A DL125/2025 - NIS2 é o novo enquadramento europeu de cibersegurança que estabelece regras obrigatórias para organizações de setores críticos e relevantes, exigindo medidas técnicas, organizativas e de governance para proteger sistemas, redes e serviços digitais.
Apoiamos a definição e implementação dos controlos necessários para garantir conformidade e proteger sistemas críticos.
Identificamos vulnerabilidades, avaliamos impacto e criamos planos de mitigação alinhados com os requisitos NIS2.
Preparamos a sua organização para responder rapidamente e cumprir os prazos obrigatórios de comunicação às autoridades.
Ajudamos a integrar a cibersegurança na governance, atribuindo responsabilidades e processos de decisão ao nível executivo.
Implementamos políticas, processos e evidências que suportam fiscalizações e ajudam a evitar coimas por incumprimento.
A DL125/2025 - NIS2 eleva a cibersegurança a um plano legal e estratégico, obrigando as organizações a planear, documentar, implementar e demonstrar continuamente os processos, controlos e evidências que comprovam proteção.
Prestamos apoio completo para ajudar a sua organização a avaliar, melhorar e manter as medidas de cibersegurança exigidas pela DL125/2025 - NIS2.
Garantir que os serviços essenciais à sociedade continuam funcionais mesmo perante ataques.
Obrigar as organizações a prevenir, bloquear e responder a ataques em vez de reagirem tarde.
Criar um nível mínimo comum de cibersegurança na UE, reduzindo diferenças entre países.
Responsabilizar a gestão de topo pela cibersegurança e gestão do risco.
Assegurar uma comunicação rápida e coordenada com autoridades e equipas internas.
Garantir que fornecedores e serviços externos não se tornam pontos fracos de segurança.
O novo enquadramento introduz sanções significativas de acordo com o tipo de entidade e a gravidade do incumprimento.
A diretiva distingue dois grandes grupos de entidades: Entidades Essenciais e Entidades Importantes, abrangendo organizações de setores críticos e estratégicos para a economia e sociedade, tanto públicas como privadas.
Se a sua organização atua num dos setores abaixo, é muito provável que esteja abrangida pela DL125/2025 - NIS2.
Grandes organizações, prestadores críticos e entidades da administração pública com elevado nível de integração digital.
Organizações de setores estratégicos que, embora não sejam classificadas como infraestruturas críticas, mantêm impacto relevante, incluindo:
Administração Pública
A nova legislação estabelece responsabilidades claras e incontornáveis para os órgãos de gestão, direção e administração das entidades essenciais e importantes.
A DL125/2025 - NIS2 exige a implementação de um sistema estruturado de gestão de riscos de cibersegurança. Este sistema protege ativos críticos, reduz o impacto de incidentes e assegura alinhamento com as orientações do CNCS, de forma proporcional à dimensão e exposição ao risco da entidade.
Definição de responsabilidades e implementação de medidas técnicas, operacionais e organizativas para proteger redes e sistemas críticos, gerir risco e mitigar o impacto de incidentes.
Medidas de cibersegurança ajustadas à dimensão da organização, ao nível de exposição e ao impacto potencial dos incidentes, protegendo todos os ativos críticos e o ambiente físico sem excessos nem insuficiências.
Implementação das orientações, matrizes de risco e requisitos mínimos definidos pelo CNCS, com medidas e níveis de conformidade adequados a cada setor e dimensão de entidade.
A DL125/2025 - NIS2 exige medidas eficazes de cibersegurança, adaptadas ao perfil de risco de cada organização.
Ajudamos a sua organização a definir, implementar e manter estas medidas de forma prática e alinhada com a legislação.
Estas entidades devem adotar um conjunto abrangente de medidas de cibersegurança desenhadas para prevenir incidentes, garantir continuidade de negócio e reduzir o impacto de falhas de segurança.
Apoiamos a sua organização na implementação das medidas exigidas, assegurando alinhamento com a DL125/2025 - NIS2.
Gestão eficaz de incidentes de cibersegurança.
Inclui gestão de backups, recuperação de desastre e gestão de crises.
Segurança das relações entre fornecedores e prestadores de serviços.
Desde a aquisição e desenvolvimento até à manutenção, incluindo gestão de vulnerabilidades.
Políticas e procedimentos para avaliar o desempenho das medidas de gestão de risco.
Práticas básicas e formação contínua em cibersegurança para todos os colaboradores e órgãos de gestão.
Políticas e procedimentos para utilização de criptografia e cifragem.
Políticas de controlo de acesso e práticas de gestão de ativos.
Implementação de autenticação multifator ou contínua, comunicações seguras e sistemas de emergência.
As entidades públicas devem cumprir as medidas de cibersegurança definidas pelo CNCS e ficam sujeitas a supervisão e execução, com requisitos específicos por setor e dimensão.
Ajudamos a implementar os requisitos, preparar auditorias e responder à ação supervisora.
Obrigação de cumprir as medidas de cibersegurança estabelecidas pelo CNCS.
O CNCS define medidas de cibersegurança ajustadas à proporcionalidade de cada entidade.
As entidades ficam sujeitas às medidas de supervisão e execução previstas na nova legislação.
Os membros da gestão, direção e administração podem ser responsabilizados individualmente se a organização não cumprir as obrigações legais da DL125/2025 - NIS2.
A responsabilidade pelo cumprimento não pode ser transferida para terceiros. A gestão tem de garantir que as medidas são aplicadas e acompanhadas.
O incumprimento pode ter impacto direto tanto na organização como na respetiva gestão, incluindo:
A DL125/2025 - NIS2 exige que a cibersegurança seja compreendida e aplicada em toda a organização. Por isso, a formação deve abranger a gestão, equipas técnicas e todos os colaboradores, garantindo conhecimento, preparação e boas práticas no dia a dia.
Formação focada nas responsabilidades legais e na tomada de decisão em cibersegurança, ajudando a gestão a compreender o seu papel na mitigação de risco e no cumprimento.
Formação especializada em segurança da informação, resposta a incidentes e análise de ameaças, para prevenir, detetar e responder com eficácia.
Ações de sensibilização para boas práticas de cibersegurança, incluindo phishing, engenharia social e ciber-higiene, reduzindo o risco de erro humano.
Para cumprir a DL125/2025 - NIS2, a sua organização deve ter pessoas designadas como responsáveis pela cibersegurança e pela comunicação com a autoridade competente.
Estas funções ajudam a garantir resposta rápida e cumprimento das obrigações legais.
Esta função deve estar disponível 24/7 durante períodos de ativação e pode ser assegurada por uma pessoa ou equipa responsável pela comunicação com a autoridade de cibersegurança.
A certificação ajuda a demonstrar que a sua organização segue boas práticas e requisitos legais. No âmbito da DL125/2025 - NIS2, pode ser exigida para reforçar a segurança e comprovar a conformidade perante a autoridade competente.
Ajuda a comprovar que as medidas de cibersegurança implementadas pela organização são adequadas e seguem boas práticas reconhecidas.
Garante que produtos e serviços TIC cumprem requisitos de cibersegurança, quer sejam internos quer fornecidos por terceiros.
As certificações podem ser usadas como evidência de cumprimento da DL125/2025 - NIS2 e facilitam auditorias, inspeções e processos de supervisão.
Entidades essenciais, importantes e públicas relevantes devem notificar incidentes significativos à autoridade competente de cibersegurança.
A mera notificação de um incidente não gera, por si só, responsabilidade acrescida para a entidade notificante, incentivando transparência e cooperação.
As notificações devem ser submetidas na plataforma eletrónica do CNCS, permitindo comunicação simultânea a várias autoridades relevantes.
A notificação não dispensa o cumprimento de outras obrigações específicas de reporte de incidentes, incluindo as exigidas por outras autoridades competentes.
As medidas de supervisão explicam como a sua organização será acompanhada no cumprimento da NIS2.
O objetivo é identificar riscos, avaliar práticas de cibersegurança e garantir que a organização se mantém no caminho certo.
Entidades Essenciais: inspeções no local e controlos aleatórios.
Entidades Importantes: inspeções no local e supervisão remota ex post.
Entidades Essenciais: auditorias regulares, direcionadas ou ad hoc.
Entidades Importantes: auditorias direcionadas ou ad hoc.
Baseadas em critérios de risco objetivos, transparentes e não discriminatórios.
Acesso a dados, documentos e evidências que comprovem a aplicação de políticas e procedimentos de cibersegurança.
Quando são identificadas necessidades de melhoria ou situações de incumprimento, podem ser aplicadas medidas de execução.
Estas medidas permitem corrigir situações de forma estruturada, com foco no apoio e no cumprimento eficaz das obrigações.
Emissão de um aviso sobre a infração identificada, indicando de forma clara as obrigações legais ou regulatórias em causa.
Emissão de instruções obrigatórias, com definição de prazo para adotar medidas corretivas ou preventivas que corrijam deficiências ou infrações.
Situação em que as medidas exigidas não são corrigidas dentro do prazo definido pela autoridade competente.
Suspensão de certificações, autorizações ou licenças, ou ordem dirigida a organismos de certificação para a respetiva suspensão, quando aplicável.
Imposição de sanções pecuniárias, de acordo com o regime sancionatório aplicável e em função da gravidade e persistência da infração.
Disponível globalmente com acesso direto aos nossos especialistas em cibersegurança a qualquer momento.
Estamos aqui para ajudar em tudo, desde parcerias a apoio a projetos ou questões gerais.
De Portugal para o mundo
+351 964 579 823
Chamada para rede móvel nacional
Disponível 24 horas por dia, 7 dias por semana, 365 dias por ano
Entre em contacto connosco e responderemos o mais rápido possível com respostas claras.
