← Notícias NIS2NIS216 de julho de 2026

Primeiras auditorias formais NIS2 em Portugal apontadas para setembro de 2026

Primeiras auditorias formais NIS2 em Portugal apontadas para setembro de 2026

As primeiras auditorias formais às entidades abrangidas pela NIS2 em Portugal estão apontadas para setembro de 2026. O calendário acompanha a entrada em funcionamento da plataforma MyCiber, gerida pelo Centro Nacional de Cibersegurança.

O regime jurídico da cibersegurança, aprovado pelo Decreto-Lei n.º 125/2025, transpõe para Portugal a diretiva europeia NIS2 e define quais as organizações consideradas entidades essenciais e importantes. Com ele, um conjunto alargado de empresas passa a ter obrigações concretas de segurança da informação.

O ponto de partida para essas organizações é o registo na plataforma MyCiber (myciber.gov.pt), o meio oficial para a autoidentificação, para as comunicações com o CNCS e para a notificação de incidentes. A plataforma está a ser disponibilizada de forma faseada ao longo de 2026, e cada entidade dispõe de um prazo para completar o seu registo.

É neste enquadramento que se esperam as primeiras auditorias formais, apontadas para setembro de 2026. A supervisão das entidades essenciais e importantes cabe ao CNCS, que pode emitir orientações técnicas, tratar as notificações de incidentes e aplicar sanções em caso de incumprimento.

As obrigações das organizações abrangidas incluem a adoção de medidas de gestão de risco, a comunicação de incidentes significativos dentro dos prazos definidos e a segurança da cadeia de fornecimento. Em caso de incumprimento, as coimas podem chegar aos 10 milhões de euros ou a 2 por cento do volume de negócios anual, no caso das entidades essenciais.

Para as empresas abrangidas, o momento é de sair da preparação e entrar na demonstração. Ter o registo feito, as medidas do artigo 21.º implementadas e as evidências organizadas deixa de ser um bom conselho para passar a ser, exatamente, aquilo que uma auditoria vai procurar.

Fonte: Decreto-Lei n.º 125/2025 · Centro Nacional de Cibersegurança (myciber.gov.pt). Escrito pela equipa N4A, revisto por um Lead Auditor certificado ISO 27001.

A sua empresa é abrangida por isto?

Em dois minutos, o diagnóstico rápido da N4A diz-lhe se o regime NIS2 se aplica ao seu caso e o que isso implica.

Fazer o diagnóstico rápido