Foi recentemente publicado o Regulamento do Regime Jurídico da Cibersegurança, marcando um passo determinante na operacionalização da Diretiva NIS 2 em Portugal. Em paralelo, foi também disponibilizada a plataforma eletrónica MyCiber, que centraliza o cumprimento das obrigações legais e assinala o início formal da contagem de diversos prazos legais.
Este novo enquadramento revê prazos e introduz um conjunto mais exigente de obrigações para entidades classificadas como essenciais, importantes e públicas relevantes, reforçando o enfoque na gestão de risco, na resiliência operacional e na resposta a incidentes de cibersegurança.
Principais alterações e obrigações
O Regulamento agora publicado vem densificar e operacionalizar o regime legal, clarificando a forma de cumprimento das seguintes obrigações principais:
- Registo obrigatório na plataforma MyCiber, com prazos definidos consoante o tipo de entidade;
- Designação do Responsável de Cibersegurança e do Ponto de Contacto Permanente, reforçando a articulação com as autoridades competentes;
- Processo formal de qualificação das entidades, conduzido pelas autoridades de cibersegurança;
- Obrigação de notificação de incidentes no prazo de 24 horas, em caso de impacto significativo;
- Submissão da lista de ativos críticos, essencial para o mapeamento e gestão do risco;
- Implementação de medidas técnicas e organizacionais de cibersegurança, bem como obrigações de reporte periódico.
Importa sublinhar que o documento final apresenta alterações face à versão anteriormente colocada em consulta pública, nomeadamente ao nível dos prazos e requisitos operacionais, o que exige a revisão dos planos de conformidade em curso.
Um regime mais exigente e com maior alcance
A NIS 2 representa uma mudança estrutural face à NIS 1, alargando o seu âmbito a um conjunto mais vasto de setores e entidades, incluindo organizações de média dimensão em áreas críticas e digitais.
Para além da expansão do âmbito, destaca-se o reforço da responsabilização dos órgãos de gestão, a exigência de adoção de medidas de gestão de risco mais robustas e a introdução de um quadro sancionatório mais exigente. A cibersegurança deixa, assim, de ser encarada como um domínio exclusivamente técnico, passando a assumir-se como uma responsabilidade transversal à organização e ao nível da gestão de topo.
Impacto nas organizações
A implementação do novo regime coloca desafios relevantes às organizações, particularmente aquelas com ambientes tecnológicos complexos, operações em múltiplas geografias ou sujeitas a vários enquadramentos regulatórios.
A necessidade de alinhar requisitos legais, medidas técnicas e processos operacionais — frequentemente em prazos exigentes — requer uma abordagem estruturada, integrada e multidisciplinar. Adicionalmente, a interligação da NIS 2 com outros regimes, como o RGPD, o DORA ou regulamentação setorial específica, aumenta a complexidade do exercício de conformidade.
Experiência prática e abordagem integrada
Neste contexto, a EY tem vindo a colaborar com diversos clientes no apoio jurídico e técnico à implementação da NIS 2, incluindo avaliações de conformidade, definição de roadmaps e apoio na execução de atividades concretas de conformidade.
Destaca-se igualmente a experiência acumulada em projetos já desenvolvidos em múltiplos setores críticos, como energia, saúde, transportes, indústria e outros, refletindo a transversalidade do impacto da NIS 2.
Temos vindo a desenvolver projetos em diversas jurisdições europeias, apoiando organizações com operações multinacionais, incluindo Portugal, Espanha, França, Alemanha, Bélgica, Países Baixos, Polónia, Roménia, Itália, Grécia, Dinamarca e outros países. Estes projetos decorrem frequentemente em contextos complexos, envolvendo ambientes de IT e OT e exigindo a articulação com diferentes regimes regulatórios.
Sempre que necessário, contamos com o suporte de outros escritórios da EY, assegurando acesso a conhecimento especializado local. Esta abordagem assenta numa forte articulação de iniciativas e numa partilha contínua de conhecimento na nossa rede internacional, permitindo garantir consistência, qualidade e alinhamento com as melhores práticas.
Preparação e próximos passos
Face ao início da contagem dos prazos e ao nível de exigência do novo regime, é essencial que as organizações:
• Confirmem o seu enquadramento no âmbito da NIS 2;
• Atualizem os seus planos de conformidade;
• Reforcem as suas estruturas de governação e de gestão de risco;
• Estruturem os processos de reporte e resposta a incidentes.
A antecipação e a preparação serão determinantes para assegurar a conformidade e mitigar riscos legais e operacionais.
A EY mantém-se disponível para apoiar os seus clientes neste processo, combinando conhecimento regulatório, experiência técnica e uma abordagem integrada à cibersegurança.