960 069 068
seguros@gcseguros.pt

Gerações Cativantes

Novo regime de cibersegurança responsabiliza gestores

Novo regime de cibersegurança responsabiliza gestores


Com a entrada em vigor do Decreto-Lei n.º 125/2025, Portugal concluiu a transposição da Diretiva europeia NIS2. As obrigações são vastas, as coimas são elevadas e a responsabilidade é, agora, também pessoal.

A cibersegurança deixou de ser um assunto reservado às equipas de IT. Com a publicação do Decreto-Lei n.º 125/2025, a 4 de dezembro de 2025, Portugal transpôs para a ordem jurídica nacional a Diretiva (UE) 2022/2555 — conhecida por NIS2 — e criou um novo quadro legal que vincula diretamente os órgãos de gestão das organizações abrangidas. O regime entrou em vigor a 3 de abril de 2026.

O que muda com a NIS2 em Portugal

O novo regime representa uma mudança de paradigma. Até agora, a cibersegurança era tratada, na maioria das organizações, como uma responsabilidade essencialmente técnica. Com o Decreto-Lei n.º 125/2025, passa a ser uma obrigação direta e incontornável dos órgãos de gestão, direção e administração.

A lei define nove áreas de medidas obrigatórias — previstas no Artigo 27.º —, que incluem tratamento de incidentes, continuidade de negócio, segurança da cadeia de abastecimento, gestão de vulnerabilidades, formação periódica e autenticação multifator. Não se trata de recomendações: são exigências legais com contraordenações associadas.

O Centro Nacional de Cibersegurança (CNCS) assume funções reforçadas como autoridade nacional, sendo complementado por autoridades de supervisão setoriais que acompanharão o cumprimento do diploma em cada setor abrangido.

A obrigação mais urgente é a designação de um Responsável de Cibersegurança, cuja comunicação à autoridade competente deve ser efetuada no prazo de 20 dias úteis após a entrada em vigor, isto é, até ao passado dia 23 de abril de 2026. Organizações que ainda não tenham cumprido este requisito devem agir de imediato.

Entidades abrangidas

O diploma aplica-se a entidades essenciais, importantes e públicas relevantes que operam em 18 setores de importância crítica. Entre os setores abrangidos contam-se a energia, os transportes, o setor bancário e financeiro, a saúde, a água, as infraestruturas digitais, os serviços postais, a indústria transformadora e o setor alimentar e químico.

O setor bancário e financeiro — que inclui instituições de crédito, operadores de infraestruturas de mercados financeiros e entidades sujeitas ao Regulamento DORA — figura expressamente na categoria de entidades essenciais. A interseção com o DORA, já em aplicação desde janeiro de 2025, cria um quadro de obrigações sobrepostas que exige uma abordagem integrada de gestão do risco tecnológico.

Responsabilidade pessoal dos gestores: uma novidade com peso

Um dos aspetos mais relevantes do novo regime — e que distingue a NIS2 de diplomas anteriores — é a responsabilização pessoal dos titulares dos órgãos de gestão. Nos termos do n.º 2 do Artigo 25.º, os administradores, diretores e gestores podem responder individualmente por ação ou omissão, com dolo ou culpa grave.

Esta responsabilidade não pode ser delegada, exceto noutro titular de órgão de gestão. Significa que a aprovação das medidas de cibersegurança, a supervisão da sua aplicação e a promoção de formação periódica são funções que recaem, juridicamente, sobre quem dirige a organização — não apenas sobre o responsável de IT ou o CISO.

As coimas pessoais para pessoas singulares podem atingir os 125.000 euros em contraordenações muito graves praticadas por entidades essenciais. Adicionalmente, pode ser aplicada a sanção acessória de interdição temporária do exercício de funções de gestão, direção ou administração.

Coimas e regime sancionatório

Para as entidades essenciais, as contraordenações muito graves podem originar coimas até 10 milhões de euros ou 2% do volume de negócios anual mundial, aplicando-se o montante mais elevado. Trata-se de um regime sancionatório expressivo, alinhado com o RGPD em termos de estrutura, e que coloca a cibersegurança no mesmo patamar de criticidade que a proteção de dados.

Existe, contudo, um período de carência: durante os primeiros 12 meses após a entrada em vigor do regime — ou seja, até 3 de abril de 2027 —, as entidades que demonstrem ter em curso um procedimento interno de adaptação ficam dispensadas do pagamento de coimas. Esta janela constitui uma oportunidade, não uma dilação: as organizações devem utilizar este período para estruturar a sua conformidade de forma sustentada.

Obrigações Imediatas: o que fazer agora

Com a entrada em vigor do regime, as organizações abrangidas têm obrigações imediatas. A mais urgente é a designação de um Responsável de Cibersegurança, cuja comunicação à autoridade competente deve ser efetuada no prazo de 20 dias úteis após a entrada em vigor, isto é, até ao passado dia 23 de abril de 2026. Organizações que ainda não tenham cumprido este requisito devem agir de imediato.

A par disso, é necessário elaborar um Plano de Segurança que documente as medidas técnicas, operacionais e organizativas adotadas, realizar uma análise de lacunas (gap analysis) face às nove áreas obrigatórias do Artigo 27.º, e rever os contratos com fornecedores e prestadores de serviços à luz dos requisitos da cadeia de abastecimento.

Se o seguro cibernético protege a organização, o seguro de Responsabilidade Civil Administradores e Gestores — vulgarmente conhecido por D&O (Directors & Officers) — protege as pessoas que a lideram. E nunca foi tão necessário como agora.

Seguros Cibernéticos: um mercado com novo argumento regulatório

O novo quadro regulatório abre uma janela de oportunidade clara para os seguradores com produtos cibernéticos. O risco cibernético — já reconhecido como um dos principais riscos emergentes globais — passa a ter uma expressão jurídica precisa em Portugal, com consequências patrimoniais e reputacionais diretas para as entidades que não cumpram as obrigações do Decreto-Lei n.º 125/2025.

Do lado da oferta, os seguradores podem agora alinhar as condições de cobertura com o grau de maturidade NIS2 do tomador. A realização de um gap analysis documentado, a existência de um Plano de Segurança aprovado ou a certificação segundo a ISO 27001 poderão constituir fatores de elegibilidade, de cálculo do prémio de seguro ou de redução de franquia — criando um incentivo de mercado ao cumprimento regulatório. Do lado da procura, as entidades abrangidas têm um argumento adicional e concreto para contratar coberturas de risco cibernético: mitigar o impacto financeiro de incidentes, custos de notificação, interrupção de negócio e eventuais ações de responsabilidade civil decorrentes de falhas de segurança.

D&O: o seguro que os gestores não podem ignorar

Se o seguro cibernético protege a organização, o seguro de Responsabilidade Civil Administradores e Gestores — vulgarmente conhecido por D&O (Directors & Officers) — protege as pessoas que a lideram. E nunca foi tão necessário como agora.

Com a NIS2, a responsabilidade pessoal dos gestores deixou de ser uma possibilidade abstrata. O n.º 2 do Artigo 25.º do Decreto-Lei n.º 125/2025 é inequívoco: os titulares dos órgãos de gestão, direção e administração podem ser responsabilizados individualmente por ação ou omissão, com dolo ou culpa grave, pelas infrações previstas no diploma. Coimas pessoais até 125.000 euros interdição temporária do exercício de funções e exposição a ações de responsabilidade civil por parte de acionistas, clientes ou parceiros são consequências reais — não hipotéticas.

O D&O cobre precisamente este espectro de riscos: defesa jurídica, indemnizações por decisões de gestão questionadas e custos associados a processos regulatórios ou judiciais. Numa era em que um incidente de cibersegurança mal gerido pode ser imputado diretamente ao CEO ou ao Conselho de Administração, a ausência de uma apólice D&O representa uma exposição patrimonial pessoal que poucos gestores estarão dispostos a assumir conscientemente.

O argumento de venda é direto: a NIS2 criou, pela primeira vez em Portugal, uma obrigação legal de cibersegurança com nome e apelido — o do gestor. O D&O é a resposta natural a esse risco nominativo. Distribuidores e corretores têm agora uma janela de oportunidade para abordar administradores e conselhos de administração com uma proposta fundamentada na nova lei, especialmente em setores essenciais como energia, saúde, transportes, banca e infraestruturas digitais.

A conjugação de uma apólice cyber com um D&O robusto representa, assim, a cobertura complementar mais adequada ao novo enquadramento regulatório: uma protege o balanço da empresa, a outra protege o património pessoal de quem a dirige.

Notícias Relacionadas

Powered by
Necessary cookies enable essential site features like secure log-ins and consent preference adjustments. They do not store personal data.
None
Functional cookies support features like content sharing on social media, collecting feedback, and enabling third-party tools.
None
Analytical cookies track visitor interactions, providing insights on metrics like visitor count, bounce rate, and traffic sources.
None
Advertisement cookies deliver personalized ads based on your previous visits and analyze the effectiveness of ad campaigns.
None
Powered by