Viriatus
Voltar ao blog Compliance

DL 125/2025: Guia Prático de Implementação para o Responsável de Cibersegurança

Checklist operacional completa com todas as obrigações do novo regime jurídico da segurança do ciberespaço, prazos de implementação e passos concretos para conformidade.

S Sérgio Silva
·
15 de abril de 2026
·
8 min
DL 125/2025NIS2ComplianceCNCSImplementação

Resumo

O Decreto-Lei n.º 125/2025, de 4 de dezembro, entrou em vigor a 3 de abril de 2026, estabelecendo o novo regime jurídico da segurança do ciberespaço em Portugal e transpondo a Diretiva (UE) 2022/2555 (NIS2). Este artigo constitui um guia prático de implementação destinado aos responsáveis de cibersegurança, detalhando as obrigações imediatas e continuadas, os prazos críticos de conformidade e os passos concretos necessários para assegurar o cumprimento integral do diploma.

Introdução

A transposição da Diretiva NIS2 para o ordenamento jurídico português, através do Decreto-Lei n.º 125/2025, representa uma transformação significativa no quadro regulatório da cibersegurança nacional. O diploma revoga simultaneamente o Decreto-Lei n.º 65/2021 e a Lei n.º 46/2018, que constituíam o regime anterior, e introduz obrigações substancialmente mais exigentes para um universo alargado de entidades (MLGTS, 2025).

O novo regime entra em vigor a 3 de abril de 2026, com um conjunto de obrigações de cumprimento imediato e outras de carácter progressivo. Para os profissionais de cibersegurança, a compreensão detalhada destas obrigações e dos respetivos prazos constitui uma prioridade operacional urgente. Conforme sublinha a PwC (2025), a transposição portuguesa introduz especificidades relevantes face ao texto europeu, nomeadamente no que respeita aos mecanismos de supervisão e ao papel reforçado do Centro Nacional de Cibersegurança (CNCS).

Âmbito de Aplicação: Entidades Essenciais e Importantes

O DL 125/2025 alarga significativamente o âmbito de aplicação face ao regime anterior. A classificação das entidades segue a taxonomia da Diretiva NIS2, distinguindo entre entidades essenciais e entidades importantes, com obrigações diferenciadas em função da criticidade setorial e da dimensão organizacional (European Parliament, 2022).

As entidades essenciais incluem os setores de energia, transportes, banca, infraestruturas dos mercados financeiros, saúde, água potável, águas residuais, infraestrutura digital, gestão de serviços TIC e administração pública. As entidades importantes abrangem os setores de serviços postais, gestão de resíduos, fabrico de produtos críticos, produção e distribuição alimentar, indústria transformadora e prestadores de serviços digitais (PLMJ, 2025).

A expansão setorial implica que organizações anteriormente fora do perímetro regulatório se encontram agora sujeitas a obrigações concretas de cibersegurança, incluindo empresas do setor alimentar, da gestão de resíduos e da indústria transformadora que excedam os limiares de dimensão definidos.

Cronograma de Implementação

4 Dez 2025Publicaçãodo DL 125/20253 Abr 2026Entrada em vigorRegisto MyCiber4 Mai 2026Nomeação doResp. CibersegurançaContínuoObrigações permanentesAnálise de risco, relatórios

Figura 1: Cronograma de implementação do DL 125/2025 — dos marcos regulatórios às obrigações permanentes

O cronograma de implementação define três marcos temporais críticos. O primeiro corresponde à entrada em vigor do diploma a 3 de abril de 2026, data a partir da qual as entidades abrangidas devem iniciar o registo na plataforma MyCiber do CNCS. O segundo marco — 4 de maio de 2026 — estabelece o prazo para a nomeação formal do responsável de cibersegurança, uma das obrigações mais urgentes do novo regime (CNCS, 2024). O terceiro marco é de natureza contínua, abrangendo todas as obrigações permanentes de análise de risco, reporte e gestão de incidentes.

Obrigações Imediatas

As entidades abrangidas devem cumprir, nos primeiros 30 dias após a entrada em vigor, um conjunto de obrigações estruturantes. A nomeação do responsável de cibersegurança constitui a obrigação mais premente, com prazo até 4 de maio de 2026. Este profissional deve possuir competências técnicas demonstráveis e reporte direto aos órgãos de gestão, assegurando a autonomia funcional necessária ao exercício das suas funções (PLMJ, 2025).

O registo na plataforma MyCiber do CNCS é igualmente de cumprimento imediato. As entidades devem fornecer informações atualizadas sobre a sua infraestrutura digital, pontos de contacto de segurança e âmbito de atividade. A plataforma constitui o canal oficial de comunicação com a autoridade competente para efeitos de supervisão, notificação de incidentes e partilha de informação (CNCS, 2024).

Obrigações Continuadas e Matriz de Aplicabilidade

ObrigaçãoEntidades EssenciaisEntidades ImportantesNomeação resp. cibersegurançaObrigatórioObrigatórioRegisto plataforma MyCiberObrigatórioObrigatórioAnálise de risco documentadaObrigatórioObrigatórioPlano de segurança formalObrigatórioObrigatórioInventário de ativos críticosObrigatórioObrigatórioRelatório anual ao CNCSObrigatórioObrigatórioNotificação de incidentes (24h)ObrigatórioObrigatórioAuditoria de segurança periódicaObrigatórioRecomendado

Figura 2: Matriz de obrigações — aplicabilidade por tipo de entidade

Para além das obrigações imediatas, o DL 125/2025 estabelece um conjunto de obrigações permanentes que estruturam o programa de cibersegurança das entidades abrangidas. A análise de risco documentada deve ser conduzida com periodicidade mínima anual, abrangendo todos os sistemas e redes de informação relevantes para a prestação dos serviços abrangidos. O plano de segurança deve refletir os resultados desta análise e definir as medidas técnicas e organizativas de mitigação (MLGTS, 2025).

O inventário de ativos constitui uma obrigação transversal, exigindo a identificação e classificação de todos os ativos de informação, sistemas e infraestruturas de rede. O relatório anual ao CNCS deve documentar o estado de conformidade, incidentes relevantes e evolução da postura de segurança. A notificação de incidentes significativos deve ocorrer num prazo máximo de 24 horas após a deteção, seguida de relatório detalhado em 72 horas (PwC, 2025).

Responsabilização dos Órgãos de Gestão

Uma das inovações mais relevantes do novo regime, transposta diretamente do Artigo 20.º da Diretiva NIS2, é a responsabilização pessoal dos órgãos de gestão pela supervisão da cibersegurança. Os membros dos conselhos de administração e direção devem aprovar as medidas de gestão de risco, supervisionar a sua implementação e receber formação adequada em matéria de cibersegurança (European Parliament, 2022).

Em caso de negligência grosseira na supervisão das obrigações de cibersegurança, os membros dos órgãos de gestão podem ser pessoalmente responsabilizados, incluindo a possibilidade de inibição temporária do exercício de funções de gestão. Esta disposição alinha a cibersegurança com os padrões de corporate governance já existentes noutras áreas regulatórias e reforça a importância do envolvimento executivo na gestão do risco cibernético (PLMJ, 2025).

Checklist de Implementação

Checklist de Conformidade — DL 125/20251.Verificar enquadramento setorial (essencial vs. importante)Imediato2.Nomear responsável de cibersegurança com reporte à gestãoAté 4 Mai3.Registar entidade na plataforma MyCiber do CNCSImediato4.Conduzir análise de risco abrangente e documentada30 dias5.Elaborar plano de segurança com medidas de mitigação60 dias6.Compilar inventário de ativos e classificação de criticidade60 dias7.Implementar procedimento de notificação de incidentes (24h/72h)30 dias8.Assegurar formação dos órgãos de gestão em cibersegurança90 dias9.Avaliar interseções com DORA, RGPD e regulação setorial90 dias10.Definir programa de auditoria e melhoria contínuaAnualImediatoAté prazo específico30-60 dias90 dias / Contínuo

Figura 3: Checklist de conformidade com indicadores de prazo para cada obrigação

A implementação do DL 125/2025 pode ser estruturada em dez passos concretos, organizados por urgência temporal. Os três primeiros passos — verificação do enquadramento setorial, nomeação do responsável de cibersegurança e registo na plataforma MyCiber — são de cumprimento imediato ou com prazo definido de 30 dias. Os passos quatro a sete, relativos à análise de risco, plano de segurança, inventário de ativos e procedimento de notificação de incidentes, devem ser concluídos nos primeiros 60 dias. Os passos finais, incluindo a formação dos órgãos de gestão e a avaliação de interseções regulatórias, completam o programa de conformidade inicial num horizonte de 90 dias.

Articulação com DORA, RGPD e Regulação Setorial

O DL 125/2025 não opera isoladamente no panorama regulatório. As entidades do setor financeiro devem articular as obrigações deste diploma com o Regulamento DORA (Digital Operational Resilience Act), que estabelece requisitos específicos de resiliência operacional digital. O próprio texto do DL 125/2025 prevê mecanismos de lex specialis, reconhecendo que regulação setorial mais exigente prevalece sobre as disposições gerais do regime de cibersegurança (MLGTS, 2025).

A articulação com o RGPD é igualmente relevante, nomeadamente no que respeita à notificação de incidentes que envolvam dados pessoais. A obrigação de notificação ao CNCS em 24 horas coexiste com a obrigação de notificação à CNPD em 72 horas prevista no Artigo 33.º do RGPD, exigindo que as entidades disponham de procedimentos coordenados que assegurem o cumprimento simultâneo de ambos os regimes (PwC, 2025).

Conclusão

O DL 125/2025 representa um salto qualitativo na regulação da cibersegurança em Portugal, alinhando o regime nacional com os padrões europeus estabelecidos pela Diretiva NIS2. A responsabilização pessoal dos órgãos de gestão, o alargamento do âmbito setorial e o reforço das obrigações de notificação e reporte configuram um quadro regulatório substancialmente mais exigente. Para os responsáveis de cibersegurança, o cumprimento atempado das obrigações imediatas — em particular a nomeação formal e o registo na plataforma MyCiber — constitui a prioridade operacional mais urgente nas próximas semanas. A utilização de uma abordagem estruturada, baseada na checklist de implementação apresentada, permite assegurar uma transição ordenada para o novo regime e mitigar os riscos de incumprimento.

Referências

CNCS. (2024). Relatório Cibersegurança em Portugal. Centro Nacional de Cibersegurança.

Decreto-Lei n.º 125/2025, de 4 de dezembro. Diário da República.

European Parliament. (2022). Directive (EU) 2022/2555 (NIS2). Official Journal of the European Union.

MLGTS. (2025). Legal Alert: Novo Regime Jurídico de Cibersegurança. Morais Leitão, Galvão Teles, Soares da Silva & Associados.

PLMJ. (2025). Transposição da Diretiva NIS 2: Regime Jurídico da Segurança do Ciberespaço. PLMJ Advogados.

PwC. (2025). DL 125/2025: Transposição da NIS2 em Portugal. PwC Portugal.

Sérgio Silva
Sobre o Autor
Sérgio Silva
CEO — CyberS3C

Fundador da CyberS3C e CEO do Viriatus. Formado pela NOVA, com mais de 20 anos de experiência em administração pública, perito da Comissão Europeia e CISO da APDP.

Artigos Relacionados

Compliance · 04/2026

Comunicação de Incidentes ao CNCS segundo a NIS2: Prazos, Obrigações e Procedimentos

Ler Compliance · 03/2026

NIS2: O Que Muda Para as Organizações Portuguesas

Ler Cibersegurança · 04/2026

Mais-Valia dos Modelos de Treino para Agentes Autónomos de Pentesting: Por Que Um Modelo Nacional Supera Um Modelo Internacional

Ler