Portugal está na via da implementação da NIS2, avançando para a adoção formal da Diretiva NIS2 da UE na legislação nacional. Embora a legislação ainda não tenha entrado em vigor, os projectos de propostas já foram aprovados e estão agora a avançar no Parlamento. Uma vez promulgada, a lei terá impacto numa vasta gama de indústrias, aplicando-se tanto a organizações do sector público como do sector privado. Este facto representa um marco importante no reforço do quadro de cibersegurança de Portugal e no seu alinhamento com as normas da UE, salientando a necessidade urgente de as organizações começarem a preparar-se para a conformidade com bastante antecedência.
Isto é muito mais do que apenas uma atualização regulamentar a observar - é um claro apelo à ação para que todas as organizações que operam em Portugal iniciem agora os seus esforços de preparação para o NIS2.
O que é o NIS2?
A NIS2 (Network and Information Security Directive 2) é a diretiva actualizada da União Europeia relativa à cibersegurança, destinada a melhorar a ciber-resiliência global das infra-estruturas críticas e dos serviços essenciais. Substitui a Diretiva SRI original com um âmbito mais alargado, requisitos mais rigorosos e uma aplicação mais forte.
A NIS2 aplica-se a entidades essenciais e importantes em todos os sectores, tais como:
- Energia, transportes, sector bancário, saúde e água
- Infra-estruturas digitais e plataformas em linha
- Fabrico de produtos críticos
- Administração pública
Ao contrário da diretiva original, a NIS2 introduz a responsabilização pessoal dos líderes de topo, prazos mais apertados para a comunicação de incidentes e uma ênfase clara nas medidas de segurança centradas no ser humano, incluindo a formação do pessoal, os processos de governação e a gestão de riscos nas cadeias de abastecimento.
Atrasos e riscos na implementação do NIS2 em Portugal
Portugal devia inicialmente transpor a NIS2 para o direito nacional até 17 de outubro de 2024. No entanto, devido a atrasos políticos e legislativos, este prazo não foi cumprido.
De acordo com a PwC Portugal, a Comissão Europeia emitiu uma notificação formal a Portugal em maio de 2025, estabelecendo um prazo de dois meses para finalizar esta transposição - um prazo que deveria expirar no início de julho de 2025. Apesar disso, a aprovação parlamentar formal ainda não foi concedida.
Embora ainda não esteja oficialmente confirmado que Portugal não cumpriu este prazo, o calendário apertado e o processo legislativo em curso aumentam o risco de processos por infração na UE e criam incerteza para as organizações que tentam cumprir as novas obrigações.
O que as organizações portuguesas precisam de saber sobre a conformidade com o NIS2
Apesar de a lei ainda não ter sido formalmente promulgada, as organizações portuguesas, especialmente as de sectores críticos, devem agir urgentemente para se prepararem para a conformidade com a NIS2. Esperar pela legislação formal já não é uma opção viável.
As principais áreas a focar incluem:
- Governação e gestão do risco: Estabelecer políticas e procedimentos claros de cibersegurança que satisfaçam os requisitos alargados da NIS2.
- Deteção e notificação de incidentes: Implementar processos mais rápidos e abrangentes para identificar e notificar as autoridades sobre incidentes informáticos.
- Formação e sensibilização do pessoal: Dar prioridade à cibersegurança centrada no ser humano, garantindo que os funcionários estão equipados para reconhecer e responder eficazmente às ciberameaças.
- Segurança da cadeia de abastecimento: Avaliar e gerir os riscos em toda a cadeia de abastecimento para evitar vulnerabilidades indirectas.
A importância da conformidade atempada com o NIS2 para a sua organização
O não cumprimento da Diretiva NIS2 pode levar a graves sanções financeiras, danos duradouros à reputação e perturbações operacionais significativas que afectam todos os níveis da sua organização. À medida que a União Europeia reforça a regulamentação em matéria de cibersegurança, a fasquia para a proteção das infra-estruturas críticas e dos serviços digitais aumenta significativamente. Isto torna a preparação atempada e completa não só aconselhável, mas também essencial para todas as organizações dos sectores público e privado que operam na UE.
A MetaCompliance especializa-se em orientar as organizações através destes complexos cenários regulamentares, oferecendo uma plataforma de cibersegurança centrada no ser humano que integra na perfeição a formação envolvente do pessoal, a gestão automatizada dos riscos e a simplificação dos relatórios de conformidade. As nossas soluções garantem que a sua organização se mantém totalmente protegida, em conformidade e resiliente contra a evolução das ciberameaças.
Descarregue o nosso guia gratuito Navigating NIS2: Essential Insights for EU Organisations, ou contacte-nos hoje mesmo para saber como o podemos ajudar a navegar com sucesso no percurso de conformidade com o NIS2 com confiança e clareza.