Cibersegurança PME: Guia da NIS2 em Portugal 2026
A NIS2 entra em vigor em Portugal a 3 de abril de 2026. Veja se a sua PME está abrangida, as obrigações, os prazos de notificação e as coimas.
A cibersegurança deixou de ser um tema só para o departamento de informática das grandes empresas. A 3 de abril de 2026 entram em vigor em Portugal as regras que transpõem a Diretiva Europeia NIS2, através do Decreto-Lei n.º 125/2025, e com elas chega um regime jurídico que obriga muitas empresas a tratar a segurança digital como uma responsabilidade da gestão, com prazos, medidas obrigatórias e coimas que pesam mesmo no balanço.
A primeira reação de muitas PME é assumir que isto não lhes diz respeito. Às vezes é verdade. Mas a NIS2 tem duas portas de entrada: a obrigação direta, para quem ultrapassa os limites de dimensão, e a obrigação indireta, através da cadeia de abastecimento, que apanha empresas pequenas que fornecem serviços a entidades abrangidas. Se vende software, alojamento, manutenção ou qualquer serviço digital a uma empresa grande, é provável que lhe comecem a exigir provas de que cumpre, mesmo que a lei não o obrigue diretamente.
Vale a pena perceber onde está antes de a fiscalização começar. Aqui fica o que a NIS2 exige, quem fica abrangido, e o que uma PME deve fazer já para não ser apanhada de surpresa.
Quem fica abrangido (e quem o é sem saber)
A regra base aplica-se a empresas com mais de 50 colaboradores ou volume de negócios superior a 10 milhões de euros, em setores considerados essenciais ou importantes: energia, saúde, transportes, banca, infraestruturas digitais, administração pública e fornecedores de serviços de TIC, entre outros.
O ponto que escapa à maioria é a cadeia de abastecimento. Uma das medidas obrigatórias da NIS2 é a segurança dos fornecedores, o que significa que as empresas abrangidas vão exigir garantias a quem trabalha com elas. Uma software house de 12 pessoas pode não estar diretamente sujeita à lei e, ainda assim, ver-se obrigada por contrato a cumprir grande parte das mesmas medidas porque um cliente grande as impõe.
Em termos simples
Se a sua empresa é grande o suficiente, a NIS2 aplica-se diretamente. Se é pequena mas fornece quem é grande, a NIS2 chega-lhe pela porta do contrato. Em qualquer dos casos, convém estar preparado.
As obrigações e os prazos que contam
A NIS2 não é uma checklist de produtos a comprar. Exige um conjunto de medidas de gestão de risco proporcionais à dimensão e à exposição da empresa. Na prática, as entidades abrangidas têm de:
- Designar um responsável de cibersegurança e notificar o CNCS (Centro Nacional de Cibersegurança) no prazo de 20 dias úteis após a entrada em vigor.
- Implementar medidas técnicas e organizativas: análise de risco, políticas de segurança, controlo de acessos, encriptação, cópias de segurança e planos de continuidade do negócio.
- Garantir a segurança da cadeia de abastecimento, avaliando o risco dos fornecedores de serviços digitais.
- Formar a administração e os colaboradores sobre riscos e boas práticas de cibersegurança. A formação dos órgãos de gestão não é opcional.
Há ainda obrigações de comunicação de incidentes com prazos apertados: um alerta inicial em 24 horas, uma notificação detalhada em 72 horas e um relatório final no prazo de um mês. Quem nunca preparou um processo de resposta a incidentes descobre, no pior momento possível, que 24 horas passam depressa.
As coimas, e porque a gestão é responsável
O que mudou de tom com a NIS2 foi a responsabilização. As coimas chegam a 10 milhões de euros ou 2% do volume de negócios global para entidades essenciais, e a 7 milhões de euros ou 1,4% para entidades importantes, conforme o valor mais elevado.
Mais relevante para uma PME: a responsabilidade é da administração. A lei obriga os órgãos de gestão a aprovar e supervisionar as medidas de cibersegurança, e o incumprimento pode gerar responsabilidade pessoal dos gestores. Deixou de ser um problema que se delega no departamento informático e se esquece. É uma decisão de gestão, com nome e assinatura.
O prazo dos 20 dias é real
A designação do responsável de cibersegurança junto do CNCS tem um prazo curto a contar da entrada em vigor. É a primeira coisa a tratar se a sua empresa está abrangida, porque é a mais fácil de falhar por mera distração administrativa.
O que uma PME deve fazer já
Mesmo que não tenha a certeza se está abrangida, há trabalho que compensa começar agora, porque reduz risco real e antecipa o que os clientes vão pedir.
- Faça o teste de âmbito. Confirme a dimensão, o setor e a sua posição na cadeia de abastecimento de clientes maiores. Em caso de dúvida, assuma que vai ter de provar conformidade.
- Trate o básico de higiene digital. Autenticação em dois fatores, cópias de segurança testadas, gestão de acessos e atualizações em dia resolvem a maior parte do risco com pouco investimento.
- Escreva um plano de resposta a incidentes. Quem comunica, em que prazo, a quem. Um documento de uma página vale mais do que a improvisação às 3 da manhã.
- Reveja os contratos com fornecedores de software. A segurança da cadeia é uma obrigação, e os seus fornecedores fazem parte da sua superfície de ataque.
A NIS2 cruza-se com o resto da transição digital que muitas PME já têm em mãos. Se está a digitalizar a empresa, vale a pena ler também o guia dos apoios à digitalização de PME em 2026, que podem cobrir parte do investimento em segurança, e o guia da conformidade de acessibilidade web, outra obrigação legal com prazo a cumprir.
A Lusivision é um estúdio português de software e trata a segurança como parte da qualidade de engenharia, não como um extra. Se quer perceber se está abrangido e o que precisa de fazer primeiro, fale connosco. A consulta inicial não tem qualquer custo e respondemos em 24 horas.
