Essencial ou importante? A diferença define as suas obrigações.
O Decreto-Lei n.º 125/2025 divide as organizações abrangidas em duas categorias, e dessa classificação dependem a supervisão do CNCS e o teto das coimas. Saiba onde a sua empresa cai, e o que isso muda.
ENTIDADES ESSENCIAIS
Os setores de elevada criticidade do Anexo I do Decreto-Lei n.º 125/2025.
Energia, transportes, banca e infraestruturas financeiras, saúde, água potável e águas residuais, infraestruturas digitais, espaço e administração pública.
- Em regra, as grandes empresas destes setores.
- Supervisão mais apertada: o CNCS pode fiscalizar de forma preventiva, sem esperar por incidentes.
- Coimas até 10 milhões de euros ou 2% de toda a faturação anual mundial.
ENTIDADES IMPORTANTES
Os outros setores críticos do Anexo II, e as médias empresas dos setores do Anexo I.
Serviços postais, gestão de resíduos, química, alimentação, indústria transformadora, serviços digitais e investigação, entre outros.
- Em regra, as médias empresas dos setores abrangidos.
- Supervisão reativa: o CNCS atua sobretudo após indícios ou incidentes.
- Coimas até 7 milhões de euros ou 1,4% de toda a faturação anual mundial.
No essencial, as obrigações são as mesmas.
As medidas do artigo 21.º, o registo no MyCiber e o reporte de incidentes aplicam-se às duas categorias. O que muda é a intensidade da supervisão e o teto das coimas. Ou seja: ser "importante" não é ser dispensado, é ser fiscalizado de outra forma.
ONDE AS EMPRESAS SE ENGANAM
Os três erros de enquadramento mais comuns.
"Somos PME, não conta para nós."
A dimensão conta, mas não é um passe livre: médias empresas dos setores abrangidos entram no regime, e há casos especiais em que até as pequenas entram, pela criticidade do serviço.
"O nosso setor não aparece na lista."
Os anexos têm subsetores e definições que não são óbvios. Empresas de TI, logística ou indústria descobrem tarde que afinal estão abrangidas por uma alínea que não leram.
"Não somos abrangidos, estamos safos."
A cadeia de fornecimento arrasta quem está fora: se os seus clientes são entidades abrangidas, vão exigir-lhe garantias de segurança por contrato. A NIS2 chega-lhe na mesma, pela porta comercial.
O enquadramento é o primeiro passo do registo no MyCiber, cujo prazo termina a 15 de setembro de 2026. Errar a classificação, para mais ou para menos, tem custos: ou assume obrigações que não tem, ou falha as que tem. Vale a pena confirmar com quem faz isto todos os dias.
PERGUNTAS FREQUENTES
As dúvidas que ouvimos todos os dias.
As duas categorias têm as mesmas obrigações de fundo, do registo no MyCiber às medidas do artigo 21.º. A diferença está na supervisão do CNCS, preventiva para as essenciais e reativa para as importantes, e no teto das coimas: até 10 milhões de euros ou 2% da faturação anual mundial para as essenciais, e até 7 milhões ou 1,4% para as importantes.
Depende do setor e da dimensão. Em regra, o regime aplica-se a médias e grandes empresas dos setores dos anexos do Decreto-Lei n.º 125/2025, mas há exceções em que a dimensão não conta, pela criticidade do serviço prestado. O mais seguro é confirmar caso a caso.
O Anexo I reúne os setores de elevada criticidade: energia, transportes, banca e infraestruturas financeiras, saúde, água, infraestruturas digitais, espaço e administração pública. O Anexo II cobre os outros setores críticos: serviços postais, resíduos, química, alimentação, indústria transformadora, serviços digitais e investigação.
Sim. A segurança da cadeia de fornecimento é uma das medidas do artigo 21.º, por isso as entidades abrangidas vão exigir garantias de cibersegurança aos seus fornecedores. Mesmo fora do regime, a NIS2 pode chegar-lhe por via contratual, e estar preparado torna-se uma vantagem comercial.
Em dez minutos, sabe exatamente onde está.
A N4A confirma o enquadramento da sua empresa face aos anexos do Decreto-Lei n.º 125/2025 e diz-lhe, sem rodeios, o que tem mesmo de fazer e por que ordem.
Falar com um Auditor Certificado