestores: o que mudou
Este é o aspeto da NIS2 que mais surpreende os empresários de PME. A lei não responsabiliza apenas a empresa. Responsabiliza os seus administradores pessoalmente.
A nova lei reforça a responsabilidade direta dos órgãos de administração na gestão dos riscos de cibersegurança. A falta de supervisão adequada pode gerar responsabilidade e sanções para os próprios administradores.
Isto significa que o empresário que ignora a NIS2 não está apenas a expor a empresa a coimas. Está a expor-se pessoalmente a consequências legais em caso de incidente significativo que resulte de falta de medidas adequadas.
Plano de implementação para PME
Na Webtech, quando apoiamos PME na conformidade com a NIS2, organizamos a implementação em torno do que chamamos ao método RAMI: Registo, Avaliação, Medidas e Incidentes.
R: registo e classificação
O primeiro passo é confirmar se a empresa está abrangida e em que categoria. De seguida, registar na plataforma do CNCS e designar formalmente o responsável de cibersegurança.
O CNCS lançou o “Roteiro NIS2”, um programa de 60 ações de formação gratuitas que percorrerá o país para explicar às empresas e organismos públicos o que se espera deles. Estas ações são um ponto de partida acessível e gratuito para empresários que querem perceber as obrigações antes de contratar qualquer serviço externo.
A: avaliação de risco documentada
A avaliação de risco é o documento que prova que a empresa identificou as suas vulnerabilidades e definiu como as mitigar. Deve cobrir os sistemas de informação, as redes, os dados críticos e os fornecedores que acedem aos sistemas da empresa.
Para uma PME, uma avaliação de risco estruturada pode ser realizada em dois a três dias com o apoio de um parceiro especializado. O resultado é um documento que serve de base a todas as medidas técnicas a implementar.
M: medidas técnicas e organizacionais
Com a avaliação feita, implementam-se as medidas prioritárias. Numa PME sem equipa de TI dedicada, as medidas de maior impacto e menor complexidade de implementação são:
• Autenticação multifator em e-mail, ERP e acesso remoto
• Backup diário automatizado com cópia fora da rede principal
• Gestão de passwords com cofre de palavras-passe corporativo
• Política de atualizações automáticas para sistemas operativos e software crítico
• Formação básica de cibersegurança para todos os colaboradores
I: incidentes, notificação e plano de resposta
Um plano de resposta a incidentes não tem de ser um documento de 100 páginas. Para uma PME, um documento de quatro a seis páginas que define quem faz o quê em caso de ataque, como notificar o CNCS nos prazos legais e como comunicar com clientes e fornecedores é suficiente para cumprir o requisito e, mais importante, para agir com eficácia quando o incidente acontecer.
A janela de carência das coimas: o que significa para a sua PME
O período de 120 dias até à entrada em vigor do regime e os 12 meses subsequentes de carência de coimas constituem uma janela de oportunidade para estruturar o processo de adaptação da organização ao novo quadro regulatório.
Isto significa que, até aproximadamente abril de 2027, as coimas por incumprimento estão em período de carência para quem demonstre estar a trabalhar ativamente na conformidade. Esta janela não é um convite para adiar. É uma oportunidade para implementar sem a pressão imediata das sanções.
As coimas, quando aplicadas, são significativas. As contraordenações podem dar lugar à aplicação de coimas que podem atingir até 10 milhões de euros ou 2% do volume de negócios anual a nível mundial da entidade no exercício financeiro anterior, consoante o montante que for mais elevado.
Erros comuns das PME na abordagem à NIS2
Na nossa experiência com empresas portuguesas, estes são os erros que mais frequentemente complicam o processo de conformidade.
• Assumir que a NIS2 não se aplica sem verificar: muitas PME em setores abrangidos assumem que a lei é para grandes empresas. A verificação da elegibilidade é o primeiro passo obrigatório, não uma opção
• Tratar a NIS2 como um projeto de TI e não de gestão: a responsabilidade pessoal dos administradores significa que a NIS2 é uma decisão de gestão, não apenas um problema técnico para a equipa de TI.
• Adiar o registo no CNCS: o prazo de registo na plataforma é uma obrigação legal com data. Aguardar que o tema se resolva sozinho não é uma estratégia
• Implementar medidas sem documentar: a NIS2 não exige apenas que as medidas existam. Exige que sejam documentadas e que a empresa consiga demonstrar a conformidade ao CNCS
• Ignorar os fornecedores na avaliação de risco: um fornecedor que acede aos sistemas da empresa é um vetor de risco que tem de estar coberto na avaliação. A cadeia de fornecimento é explicitamente abrangida pela lei
Ferramentas e recursos para PME em Portugal
• CNCS (cncs.gov.pt): autoridade nacional de cibersegurança, com orientações, formulários de registo e informação sobre o Roteiro NIS2
• Roteiro NIS2 do CNCS: programa de formações gratuitas em todo o país para empresas abrangidas
• Plataforma de identificação do CNCS: registo obrigatório das entidades abrangidas
• Microsoft Secure Score: avaliação gratuita do nível de segurança para empresas que usam Microsoft 365
• Framework NIST Cybersecurity: referência internacional para estruturar políticas e avaliações de risco, adaptável a PME
FAQ
Como sei se a minha PME está abrangida pela NIS2?
O critério de dimensão aplica-se a empresas com mais de 50 colaboradores ou volume de negócios superior a 10 milhões de euros, em setores identificados nos Anexos I e II do Decreto-Lei n.º 125/2025. Se a sua empresa não cumprir estes critérios de dimensão e não atuar num setor crítico com exceção ao critério de dimensão, não está abrangida. Em caso de dúvida, o CNCS disponibiliza orientações de classificação em cncs.gov.pt.
O que acontece se não cumprir as obrigações da NIS2?
As contraordenações podem dar lugar à aplicação de coimas que podem atingir até 10 milhões de euros ou 2% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado. Além das coimas, a responsabilidade pessoal dos administradores é uma novidade relevante: em caso de incidente resultante de negligência na supervisão, os gestores podem ser pessoalmente responsabilizados.
Preciso de contratar um especialista de cibersegurança a tempo inteiro?
Não. A NIS2 exige a designação de um responsável de cibersegurança, mas não impõe que seja um colaborador a tempo inteiro nem um especialista técnico interno. Em PME sem equipa de TI dedicada, esta função pode ser desempenhada por um colaborador da gestão com apoio de um parceiro externo especializado, que assume as funções técnicas e de assessoria de conformidade.
Qual o prazo para me registar no CNCS?
O registo na plataforma eletrónica do CNCS deve acontecer dentro de 60 dias após a plataforma estar disponível, e as entidades são responsáveis por manter essa informação atualizada. A designação do responsável de cibersegurança tem um prazo adicional de 20 dias úteis após a entrada em vigor da lei. Recomendamos não aguardar pelo último dia: os processos de registo tendem a ter filas de espera nos períodos próximos dos prazos.
A NIS2 substitui ou complementa o RGPD?
Complementa. O RGPD foca-se na proteção de dados pessoais. A NIS2 foca-se na segurança das redes e sistemas de informação. Em muitos casos, as medidas de cibersegurança exigidas pela NIS2 reforçam também a conformidade com o RGPD, mas são obrigações distintas com autoridades supervisoras diferentes: o CNCS para a NIS2 e a CNPD para o RGPD.
A NIS2 chegou a Portugal. Com a conclusão do processo de transposição através do Decreto-Lei n.º 125/2025, as obrigações previstas no novo regime aplicam-se plenamente às entidades abrangidas, impondo requisitos reforçados em matéria de governação da cibersegurança, gestão de riscos e reporte de incidentes.
Para um empresário de PME sem equipa de TI dedicada, a NIS2 pode parecer um problema de especialistas. Não é. É uma obrigação legal com prazos, com coimas e com responsabilidade pessoal dos gestores.
A boa notícia é que a janela de carência das coimas ainda está ativa e o CNCS disponibiliza recursos gratuitos para apoiar a conformidade. O momento certo para agir é agora, enquanto há tempo para implementar sem pressão.
Na Webtech, apoiamos PME em todo o processo de conformidade com a NIS2: da verificação da elegibilidade à avaliação de risco, à implementação das medidas técnicas e à preparação do plano de resposta a incidentes. Se não sabe por onde começar, comece por aqui.
