Novo regime de cibersegurança responsabiliza gestores
Com a entrada em vigor do Decreto-Lei n.º 125/2025, Portugal concluiu a transposição da Diretiva europeia NIS2. As obrigações são vastas, as coimas são elevadas e a responsabilidade é, agora, também pessoal.
A cibersegurança deixou de ser um assunto reservado às equipas de IT. Com a publicação do Decreto-Lei n.º 125/2025, a 4 de dezembro de 2025, Portugal transpôs para a ordem jurídica nacional a Diretiva (UE) 2022/2555 — conhecida por NIS2 — e criou um novo quadro legal que vincula diretamente os órgãos de gestão das organizações abrangidas. O regime entrou em vigor a 3 de abril de 2026.
O que muda com a NIS2 em Portugal
O novo regime representa uma mudança de paradigma. Até agora, a cibersegurança era tratada, na maioria das organizações, como uma responsabilidade essencialmente técnica. Com o Decreto-Lei n.º 125/2025, passa a ser uma obrigação direta e incontornável dos órgãos de gestão, direção e administração.
A lei define nove áreas de medidas obrigatórias — previstas no Artigo 27.º —, que incluem tratamento de incidentes, continuidade de negócio, segurança da cadeia de abastecimento, gestão de vulnerabilidades, formação periódica e autenticação multifator. Não se trata de recomendações: são exigências legais com contraordenações associadas.
O Centro Nacional de Cibersegurança (CNCS) assume funções reforçadas como autoridade nacional, sendo complementado por autoridades de supervisão setoriais que acompanharão o cumprimento do diploma em cada setor abrangido.
A obrigação mais urgente é a designação de um Responsável de Cibersegurança, cuja comunicação à autoridade competente deve ser efetuada no prazo de 20 dias úteis após a entrada em vigor, isto é, até ao passado dia 23 de abril de 2026. Organizações que ainda não tenham cumprido este requisito devem agir de imediato.
Entidades abrangidas
O diploma aplica-se a entidades essenciais, importantes e públicas relevantes que operam em 18 setores de importância crítica. Entre os setores abrangidos contam-se a energia, os transportes, o setor bancário e financeiro, a saúde, a água, as infraestruturas digitais, os serviços postais, a indústria transformadora e o setor alimentar e químico.
O setor bancário e financeiro — que inclui instituições de crédito, operadores de infraestruturas de mercados financeiros e entidades sujeitas ao Regulamento DORA — figura expressamente na categoria de entidades essenciais. A interseção com o DORA, já em aplicação desde janeiro de 2025, cria um quadro de obrigações sobrepostas que exige uma abordagem integrada de gestão do risco tecnológico.
Responsabilidade pessoal dos gestores: uma novidade com peso
Um dos aspetos mais relevantes do novo regime — e que distingue a NIS2 de diplomas anteriores — é a responsabilização pessoal dos titulares dos órgãos de gestão. Nos termos do n.º 2 do Artigo 25.º, os administradores, diretores e gestores podem responder individualmente por ação ou omissão, com dolo ou culpa grave.
Esta responsabilidade não pode ser delegada, exceto noutro titular de órgão de gestão. Significa que a aprovação das medidas de cibersegurança, a supervisão da sua aplicação e a promoção de formação periódica são funções que recaem, juridicamente, sobre quem dirige a organização — não apenas sobre o responsável de IT ou o CISO.
As coimas pessoais para pessoas singulares podem atingir os 125.000 euros em contraordenações muito graves praticadas por entidades essenciais. Adicionalmente, pode ser aplicada a sanção acessória de interdição temporária do exercício de funções de gestão, direção ou administração.
Coimas e regime sancionatório
Para as entidades essenciais, as contraordenações muito graves podem originar coimas até 10 milhões de euros ou 2% do volume de negócios anual mundial, aplicando-se o montante mais elevado. Trata-se de um regime sancionatório expressivo, alinhado com o RGPD em termos de estrutura, e que coloca a cibersegurança no mesmo patamar de criticidade que a proteção de dados.
Existe, contudo, um período de carência: durante os primeiros 12 meses após a entrada em vigor do regime — ou seja, até 3 de abril de 2027 —, as entidades que demonstrem ter em curso um procedimento interno de adaptação ficam dispensadas do pagamento de coimas. Esta janela constitui uma oportunidade, não uma dilação: as organizações devem utilizar este período para estruturar a sua conformidade de forma sustentada.
Obrigações Imediatas: o que fazer agora
Com a entrada em vigor do regime, as organizações abrangidas têm obrigações imediatas. A mais urgente é a designação de um Responsável de Cibersegurança, cuja comunicação à autoridade competente deve ser efetuada no prazo de 20 dias úteis após a entrada em vigor, isto é, até ao passado dia 23 de abril de 2026. Organizações que ainda não tenham cumprido este requisito devem agir de imediato.
A par disso, é necessário elaborar um Plano de Segurança que documente as medidas técnicas, operacionais e organizativas adotadas, realizar uma análise de lacunas (gap analysis) face às nove áreas obrigatórias do Artigo 27.º, e rever os contratos com fornecedores e prestadores de serviços à luz dos requisitos da cadeia de abastecimento.
Se o seguro cibernético protege a organização, o seguro de Responsabilidade Civil Administradores e Gestores — vulgarmente conhecido por D&O (Directors & Officers) — protege as pessoas que a lideram. E nunca foi tão necessário como agora.
Seguros Cibernéticos: um mercado com novo argumento regulatório
O novo quadro regulatório abre uma janela de oportunidade clara para os seguradores com produtos cibernéticos. O risco cibernético — já reconhecido como um dos principais riscos emergentes globais — passa a ter uma expressão jurídica precisa em Portugal, com consequências patrimoniais e reputacionais diretas para as entidades que não cumpram as obrigações do Decreto-Lei n.º 125/2025.
Do lado da oferta, os seguradores podem agora alinhar as condições de cobertura com o grau de maturidade NIS2 do tomador. A realização de um gap analysis documentado, a existência de um Plano de Segurança aprovado ou a certificação segundo a ISO 27001 poderão constituir fatores de elegibilidade, de cálculo do prémio de seguro ou de redução de franquia — criando um incentivo de mercado ao cumprimento regulatório. Do lado da procura, as entidades abrangidas têm um argumento adicional e concreto para contratar coberturas de risco cibernético: mitigar o impacto financeiro de incidentes, custos de notificação, interrupção de negócio e eventuais ações de responsabilidade civil decorrentes de falhas de segurança.
D&O: o seguro que os gestores não podem ignorar
Se o seguro cibernético protege a organização, o seguro de Responsabilidade Civil Administradores e Gestores — vulgarmente conhecido por D&O (Directors & Officers) — protege as pessoas que a lideram. E nunca foi tão necessário como agora.
Com a NIS2, a responsabilidade pessoal dos gestores deixou de ser uma possibilidade abstrata. O n.º 2 do Artigo 25.º do Decreto-Lei n.º 125/2025 é inequívoco: os titulares dos órgãos de gestão, direção e administração podem ser responsabilizados individualmente por ação ou omissão, com dolo ou culpa grave, pelas infrações previstas no diploma. Coimas pessoais até 125.000 euros interdição temporária do exercício de funções e exposição a ações de responsabilidade civil por parte de acionistas, clientes ou parceiros são consequências reais — não hipotéticas.
O D&O cobre precisamente este espectro de riscos: defesa jurídica, indemnizações por decisões de gestão questionadas e custos associados a processos regulatórios ou judiciais. Numa era em que um incidente de cibersegurança mal gerido pode ser imputado diretamente ao CEO ou ao Conselho de Administração, a ausência de uma apólice D&O representa uma exposição patrimonial pessoal que poucos gestores estarão dispostos a assumir conscientemente.
O argumento de venda é direto: a NIS2 criou, pela primeira vez em Portugal, uma obrigação legal de cibersegurança com nome e apelido — o do gestor. O D&O é a resposta natural a esse risco nominativo. Distribuidores e corretores têm agora uma janela de oportunidade para abordar administradores e conselhos de administração com uma proposta fundamentada na nova lei, especialmente em setores essenciais como energia, saúde, transportes, banca e infraestruturas digitais.
A conjugação de uma apólice cyber com um D&O robusto representa, assim, a cobertura complementar mais adequada ao novo enquadramento regulatório: uma protege o balanço da empresa, a outra protege o património pessoal de quem a dirige.
