O novo regime jurídico da Cibersegurança

Resumo: O novo Regime Jurídico da Cibersegurança, que aqui descrevemos, representa uma mudança de paradigma nas obrigações impostas a uma vasta gama de entidades, sobretudo no que respeita à prevenção e gestão de incidentes, bem como à gestão dos riscos de cibersegurança.

I. Enquadramento

O Decreto-Lei n.º 125/2025 de 4 de dezembro, na sequência da Lei n.º 59/2025 de 22 de outubro^[1], que autorizou o governo a transpor a Diretiva (UE) 2022/2555, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União, a denominada Diretiva NIS2 (Network and Information Security Directive 2) visa aprovar o Regime Jurídico da Cibersegurança (doravante, “RJC”).

O referido Decreto-Lei, também veio alterar o artigo 16.º da Lei n.º 53/2008, de 29 de agosto (doravante, “Lei da Segurança Interna”) e o artigo 2.º da Lei n.º 109/2009, de 15 de setembro (doravante, “Lei do Cibercrime”). Adicionalmente, veio também alterar o artigo 13.º da Lei n.º 16/2022, de 16 de agosto (“Lei das Comunicações Eletrónicas”).

O RJC entra em vigor 120 dias após a sua publicação (artigo 11.º do RJC).

II. Principais novidades

Passa-se a destacar as principais novidades face ao regime anterior, tendo sido revogada o regime jurídico da segurança do ciberespaço na Lei n.º 46/2018, de 13 de agosto.

1. Alargamento do âmbito de aplicação

Este novo enquadramento legal distingue-se por alargar significativamente o seu âmbito de aplicação, passando a abranger um conjunto mais vasto de setores considerados críticos (como os serviços postais e de estafeta, gestão de resíduos, produção, transformação e distribuição de produtos e indústria transformadora – constantes do anexo II do diploma) entre outros relevantes para a economia e segurança nacional.

2. Categorização das entidades

As entidades abrangidas são agora classificadas em diferentes categorias — essenciais, importantes e públicas relevantes — o que determina níveis diferenciados de exigência quanto às obrigações legais a que estão sujeitas.

A atribuição destas qualificações depende da observância de um procedimento. Por este motivo, as entidades, nos termos do art. 8.º, n.º 1 do RJC, devem-se identificar em plataforma eletrónica disponibilizada pelo Centro Nacional de Cibersegurança, no prazo de 30 dias após o início da sua atividade ou, caso a entidade já se encontre em atividade aquando da entrada em vigor do presente decreto-lei, no prazo de 60 dias após a disponibilização da referida plataforma eletrónica, sendo responsáveis por manter essa informação devidamente atualizada.

3. Medidas de gestão de riscos

Destaca-se, no âmbito do novo RJC, a imposição da implementação de sistemas de gestão de riscos, conforme previsto no artigo 26.º, n.º 1 do RJC.

Adicionalmente, as entidades abrangidas estão obrigadas a elaborar um relatório anual que incida, nomeadamente, sobre as atividades desenvolvidas em matéria de cibersegurança, nos termos do artigo 30.º do RJC.

Importa ainda salientar a exigência de designação de um responsável pela cibersegurança, conforme estipulado no artigo 31.º.

Por fim, o regime impõe o cumprimento de obrigações de comunicação aos destinatários dos serviços, sempre que ocorram incidentes com impacto significativo que possam afetá-los negativamente, nos termos do artigo 48.º do RJC.

4. Regime contraordenacional

O novo regime jurídico estabelece um quadro contraordenacional com a imposição de coimas de valor significativo, que diferem em função de se tratar de uma contraordenação leve, grave, ou muito grave e dependendo do tipo de entidade que pratica a infração.

No caso de infração de certos deveres por uma entidade essencial, pode ser imposto o pagamento de €10 000 000,00 ou a 2 % do volume de negócios anual a nível mundial da entidade essencial em causa (artigo 61.º, n.º 2, al. a)).

Destaque-se também as sanções acessórias que podem ser impostas ao infrator, no qual pode ser imposto a interdição temporária dos titulares dos órgãos de gestão, direção e administração, do exercício das respetivas funções (nos termos do artigo 67.º, al. f)).

[1] https://files.diariodarepublica.pt/1s/2025/10/20400/0000300006.pdf.