X
PT EN FR
PT EN FR
O novo regime jurídico da Cibersegurança
17 de Dezembro, 2025

O novo regime jurídico da Cibersegurança

Resumo: O novo Regime Jurídico da Cibersegurança, que aqui descrevemos, representa uma mudança de paradigma nas obrigações impostas a uma vasta gama de entidades, sobretudo no que respeita à prevenção e gestão de incidentes, bem como à gestão dos riscos de cibersegurança.

I. Enquadramento

O Decreto-Lei n.º 125/2025 de 4 de dezembro, na sequência da Lei n.º 59/2025 de 22 de outubro[1], que autorizou o governo a transpor a Diretiva (UE) 2022/2555, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União, a denominada Diretiva NIS2 (Network and Information Security Directive 2) visa aprovar o Regime Jurídico da Cibersegurança (doravante, “RJC”).

O referido Decreto-Lei, também veio alterar o artigo 16.º da Lei n.º 53/2008, de 29 de agosto (doravante, “Lei da Segurança Interna”) e o artigo 2.º da Lei n.º 109/2009, de 15 de setembro (doravante, “Lei do Cibercrime”). Adicionalmente, veio também alterar o artigo 13.º da Lei n.º 16/2022, de 16 de agosto (“Lei das Comunicações Eletrónicas”).

O RJC entra em vigor 120 dias após a sua publicação (artigo 11.º do RJC).

II. Principais novidades

Passa-se a destacar as principais novidades face ao regime anterior, tendo sido revogada o regime jurídico da segurança do ciberespaço na Lei n.º 46/2018, de 13 de agosto.

 

  1. Alargamento do âmbito de aplicação

 

Este novo enquadramento legal distingue-se por alargar significativamente o seu âmbito de aplicação, passando a abranger um conjunto mais vasto de setores considerados críticos (como os serviços postais e de estafeta, gestão de resíduos, produção, transformação e distribuição de produtos e indústria transformadora – constantes do anexo II do diploma) entre outros relevantes para a economia e segurança nacional.

 

  1. Categorização das entidades

 

As entidades abrangidas são agora classificadas em diferentes categorias — essenciais, importantes e públicas relevantes — o que determina níveis diferenciados de exigência quanto às obrigações legais a que estão sujeitas.

A atribuição destas qualificações depende da observância de um procedimento. Por este motivo, as entidades, nos termos do art. 8.º, n.º 1 do RJC, devem-se identificar em plataforma eletrónica disponibilizada pelo Centro Nacional de Cibersegurança, no prazo de 30 dias após o início da sua atividade ou, caso a entidade já se encontre em atividade aquando da entrada em vigor do presente decreto-lei, no prazo de 60 dias após a disponibilização da referida plataforma eletrónica, sendo responsáveis por manter essa informação devidamente atualizada.

 

  1. Medidas de gestão de riscos

 

Destaca-se, no âmbito do novo RJC, a imposição da implementação de sistemas de gestão de riscos, conforme previsto no artigo 26.º, n.º 1 do RJC.

Adicionalmente, as entidades abrangidas estão obrigadas a elaborar um relatório anual que incida, nomeadamente, sobre as atividades desenvolvidas em matéria de cibersegurança, nos termos do artigo 30.º do RJC.

Importa ainda salientar a exigência de designação de um responsável pela cibersegurança, conforme estipulado no artigo 31.º.

Por fim, o regime impõe o cumprimento de obrigações de comunicação aos destinatários dos serviços, sempre que ocorram incidentes com impacto significativo que possam afetá-los negativamente, nos termos do artigo 48.º do RJC.

 

  1. Regime contraordenacional

 

O novo regime jurídico estabelece um quadro contraordenacional com a imposição de coimas de valor significativo, que diferem em função de se tratar de uma contraordenação leve, grave, ou muito grave e dependendo do tipo de entidade que pratica a infração.

No caso de infração de certos deveres por uma entidade essencial, pode ser imposto o pagamento de €10 000 000,00 ou a 2 % do volume de negócios anual a nível mundial da entidade essencial em causa (artigo 61.º, n.º 2, al. a)).

Destaque-se também as sanções acessórias que podem ser impostas ao infrator, no qual pode ser imposto a interdição temporária dos titulares dos órgãos de gestão, direção e administração, do exercício das respetivas funções (nos termos do artigo 67.º, al. f)).

[1] https://files.diariodarepublica.pt/1s/2025/10/20400/0000300006.pdf.

Para ler a notícia na íntegra descarregue o PDF
Download PDF
Autores
Catarina Almeida Coelho
Of Counsel
Leia mais notícias
16 de Janeiro, 2026
Usucapião de Espaços de Arrumos de um Prédio: quando é admissível segundo o STJ

O Pleno das Secções Cíveis do Supremo Tribunal de Justiça (“STJ”), em acórdão do dia 23.12.2025, revista ampliada n.º 916/19.0T8GDM.P1.S1[1] (“acórdão n.º 18/2025”), acordou em fixar a Uniformização de Jurisprudência da seguinte forma: um condómino pode adquirir, por usucapião, um espaço de arrumos de um prédio, já constituído em propriedade horizontal, desde que a posse preencha os requisitos exigíveis para a usucapião e os arrumos tenham as características, físicas e estruturais, previstas nos artigos 1414.º e 1415.º do Código Civil.

[1] Disponível no seguinte endereço: Acórdão do Supremo Tribunal de Justiça n.º 18/2025 | DR.

12 de Janeiro, 2026
A Implementação Nacional das Medidas Restritivas da União Europeia: A Lei n.º 72/2025

A Lei n.º 72/2025, de 23 de dezembro, transpõe a Diretiva 2024/1226 da União Europeia, que define infrações penais e sanções para a violação de medidas restritivas. Altera o Código Penal, a Lei n.º 5/2002 e a Lei n.º 97/2017.

6 de Janeiro, 2026
Regime Europeu Relativo a Criptoativos

A Lei n.º 69/2025, de 22 de dezembro, assegura a execução do Regulamento (UE) 2023/1114, relativo aos mercados de criptoativos (“Regulamento MiCA”). Ao abrigo da mesma, definem-se, no nosso Direito nacional, as autoridades competentes, estabelecem-se os respetivos poderes de supervisão e investigação, deveres adicionais impostos aos prestadores de serviços de criptoativos, bem como o regime sancionatório aplicável à violação de deveres consagrados no Regulamento MiCA.