O DL n.º 125/2025 transpõe a Diretiva NIS2 para o ordenamento jurídico português e impõe diligência e supervisão com responsabilidade pessoal por dolo ou culpa grave, exigindo decisões documentadas e integração da cibersegurança na governação de topo.
As entidades essenciais, importantes e públicas relevantes devem registar-se na plataforma e cumprir os prazos para incidentes com impacto significativo, incluindo alerta em 24h após a verificação, atualização até 72h, comunicação do fim de impacto em 24h e relatório final em 30 dias úteis após a notificação do fim de impacto, com processos testados, equipas capacitadas e linhas de reporte claras.
É obrigatório um sistema de gestão de risco que cubra análise de riscos, incidentes, continuidade, ciclo de vida e cadeia de abastecimento, incluindo criptografia e autenticação multifator ou autenticação contínua, com relatório anual e, quando aplicável, certificação emitida por organismo acreditado ou ao abrigo de esquema reconhecido pelo CNCS, podendo ser exigida pelo CNCS.
A qualificação como essencial ou importante determina obrigações e coimas até € 10 000 000 ou 2% para essenciais e até € 7 000 000 ou 1,4% para importantes, com negligência punível.
O DL n.º 125/2025 entra em vigor em 120 dias e determinadas normas produzem efeitos em 24 meses após a aprovação e publicação, pelo CNCS, da regulamentação aplicável que desencadeia esse prazo.
Neste Legal Flash, explicamos o que muda e deixamos recomendações práticas para a preparação e demonstração de conformidade junto do CNCS.