Nova lei da cibersegurança: coimas milionárias, deveres reforçados e risco reputacional

No início de novembro o Governo aprovou uma nova lei que introduz um novo regime de cibersegurança em Portugal, estando prevista entrar em vigor em abril. Este regime transpõe para a ordem jurídica interna a Diretiva (UE) 2022/2555, conhecida como Diretiva NIS2.

Com esta lei, pretende-se reforçar a “resiliência digital” em Portugal, assegurando a harmonização e padronização das exigências de segurança digital na União Europeia (UE). “Este é um passo fundamental para Portugal: pretende-se padronizar os requisitos de segurança digital no sentido de proteger, de forma adequada, eficaz e preventiva, infraestruturas críticas, serviços essenciais e as cadeias de fornecimento”, explica o sócio da Abreu Advogados Ricardo Henriques.

Em termos práticos, a nova lei traduz-se na passagem de um modelo predominantemente setorial para um modelo transversal, “com deveres formais ao nível da governação, da gestão de risco e do reporte de incidentes, bem como na criação e consolidação de instrumentos nacionais”, nota a sócia da Antas da Cunha Ecija Ana Bastos.

O decreto-lei não se aplica a todas as empresas, estando contempladas as entidades qualificadas como “essenciais” ou “importantes” dos setores críticos para o funcionamento da economia e da sociedade. Exemplos desses setores são o de energia, transportes, bancário, saúde, água, telecomunicações, infraestruturas, administração pública ou, de forma mais ampla, que atuem nos serviços essenciais da sociedade.

“Em regra, aplica-se a entidades de setores listados no diploma, sobretudo quando tenham dimensão média ou grande. As micro e pequenas empresas encontram-se, por princípio, excluídas, salvo quando a criticidade da atividade imponha a sua inclusão, designadamente por unicidade do prestador num território, impacto sistémico, efeitos transversais ou papel indispensável em cadeias de serviços essenciais”, revela a sócia da Vieira de Almeida (VdA) Inês Antas de Barros.

Mas quais são os critérios para identificar uma entidade como “essencial” e “importante”? Segundo Ricardo Henriques, os critérios baseiam-se em três principais vetores: o setor de atividade das organizações; o potencial impacto de um incidente; e a dimensão e relevância da entidade no mercado ou na cadeia de abastecimento considerada.

“A distinção entre entidades essenciais e importantes decorre, por isso, de uma avaliação de risco que combina o setor, a dimensão e o impacto potencial de incidentes numa determinada entidade”, acrescenta.

Falhas de cibersegurança podem custar até 10 milhões de euros

No contexto da NIS2 e do Decreto-Lei n.º 125/2025, o risco digital passa a ser central na governação e na estratégia corporativa e, como tal, várias obrigações passaram a ser impostas às entidades abrangidas. Segundo a sócia da VdA, o regime impõe um conjunto exigente de medidas de gestão de risco e de resposta a incidentes.

“Na gestão de risco, destacam‑se políticas e controlos técnicos e organizativos (governação, gestão de vulnerabilidades, controlo de acessos, encriptação), continuidade de negócio e recuperação (planos, cópias de segurança, exercícios de segurança), segurança da cadeia de fornecimento (diligência na seleção de prestadores, avaliação de risco de terceiros, cláusulas contratuais adequadas e monitorização de fornecedores críticos) e reforço do papel dos órgãos de gestão, direção e administração (aprovação e supervisão da estratégia de cibersegurança e formação adequada)”, explica.

No que concerne ao reporte, Inês Antas de Barros sublinha que o diploma densifica prazos, formatos e taxonomias de incidentes e estabelece procedimentos de cooperação com a autoridade competente e o Computer Security Incident Response Team (CSIRT) nacional.

O novo regime da cibersegurança reforça a responsabilidade dos órgãos de gestão, seja enquanto administração ou gerência, e dos seus titulares. Ou seja, impõe-se a obrigação de diligência em matéria de cibersegurança, o que implica que a equipa de gestão assegure os recursos, as políticas e os procedimentos internos adequados. O que, segundo explicou Ricardo Henriques, as falhas ou incidentes podem ter por consequência a responsabilidade civil dos membros de gestão.

“Tratando-se de entidades essenciais e importantes, caber-lhes-á especificamente a gestão da cibersegurança e da segurança da informação, incluindo a aprovação de medidas de gestão dos riscos de cibersegurança, a supervisão da aplicação daquelas medidas, a garantia do seu cumprimento a realização de ações de formação para promoção da cultura de gestão interna”, revela. O advogado acrescenta ainda que, no quadro sancionatório, ressalva-se, enquanto sanção acessória, a possibilidade de interdição temporária dos titulares dos órgãos de gestão do exercício das suas funções.

No caso de incumprimento da lei, as coimas podem ascender aos 10 milhões de euros. “Ao nível contraordenacional, as coimas podem atingir valores muito significativos: até 10 milhões de euros ou 2% do volume de negócios anual mundial para entidades essenciais e até 7 milhões de euros ou 1,4% para entidades importantes. A negligência é punível e o pagamento da coima não dispensa o cumprimento da obrigação em falta”, revela Ana Bastos.

Já no âmbito das sanções acessórias, Ricardo Henriques explica que, dependentes da avaliação da gravidade e do juízo de culpa concreto, pode cumular-se a publicação da decisão de condenação em Diário da República, a proibição de participação em procedimentos de contratação pública ou, por exemplo, a suspensão da prestação do serviço.

“Em face do impacto transversal da cibersegurança nas organizações, o incumprimento pode envolver externalidades que não se esgotam no âmbito estrito deste regime. Em especial, destaca-se o potencial impacto para a reputação da entidade, para a manutenção das suas operações e atividade ou, ainda, no que respeita à exposição a riscos de incumprimento contratual ou legal noutros âmbitos”, alerta o sócio da Abreu Advogados.

No que concerne à supervisão, a entidade responsável é o Centro Nacional de Cibersegurança (CNCS), mas o regime prevê ainda autoridades com competências específicas em determinados setores, como a ANACOM no domínio das comunicações eletrónicas e do setor postal, e as autoridades do setor financeiro no contexto do Regulamento DORA, designadamente o Banco de Portugal, a CMVM e a ASF.

“A supervisão será mais intensa e preventiva para entidades essenciais, enquanto para entidades importantes assume, em regra, um caráter ex post, acionado quando existam indícios ou provas de incumprimento”, explica a sócia da Antas da Cunha Ecija.

Um novo teste à maturidade digital das empresas

Para as pequenas e médias empresas (PME), que até agora não tinham de cumprir normas tão exigentes de cibersegurança, novos desafios práticos impõem-se. Para Inês Antas de Barros, o primeiro desafio é mapear “com rigor” as novas obrigações aplicáveis num “ecossistema regulatório denso e interligado”, identificando lacunas e priorizando ações.

“Em seguida, importa assegurar conformidade material, com atenção à gestão da cadeia de fornecimento – processos de contratação e cláusulas contratuais -, gestão de incidentes e vulnerabilidades, princípios de security‑by‑design, formação contínua e cultura organizacional de segurança”, aponta.

Uma coisa é certa, a sócia da VdA considera que o esforço de implementação irá variar com a maturidade existente, “podendo ser significativo para organizações sem regimes prévios de cibersegurança, quer pela complexidade regulatória, quer por constrangimentos de recursos e necessidade de investimento”.

Já a sócia da Antas da Cunha Ecija identifica como desafios “significativos”, principalmente para as empresas sem “experiência prévia”, a escassez de recursos humanos especializados, necessidade de assegurar pontos de contacto permanentes, cumprimento de prazos curtos de reporte, revisão da cadeia de abastecimento e dos contratos com fornecedores, aumento da carga documental e custos indiretos associados à supervisão e a auditorias. “É expectável também um efeito indireto sobre pequenos fornecedores e alguma assimetria competitiva entre empresas com diferentes níveis de maturidade em cibersegurança”, acrescenta.

Os advogados contactados pela Advocatus consideram que, caso esta lei seja bem implementada, pode trazer benefícios estruturais para Portugal a médio e longo prazo, como a aproximação do tecido empresarial nacional às práticas europeias e o aumento e reforço da confiança dos operadores económicos, consumidores e investidores na fiabilidade e integridade dos serviços e infraestruturas nacionais.

“Uma implementação consistente pode reforçar de forma significativa a resiliência dos setores críticos, melhorar a coordenação nacional na resposta a incidentes, integrar definitivamente a cibersegurança na esfera da gestão de topo e aumentar a confiança no ecossistema digital português, tanto para cidadãos como para empresas e investidores”, garante a sócia da Antas da Cunha Ecija.

Por outro lado, existem riscos. Segundo Inês Antas de Barros, o principal risco é a deriva para uma abordagem de “mera conformidade formal”, assente em checklists, dissociada da melhoria efetiva do nível de segurança.

“Os planos de conformidade devem ser concebidos como instrumentos estratégicos de gestão de risco, alinhando requisitos legais, objetivos de negócio e resiliência operacional. Organizações que transformem as exigências do regime em vantagem competitiva estarão melhor posicionadas para competir e inovar com segurança”, sublinha a sócia da VdA.