Menu

Menu

Menu

Em destaque

Explore a análise da PwC aos principais Temas Atuais. Junte-se a nós.

Fique a par dos próximos eventos PwC. Contamos com a sua presença.

Menu

Menu

Menu

Menu

Menu

Menu

Menu

Em destaque

Conheça a Strategy&. Transforme o seu negócio com soluções estratégicas.

Com a Inforfisco, mantenha-se informado sobre toda a matéria fiscal.

A carregar resultados

Transposição da Diretiva NIS2

DL 125/2025: Novo Regime Jurídico da Cibersegurança em Portugal
Decreto Lei n.º 125/2025 – O novo Regime Jurídico da Cibersegurança em Portugal
  • Abril 06, 2026

O Decreto‑Lei n.º 125/2025 é o diploma que transpõe a Diretiva NIS2 para o ordenamento jurídico português, estabelecendo o novo Regime Jurídico da Cibersegurança aplicável a entidades públicas e privadas consideradas essenciais, importantes ou relevantes.

Na PwC, encontra toda a informação detalhada sobre as principais obrigações, prazos, medidas de cibersegurança e orientações práticas para garantir a conformidade. Acompanhe aqui todas as atualizações.

Tudo o que procura sobre o DL 125/2025

O que muda com o Decreto‑Lei n.º 125/2025?

Decreto‑Lei n.º 125/2025, ao transpor a Diretiva NIS2 (Diretiva (UE) 2022/2555), introduz um novo quadro legal em matéria de cibersegurança em Portugal, reforçando as exigências em matéria de governação, gestão de risco, adoção de medidas técnicas e organizacionais e reporte de incidentes. Este diploma define o novo Regime Jurídico da Cibersegurança, com impactos diretos na forma como as entidades abrangidas devem organizar‑se e assegurar a conformidade.

Para concretizar este Decreto-Lei, foi publicado o Projeto de Regulamento do Regime Jurídico da Cibersegurança, disponibilizado pelo Centro Nacional de Cibersegurança (CNCS). Este Regulamento define os termos de aplicação prática das principais obrigações legais, incluindo o funcionamento da plataforma eletrónica, os requisitos aplicáveis às diversas comunicações com o CNCS (e.g. comunicação das responsabilidades, incidentes, inventário de ativos, relatório anual) e as medidas técnicas de cibersegurança a aplicar pelas entidades.

O Regulamento encontra‑se em consulta pública até 22 de abril de 2026, através do Aviso n.º 5146/2026/2, publicado a 10 de março de 2026, durante a qual entidades e especialistas podem contribuir para o texto final.

A equipa de especialistas em Cibersegurança da PwC partilha consigo:

1. Calendário e prazos relevantes de implementação do DL 125/2025
2. Principais novidades do Projeto de Regulamento
3. Como a PwC apoia a conformidade com a NIS2

Avalie o impacto do DL 125/2025 na sua organização. Com a PwC, garanta apoio especializado na interpretação do novo Regime Jurídico da Cibersegurança e na preparação da sua organização.
Solicite uma reunião
 

A Diretiva NIS2 no contexto europeu e a sua transposição nacional

Compreenda o enquadramento europeu da Diretiva NIS2 que está na base do Decreto‑Lei n.º 125/2025.

  

Timeline de implementação do DL 125/2025 Calendário e prazos relevantes

Quais são os prazos do DL 125/2025?

O Decreto‑Lei n.º 125/2025 produz efeitos a 6 de abril, no entanto, existem alguns requisitos que estão dependentes da publicação final do Regulamento e da disponibilização da plataforma eletrónica do CNCS.

Um dos pilares centrais do novo enquadramento jurídico introduzido pelo DL 125/2025 é o procedimento de qualificação das entidades abrangidas. Este processo assenta na plataforma eletrónica, que será o principal meio para a autoidentificação, registo, comunicações formais e notificações obrigatórias, incluindo a notificação de incidentes de cibersegurança.

O funcionamento desta plataforma depende das regras que venham a ser definidas no Regulamento do Regime Jurídico da Cibersegurança, cujo projeto se encontra atualmente em consulta pública até 22 de abril de 2026.

Aceda abaixo ao detalhe de todos os prazos aplicáveis* e aos principais momentos do processo de implementação:

Timeline de implementação do DL 125/2025

* Vários prazos estão condicionados à publicação do Regulamento e à disponibilização da plataforma CNCS.

Outros prazos relevantes após a disponibilização da plataforma eletrónica por parte do CNCS

Após o lançamento da plataforma eletrónica, aplicam‑se os seguintes prazos para as entidades:

  • 30 dias – prazo para identificação e registo na plataforma pelas entidades que iniciem atividade após a entrada em vigor do Regime Jurídico da Cibersegurança.
  • 60 dias – prazo aplicável às entidades que já exerciam atividade antes da entrada em vigor do Regime, contado a partir da disponibilização da plataforma.
     

A sua empresa está preparada para cumprir com os requisitos do DL 125/2025 e os respetivos prazos?

A adaptação ao novo Regime Jurídico da Cibersegurança exige uma análise rigorosa das obrigações aplicáveis e do respetivo impacto na organização. A PwC apoia as entidades na interpretação do enquadramento legal, no planeamento e na implementação dos requisitos do DL 125/2025, promovendo uma abordagem estruturada e alinhada com as orientações das autoridades competentes.
Saiba como podemos ajudar Fale connosco
 

Projeto do Regulamento do Novo Regime Jurídico da Cibersegurança Principais novidades

O que muda com o DL 125/2025?

O Projeto de Regulamento do Novo Regime Jurídico da Cibersegurança vem clarificar e operacionalizar as obrigações previstas no diploma, definindo requisitos técnicos, procedimentais e de governance aplicáveis às entidades abrangidas.

Na secção abaixo destacamos as principais novidades introduzidas pelo Projeto de Regulamento, com foco no seu impacto prático, nos deveres de conformidade e nas implicações para a gestão do risco de cibersegurança. Clique e saiba tudo:

O Regulamento estabelece as regras completas de funcionamento da plataforma eletrónica do CNCS, que será o canal preferencial para:

  • Registo das entidades

  • Notificações obrigatórias

  • Comunicação de documentos

  • Reporte e notificações de incidentes de cibersegurança

  • Comunicação de papéis e responsabilidades

Todas as comunicações requeridas só serão possíveis após disponibilização da plataforma.

O Quadro Nacional de Referência para a Cibersegurança (QNRCS) será atualizado no âmbito deste processo e servirá como instrumento nacional para boas práticas.

O Projeto de Regulamento do Novo Regime Jurídico da Cibersegurança reforça que:

  • o QNRCS, baseado na NIST Cybersecurity Framework (CSF) 2.0, adota a sua estrutura e princípios de gestão do risco de cibersegurança reconhecidos internacionalmente, introduz agora uma nova função “Gerir”, que reforça a componente de governance da cibersegurança.
    Esta função foca‑se na definição de políticas, responsabilidades, processos de tomada de decisão, gestão do risco, conformidade legal e alinhamento da cibersegurança com a estratégia global da organização, complementando as funções já existentes (Identificar, Proteger, Detetar, Respondere Recuperar); e
  • as entidades essenciais e entidades importantes ficam obrigadas a cumprir medidas de cibersegurança mínimas (previstas no Anexo III) e distribuídas por três níveis de exigência, em função do seu perfil de risco e criticidade:

1. nível básico – 39 medidas
2. nível substancial – 75 medidas
3. nível elevado – 91 medidas

As entidades essenciais e importantes devem:

  • definir e implementar uma metodologia formal para Gestão de Risco;
  • utilizar a Matriz de Risco prevista no Anexo II, que define como quadro de referência dos valores de risco de diferentes cenários aplicados a diferentes setores e subsetores de atividade; e
  • avaliar risco residual e implementar medidas proporcionais.

As entidades públicas são classificadas em dois grupos (A e B), com medidas obrigatórias diferenciadas, conforme descrito no Anexo IV que descreve as Medidas de Cibersegurança Mínimas para Entidades Públicas Relevantes conforme a classificação das entidades.

5.1. Indicação do responsável de segurança e ponto de contacto permanente

  • A comunicação das pessoas designadas à autoridade competente deve ser feita via plataforma, após registo.


5.2. Relatório anual e lista de ativos

  • Entidades essenciais devem comunicar anualmente o relatório anual e a lista de ativos, através de modelos disponibilizados pelo CNCS. Entidades importantes comunicam apenas quando solicitadas.
  • O CNCS disponibilizará modelos de apresentação do relatório via plataforma.
  • A lista de ativos continua a abranger apenas ativos expostos.


5.3 Notificação de incidentes

  • Todas as comunicações são realizadas via plataforma eletrónica, a partir do momento que esteja disponibilizada. Não obstante, devem ser definidos meios/canais alternativos de reporte em caso de indisponibilidade da plataforma.
  • O projeto indica qual o conteúdo mínimo obrigatório a reportar.


5.4 Comunicações das Autoridades

  • As autoridades também comunicarão na área reservada da plataforma eletrónica.

Saiba como as novas obrigações do DL 125/2025 se aplicam à sua entidade e qual o seu impacto prático. Na PwC, apoiamos as empresas na identificação das obrigações de cibersegurança aplicáveis à sua realidade.
Fale connosco
 

Conformidade com o DL 125/2025 Como a PwC pode ajudar

A PwC dispõe de uma equipa multidisciplinar com experiência comprovada em cibersegurança, risco, compliance regulatório e implementação de regimes NIS/NIS2 em múltiplas jurisdições europeias. Entenda como podemos ajudar a sua organização no âmbito da Diretiva NIS2 em Portugal:

Avaliação (gap-analysis) de conformidade com os requisitos aplicáveis

Programas/roadmap de conformidade end‑to‑end, com prioridades e prazos definidos

Definição e implementação do quadro interno de governance 

Implementação das medidas técnicas baseadas no Regulamento e/ou QNRCS, ajustadas ao nível da entidade 

Suporte na preparação operacional de todas as comunicações requeridas com o CNCS via plataforma 

Serviços end-to-end de cibersegurança para suportar as necessidades das organizações
 

Precisa de apoio na conformidade com o DL 125/2025?

Apoiamos as empresas na interpretação, planeamento e implementação do novo Regime Jurídico da Cibersegurança.

  

Siga-nos

Os campos obrigatórios estão assinalados com um asterisco(*)

Ao submeter este formulário assume ter lido a nossa declaração de privacidade, dando o seu consentimento para que façamos o processamento de dados de acordo com a referida declaração (incluindo transferências internacionais). Se, a qualquer momento, mudar de ideias quanto à receção de informação sobre a PwC, poderá enviar-nos um email.

Contacte-nos

Marcelo Ferreira Rodrigues

Marcelo Ferreira Rodrigues

Cybersecurity & Privacy Lead Partner, PwC Portugal

Email
Luís Carlos Fernandes

Luís Carlos Fernandes

Cybersecurity & Privacy Director, PwC Portugal

Email
Fechar

© 2015 - 2026 PwC. Todos os direitos reservados. "PwC" refere-se à rede de entidades que são membros da PricewaterhouseCoopers International Limited (PwCIL), cada uma das quais é uma entidade legal distinta e não atuam como agentes da PwCIL, nem das restantes entidades membros da network. A PwCIL não presta serviços a clientes. A PwCIL não assumirá qualquer responsabilidade perante terceiros por atos ou omissões praticados no exercício da atividade profissional das suas firmas membros, nem exerce qualquer controlo sobre, ou os vincula juridicamente. Nenhuma das entidades pertencentes à rede PwC exerce qualquer controlo sobre, nem vincula juridicamente as demais entidades no exercício da sua atividade profissional pelo que não poderão as mesmas ser responsabilizadas, a que título for, perante terceiros por atos ou omissões praticados no exercício das respetivas atividades profissionais.