Checklist do artigo 21.º: as 10 medidas, explicadas.
O artigo 21.º é o coração das obrigações da NIS2: as medidas de gestão de risco que todas as entidades abrangidas pelo Decreto-Lei n.º 125/2025 têm de implementar. Aqui estão as dez, em linguagem de gestor, e uma checklist para medir onde a sua empresa está.
Resposta rápida
O artigo 21.º do Decreto-Lei n.º 125/2025 exige dez famílias de medidas: políticas de risco e segurança, gestão de incidentes, continuidade de negócio, segurança da cadeia de fornecimento, segurança no ciclo de vida dos sistemas, avaliação da eficácia, ciber-higiene e formação, criptografia, recursos humanos e controlo de acessos, e autenticação multifator. Aplicam-se a entidades essenciais e importantes, e a gestão de topo responde pela sua aprovação e supervisão.
Atualizado a 13 de julho de 2026.
Marque as medidas que a sua empresa já tem implementadas, com evidências.
Um atalho honesto: a ISO 27001.
Se olhou para a lista e pensou "isto parece um sistema de gestão", tem razão: a ISO 27001 cobre grande parte destas medidas. Implementar a norma resolve o artigo 21.º e entrega, de bónus, um selo internacional com valor comercial.
Ver a implementação ISO 27001 em conformidade com a NIS2PERGUNTAS FREQUENTES
As dúvidas que ouvimos todos os dias.
A todas as entidades essenciais e importantes abrangidas pelo Decreto-Lei n.º 125/2025. As obrigações de fundo são as mesmas para as duas categorias; o que muda é a intensidade da supervisão do CNCS e o teto das coimas.
Sim, mas de forma proporcional ao risco: a profundidade de cada medida depende da dimensão da entidade, da exposição e da criticidade do serviço. Proporcional não significa opcional, significa ajustado.
Após o registo e a qualificação na plataforma MyCiber, a entidade dispõe de um período para se adaptar às medidas que lhe forem atribuídas. O registo decorre até 15 de setembro de 2026, e começar cedo é a diferença entre um projeto planeado e uma corrida.
Coimas até 10 milhões de euros ou 2% da faturação anual mundial para entidades essenciais, e até 7 milhões ou 1,4% para importantes, além da responsabilidade pessoal dos órgãos de gestão, com coimas até 125 000 euros (artigo 25.º).
Da checklist ao plano, com quem audita.
A N4A transforma este diagnóstico num plano priorizado, liderado por um Consultor e Lead Auditor certificado ISO 27001.
Falar com um Auditor Certificado