Site Search Site Search

A carregar resultados

Cibersegurança – Diretiva NIS 2

Como as organizações se podem preparar para a NIS 2?

  • Junho 25, 2025

Portugal em corrida contra o tempo para cumprir exigências de cibersegurança da UE

Portugal encontra-se, juntamente com mais 18 Estados Membros, numa corrida contra o tempo para concretizar a transposição da Diretiva NIS 2 para contexto nacional. Uma corrida que deveria ter sido de 2 anos, transforma-se agora num objetivo de 2 meses que gera preocupação tanto ao nível europeu como nacional, para todos aqueles que estão abrangidos por esta nova estratégia de cibersegurança europeia.

Esta situação coloca em risco o cumprimento das novas exigências de cibersegurança definidas pela UE e levanta dúvidas, entre as entidades abrangidas, quanto às obrigações legais, prazos e possíveis penalizações.

Como podem as organizações proteger-se durante o atraso na transposição da Diretiva? E o que podem fazer, na prática, para mitigar riscos e prepararem-se para as futuras exigências legais da UE? Saiba tudo com a ajuda dos nossos especialistas em Cibersegurança.

A transposição da NIS 2 em Portugal: o que já aconteceu e o que falta cumprir

Publicada a 14 de dezembro de 2022(1), a Diretiva NIS 2 foi desenvolvida com o objetivo de alargar o âmbito de aplicação da Diretiva NIS, quer no contexto dos setores, empresas e entidades abrangidos, quer no que diz respeito às obrigações e medidas já previstas anteriormente em matéria de cibersegurança. O objetivo é que este documento seja a base de harmonização entre Estados Membros que permita garantir um elevado nível de cibersegurança de forma transversal a toda a União Europeia.

Inicialmente, estaria previsto que todos os Estados Membros transpusessem a Diretiva NIS 2 para o contexto nacional até ao dia 17 de outubro de 2024(1).

Em Portugal, mais de 7 meses depois da data final expectável, o processo de transposição da Diretiva NIS 2 ainda está a decorrer.

A 6 de fevereiro de 2025, a proposta de lei foi aprovada pelo Conselho de Ministros, a partir do qual segue para aprovação no Parlamento, após um período em que o documento se encontrou em consulta pública, entre 22 de novembro e o final de dezembro de 2024(2).

Era expectável que esta aprovação no Parlamento acontecesse a 20 de março de 2025, data para a qual estava agendada. No entanto, a 11 de março de 2025, a instabilidade política instalada em Portugal e a rejeição da moção de confiança apresentada pelo Governo fez com que crescesse a incerteza relativamente à aprovação da proposta da lei de transposição da Diretiva NIS 2, ficando dependente da tomada de posse da nova legislatura, que decorreu no passado dia 5 de junho. Este atraso não só expõe Portugal a possíveis coimas atribuídas pela União Europeia, como tem gerado nas entidades a incerteza sobre as medidas a aplicar e em que períodos, se estarão ou não sujeitas a coimas e, nalguns casos, se estarão ou não, inclusivamente, abrangidas pela Diretiva.

A 7 de maio de 2025, Portugal é um dos 19 Estados Membros identificados pela Comissão Europeia por não ter notificado a transposição integral da Diretiva NIS 2 para o contexto nacional(3). Como consequência deste parecer, estes países têm apenas 2 meses para tomar as medidas necessárias para cumprimento da transposição. Dos 27 Estados Membros, apenas 9 cumpriram com as datas definidas e não estão sujeitos à remissão do seu caso ao Tribunal de Justiça da União Europeia(3).

Principais preocupações das organizações com a NIS 2: incertezas regulatórias e desafios na implementação

Embora o documento de consulta pública represente uma base sólida daquilo que poderá vir a ser a lei nacional, o atual texto prevê que a concretização e regulamentação apenas ocorrerá por via de instruções técnicas a emitir pelo CNCS, não estando previsto qual a sua data de emissão. Esta incerteza traz consigo várias preocupações e dificuldades enfrentadas pelas empresas e organizações abrangidas pela NIS 2, tais como:

  • dificuldade em planear e implementar medidas de segurança e/ou investimento tecnológico relativamente aos requisitos legais específicos a ser transpostos;
  • não conformidade com os padrões de segurança exigidos que podem levar a penalizações;
  • perda de vantagem competitiva face a outras empresas do mesmo mercado localizadas em países da UE onde a NIS 2 é já uma realidade legal;
  • aumento da exposição a ataques de cibersegurança por falta de adoção de práticas e requisitos minimos de segurança; e
  • diminuição de reputação/confiança dos clientes por falta de alinhamento com as melhores práticas de cibersegurança e segurança da informação.

Além destas preocupações, tem-se verificado, de forma crescente, preocupação das organizações, relativamente ao facto dos titulares dos órgãos de gestão, direção e administração poderem responder por ação ou omissão por infrações previstas na transposição da NIS 2, conforme o artigo 25.º da Diretiva.

Estas preocupações remetem-nos para a clara necessidade em acelerar o processo de transposição da NIS 2 para que estejamos preparados para responder às exigências e proteger dados, serviços, sistemas e operações.

Como se devem preparar as organizações para a NIS 2?

Independentemente da incerteza de implementação, e de muitas das obrigações serem apenas definidas posteriormente, as organizações devem começar a preparar-se para a NIS 2. Em primeiro lugar, deve existir uma consciência sobre a maturidade do ambiente face aos tópicos de medidas de segurança referidos na Diretiva.

Com base na análise de maturidade, considerando a complexidade de alguns dos tópicos, devem ser priorizados os tópicos com menos maturidade para uma melhor preparação do ambiente. Os tópicos em âmbito da NIS 2 são(4)

■ análise de risco;
■ tratamento de incidentes;
■ continuidade das atividades;
■ segurança da cadeia de abastecimento;
■ segurança na aquisição, desenvolvimento e manutenção dos sistemas de rede e informação;
■ políticas e procedimentos para avaliar a eficácia das medidas de gestão dos riscos de cibersegurança;
■ práticas básicas de ciber-higiene e formação em cibersegurança;
■ políticas e procedimentos relativos à utilização de criptografia;
■ segurança dos recursos humanos; e
■ autenticação.

Começar ou continuar a dar atenção aos tópicos mencionados, permitirá que as organizações se prepararem de forma rápida e inteligente para as exigências que a nova lei nacional pode impor. Independentemente das obrigações legais, o cumprimento das imposições e medidas que cobrem estes pilares representam ações fundamentais no aumento do nível de maturidade e resiliência em matéria de cibersegurança e segurança da informação.

A importância de nos protegermos está na antecipação através de ações preventivas, ao invés de remediar situações que já poderiam ter sido previstas. É da responsabilidade de todas as camadas empresariais e organizacionais, com especial destaque para os órgãos de administração, a preocupação de nos protegermos contra, cada vez mais, ataques de cibersegurança, mesmo antes de essa obrigatoriedade legal ser imposta. Se o fizermos, mais do que protegermos a nossa organização de coimas, estaremos a protegê-la de ataques, disrupções operacionais e, em casos mais consequentes, de perdas de confiança com os clientes e o mercado.

Gostaria de saber se a sua organização está abrangida pela Diretiva NIS 2? A PwC disponibiliza uma ferramenta de avaliação, NIS 2 Scoping, que lhe dá a possibilidade de perceber se está abrangido pela Diretiva.
Faça o teste Fale com um especialista

__
Marco Tavares Pereira
Cybersecurity & Privacy Senior Manager, PwC Portugal

Inês Ferreira Gomes
Cybersecurity & Privacy Senior Consultant, PwC Portugal
 

Referências

(1) Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022
(2) Novo Regime Jurídico de Cibersegurança em consulta pública
(3) Commission calls on 19 Member states to fully transpose the NIS2 Directive
(4) Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022
 

Fortaleça a segurança da sua organização

Explore as nossas soluções de cibersegurança e garanta a proteção dos seus dados, sistemas e processos com um ambiente digital seguro.

Explore os serviços

Diretiva NIS 2 – apoio à transposição e implementação

Prepare a sua organização para a Diretiva NIS 2 com a PwC. Reduza riscos, cumpra os prazos legais e implemente medidas de cibersegurança para garantir conformidade.

Saiba tudo aqui

Contacte-nos

Marketing

Fale connosco, PwC Portugal

Email
Siga-nos
Assurance Advisory Tax Indústrias Sala de imprensa Carreiras PwC em Portugal Contacte-nos

© 2015 - 2025 PwC. Todos os direitos reservados. "PwC" refere-se à rede de entidades que são membros da PricewaterhouseCoopers International Limited (PwCIL), cada uma das quais é uma entidade legal distinta e não atuam como agentes da PwCIL, nem das restantes entidades membros da network. A PwCIL não presta serviços a clientes. A PwCIL não assumirá qualquer responsabilidade perante terceiros por atos ou omissões praticados no exercício da atividade profissional das suas firmas membros, nem exerce qualquer controlo sobre, ou os vincula juridicamente. Nenhuma das entidades pertencentes à rede PwC exerce qualquer controlo sobre, nem vincula juridicamente as demais entidades no exercício da sua atividade profissional pelo que não poderão as mesmas ser responsabilizadas, a que título for, perante terceiros por atos ou omissões praticados no exercício das respetivas atividades profissionais.