Viktoria ComplianceStart Assessment
Voltar ao blogue
NIS26 min readFebruary 28, 2026

Âmbito de aplicação da NIS2 descodificado: Quais as PME abrangidas pela diretiva - e o que isso significa para a sua empresa

A Diretiva NIS2 (Diretiva (UE) 2022/2555) representa a revisão mais significativa da legislação da UE em matéria de cibersegurança desde a Diretiva NIS original, em 2016. Ao alargar drasticamente o seu âmbito, introduzir obrigações mais rigorosas e impor sanções substanciais, a NIS2 obriga milhares de organizações em toda a Europa a reavaliar a sua postura de cibersegurança. Para as PME, o desafio é compreender se e como a diretiva se aplica à sua empresa.

O alargamento do âmbito de aplicação: Quem está abrangido?

A Diretiva SRI original aplicava-se a um conjunto restrito de operadores de serviços essenciais e de prestadores de serviços digitais. A Diretiva SRI2 substitui esta classificação por uma muito mais alargada: entidades essenciais e entidades importantes. Esta distinção é importante porque determina a intensidade do controlo de supervisão e a severidade das sanções.

Entidades essenciais

As entidades essenciais estão sujeitas a medidas de supervisão pró-activas e ex ante. Esta categoria inclui organizações dos seguintes sectores:

  • Energia (eletricidade, petróleo, gás, hidrogénio, aquecimento urbano)
  • Transportes (aéreos, ferroviários, marítimos, rodoviários)
  • Infra-estruturas bancárias e dos mercados financeiros
  • Saúde (prestadores de cuidados de saúde, laboratórios de referência da UE, fabrico de produtos farmacêuticos)
  • Abastecimento e distribuição de água potável
  • Gestão das águas residuais
  • Infraestrutura digital (IXP, fornecedores de DNS, registos de TLD, computação em nuvem, centros de dados, CDN)
  • Gestão de serviços TIC em B2B (fornecedores de serviços geridos, fornecedores de serviços de segurança geridos)
  • Administração pública (governo central)
  • Espaço

Entidades importantes

As entidades importantes estão sujeitas a uma supervisão reactiva e ex post. Os sectores incluem:

  • Serviços postais e de correio
  • Gestão de resíduos
  • Fabrico, produção e distribuição de produtos químicos
  • Produção, transformação e distribuição de alimentos
  • Fabrico de dispositivos médicos, computadores, eletrónica, máquinas e veículos automóveis
  • Fornecedores digitais (mercados em linha, motores de busca, plataformas de redes sociais)
  • Organismos de investigação

Limiares de dimensão

A NIS2 aplica uma regra de limitação de dimensão. Em geral, a diretiva abrange as empresas de média dimensão e superiores: organizações com 50 ou mais trabalhadores OU com um volume de negócios anual (ou balanço total anual) igual ou superior a 10 milhões de euros. No entanto, certas entidades são abrangidas pelo âmbito de aplicação independentemente da sua dimensão, incluindo os fornecedores de serviços DNS, os registos de nomes TLD e as entidades que são o único fornecedor de um serviço crítico num Estado-Membro.

As PME abaixo destes limiares estão geralmente isentas, a menos que operem num dos subsectores especificamente designados. No entanto, qualquer organização na cadeia de abastecimento de uma entidade essencial ou importante pode enfrentar obrigações contratuais de cibersegurança impostas pelos seus clientes para cumprir os requisitos de segurança da cadeia de abastecimento NIS2.

Principais obrigações no âmbito do NIS2

1. Gestão do risco de cibersegurança (artigo 21.º)

O artigo 21.º exige que as entidades essenciais e importantes adoptem medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos para a segurança das redes e dos sistemas de informação. Essas medidas devem incluir, no mínimo

  • Políticas em matéria de análise de riscos e segurança dos sistemas de informação
  • Procedimentos de tratamento de incidentes
  • Continuidade das actividades e gestão de crises (incluindo gestão de cópias de segurança e recuperação de desastres)
  • Segurança da cadeia de abastecimento, incluindo aspectos de segurança relativos às relações com fornecedores diretos
  • Segurança na aquisição, desenvolvimento e manutenção de redes e sistemas de informação, incluindo o tratamento e a divulgação de vulnerabilidades
  • Políticas e procedimentos para avaliar a eficácia das medidas de gestão dos riscos de cibersegurança
  • Práticas básicas de higiene cibernética e formação em cibersegurança
  • Políticas sobre a utilização da criptografia e, se for caso disso, da cifragem
  • Segurança dos recursos humanos, políticas de controlo de acesso e gestão de activos
  • Utilização de autenticação multi-fator, comunicações seguras e comunicações de emergência seguras

2. Comunicação de incidentes (artigos 23.º e 30.º)

A NIS2 introduz uma obrigação de comunicação de incidentes em várias fases que é significativamente mais rigorosa do que a diretiva original:

  1. Alerta precoce: No prazo de 24 horas após ter tido conhecimento de um incidente significativo, notifique a autoridade competente ou a CSIRT. O alerta rápido deve indicar se o incidente é suspeito de ter sido causado por actos ilegais ou maliciosos e se pode ter impacto transfronteiriço.
  2. Notificação de incidentes: No prazo de 72 horas, forneça uma avaliação inicial, incluindo a gravidade e o impacto, e indicadores de comprometimento, quando disponíveis.
  3. Relatório final: No prazo de um mês, apresente uma descrição pormenorizada do incidente, a causa principal, as medidas de atenuação aplicadas e o impacto transfronteiriço, se for caso disso.

Um incidente significativo é definido como um incidente que causou ou é capaz de causar graves perturbações operacionais ou perdas financeiras, ou que afectou ou é capaz de afetar outras pessoas singulares ou colectivas causando danos materiais ou não materiais consideráveis.

3. Segurança da cadeia de abastecimento

O artigo 21.º, n.º 2, alínea d), exige explicitamente que as entidades tratem da segurança da cadeia de abastecimento. Isto significa avaliar as práticas de cibersegurança dos seus fornecedores diretos e prestadores de serviços, incorporar requisitos de segurança nos contratos de aquisição e monitorizar continuamente o risco de terceiros. Para muitas PME, esta obrigação chegará indiretamente através de requisitos contratuais impostos por clientes de maior dimensão que são, eles próprios, entidades reguladas pelo NIS2.

4. Responsabilidade do órgão de gestão (artigo 20.º)

A NIS2 responsabiliza diretamente o órgão de gestão (conselho de administração, direção executiva) pela aprovação e supervisão da aplicação das medidas de gestão dos riscos de cibersegurança. Os membros do órgão de gestão devem receber formação em cibersegurança e podem ser pessoalmente responsabilizados por infracções. Trata-se de um afastamento significativo em relação à Diretiva SRI original e alinha a governação da cibersegurança com o nível de responsabilidade observado na regulamentação financeira.

Transposição e aplicação a nível nacional

Os Estados-Membros deviam transpor a NIS2 para o direito nacional até 17 de outubro de 2024. No início de 2026, a maioria dos Estados-Membros já concluiu a transposição, embora os prazos de aplicação e os requisitos específicos variem. As organizações devem consultar a transposição nacional em cada Estado-Membro onde operam, uma vez que os requisitos podem exceder o mínimo da NIS2.

Sanções

As sanções previstas no NIS2 são substanciais e diferenciadas por tipo de entidade:

  • Entidades essenciais: Coimas administrativas até 10 milhões de euros ou 2% do volume de negócios anual total a nível mundial, consoante o montante mais elevado.
  • Entidades importantes: Coimas administrativas até 7 milhões de euros ou 1,4% do volume de negócios anual total a nível mundial, consoante o montante mais elevado.

As autoridades de supervisão podem também impor medidas corretivas não monetárias, incluindo instruções vinculativas, ordens de aplicação de recomendações de auditoria, ordens de conformidade das medidas de segurança e suspensão temporária de certificações ou autorizações.

Passos práticos para as PME

Se a sua organização estiver abrangida pelo âmbito de aplicação do NIS2, ou se operar na cadeia de abastecimento de uma entidade regulamentada, os passos seguintes constituem um ponto de partida pragmático:

  1. Avaliação do âmbito: Determine se a sua organização é uma entidade essencial, uma entidade importante ou se está fora do âmbito de aplicação. Considere tanto a classificação setorial como os limiares de dimensão.
  2. Análise das lacunas: Compare as suas actuais medidas de cibersegurança com os requisitos do artigo 21. Identifique as áreas em que os seus controlos actuais são insuficientes.
  3. Preparação da resposta a incidentes: Crie ou melhore o seu plano de resposta a incidentes para cumprir os prazos de notificação de 24 horas, 72 horas e um mês.
  4. Análise da cadeia de abastecimento: Avalie a postura de cibersegurança dos seus fornecedores críticos e incorpore requisitos de segurança nos contratos de aquisição.
  5. Envolvimento da direção: Informe o seu conselho de administração ou a direção executiva sobre as suas responsabilidades em matéria de NIS2 e organize uma formação em cibersegurança.
  6. Documentação: Mantenha provas de todas as medidas de cibersegurança, avaliações de risco e relatórios de incidentes. A conformidade com o NIS2 é uma conformidade demonstrável.

A Diretiva NIS2 não é uma preocupação regulamentar distante. É uma obrigação de conformidade ativa para milhares de organizações europeias. As PME que agirem agora para compreenderem as suas obrigações e colmatarem as suas lacunas em matéria de cibersegurança estarão significativamente melhor posicionadas do que aquelas que esperam que as medidas de execução as obriguem a agir.

Avalie a sua prontidão para a conformidade

Realize a nossa avaliação gratuita de prontidão para o RGPD, a NIS2 e o Regulamento IA e obtenha recomendações personalizadas em poucos minutos.

Iniciar avaliação gratuita

EU Compliance Weekly

Get the latest regulatory updates, compliance tips, and enforcement news delivered to your inbox every week.

We respect your privacy. Unsubscribe anytime.