NIS2PME
EN Experimentar

Guia para PME

NIS2, DL 125/2025 e QNRCS 2026, explicados sem juridiquês

Três siglas, um objetivo: elevar a cibersegurança das organizações que sustentam a economia. Eis o que precisa de saber e o que isso significa na prática para a sua empresa.

O que é a diretiva NIS2?

A NIS2 (Diretiva (UE) 2022/2555) é a legislação europeia de cibersegurança que veio substituir a diretiva NIS original. O diagnóstico do legislador foi simples: os incidentes de cibersegurança multiplicaram-se, as cadeias de abastecimento tornaram-se um vetor de ataque e a primeira diretiva abrangia poucas organizações, com regras pouco uniformes entre países.

A NIS2 responde alargando drasticamente o âmbito para 18 setores, dos transportes à energia, da saúde aos serviços digitais, do fabrico de produtos críticos aos serviços postais, e endurecendo as obrigações e as sanções. Pela primeira vez, milhares de médias empresas (e algumas pequenas, em situações específicas) passam a ter obrigações legais de cibersegurança.

O que muda com o DL 125/2025 em Portugal?

As diretivas europeias precisam de ser transpostas para a lei nacional. Em Portugal, essa transposição faz-se através do Decreto-Lei n.º 125/2025, que estabelece o regime jurídico da segurança do ciberespaço e concretiza as exigências da NIS2: quem está abrangido, que medidas tem de adotar, que incidentes tem de notificar e que consequências existem em caso de incumprimento.

O DL 125/2025 classifica as organizações abrangidas em duas categorias:

  • Entidades essenciais — organizações de setores de elevada criticidade (energia, transportes, saúde, infraestrutura digital, entre outros), sujeitas ao regime de supervisão mais exigente;
  • Entidades importantes — organizações dos restantes setores abrangidos, com obrigações substanciais mas um regime de supervisão menos intrusivo.

O enquadramento depende do setor de atividade, da dimensão da empresa e, nalguns casos, de critérios específicos. Na NIS2PME, indica este enquadramento ao criar a conta, e a plataforma apresenta os controlos do QNRCS correspondentes ao nível da sua entidade.

O que é o QNRCS 2026?

Saber que está abrangido é o primeiro passo; saber o que fazer é o segundo. O Quadro Nacional de Referência para a Cibersegurança (QNRCS) é o referencial técnico português que operacionaliza as exigências legais em controlos concretos de segurança, organizados em 6 domínios: Gerir, Identificar, Proteger, Detetar, Responder e Recuperar.

A versão 2026 do QNRCS define 3 níveis de conformidade, proporcionais à dimensão, risco e criticidade de cada entidade:

  • Básico — 39 controlos: as práticas fundamentais de higiene de cibersegurança;
  • Substancial — 72 controlos: exigências reforçadas para maior exposição ao risco;
  • Elevado — 91 controlos: o patamar mais exigente, para as entidades de maior criticidade;
  • a que acrescem 16 controlos opcionais, num total de 107.

Estado do QNRCS 2026: a versão atual do Quadro esteve em consulta pública e a versão final ainda não foi publicada. A NIS2PME baseia-se na versão da consulta pública e será atualizada assim que a versão final sair, com preservação do trabalho já realizado na plataforma.

Que obrigações tem a minha empresa?

Em traços largos, as entidades abrangidas têm de:

  • Gerir o risco — adotar medidas técnicas e organizativas adequadas: políticas de segurança, gestão de ativos, controlo de acessos, cópias de segurança, segurança da cadeia de abastecimento, entre outras;
  • Notificar incidentes — comunicar incidentes significativos às autoridades competentes em prazos apertados (alerta inicial nas primeiras 24 horas, notificação detalhada em 72 horas e relatório final posterior);
  • Responsabilizar a gestão — os órgãos de administração têm de aprovar as medidas de gestão de risco, supervisionar a sua aplicação e receber formação em cibersegurança. A responsabilidade não é delegável no "informático";
  • Registar-se junto da autoridade nacional competente e manter a informação atualizada.

E se não cumprir?

O regime sancionatório é dos aspetos que mais distingue a NIS2 da geração anterior. A diretiva prevê coimas que podem atingir 10 milhões de euros ou 2% do volume de negócios mundial (o que for mais elevado) para entidades essenciais, e 7 milhões de euros ou 1,4% para entidades importantes. A isto acrescem poderes de supervisão que incluem auditorias, instruções vinculativas e, em casos extremos, a suspensão de certificações ou de funções de gestão.

Mas a motivação certa não é a coima: é que os controlos exigidos são, na sua maioria, práticas que protegem efetivamente o negócio, de ransomware a fraude e paragens de operação. A conformidade é o subproduto de uma empresa mais resiliente.

Nota: esta página é um resumo informativo destinado a PME e não constitui aconselhamento jurídico. Para o enquadramento legal exato da sua entidade, consulte os textos oficiais e, se necessário, apoio jurídico especializado.

Da teoria à prática

A NIS2PME transforma este quadro regulamentar num plano de ação concreto para a sua empresa.

Enquadramento

Indica o tipo de entidade e o nível de conformidade no registo, e a plataforma aplica os controlos do QNRCS correspondentes.

Gap-analysis

O questionário de diagnóstico cruza as suas práticas com os controlos do QNRCS e gera um plano de ações prioritárias.

Demonstração

Evidências organizadas e relatórios exportáveis para responder a auditores e autoridades.

Do quadro legal ao plano de ação

Indique o nível da sua entidade no registo, responda ao diagnóstico de 10 perguntas e receba um plano de ações prioritárias: os controlos do QNRCS a implementar primeiro.

Plataforma online em breve

A plataforma online (serviço alojado com contas de demonstração) está em fase final de preparação. Deixe o seu email e avisamos assim que puder experimentá-la.

Usado exclusivamente para o aviso de lançamento. Sem newsletters, sem partilha com terceiros.

Não quer esperar? A versão on-premises já está disponível: instale via Docker a partir do GitHub