Implementação da NIS2: o que precisa de saber para estar em conformidade em 2026

29 de abril de 2026

5 min. de leitura

Resumir com IA

Neste momento, a maior parte das pessoas que dirigem uma empresa na Europa já ouviram o acrónimo NIS2. Se já fizeram alguma coisa a esse respeito é outra questão.

A diretiva está a ser integrada na legislação nacional dos 27 Estados-Membros, com alguns países à frente e outros ainda a recuperar o atraso. Mas o rumo não está a mudar: o que antes era uma orientação voluntária em matéria de cibersegurança tem agora consequências legais, prazos definidos e, se estiver na gestão, responsabilidade pessoal.

Abaixo, descrevo o caminho crítico para a conformidade com o NIS2, para que possa compreender claramente como trabalhar através desta complexidade.

Stanislav Kazanov

Diretor de GRC, Cibersegurança e Sustentabilidade

O Stanislav incorpora a segurança e a sustentabilidade no ADN de cada sistema. Ele navega na intersecção entre a conformidade global e a computação ecológica, assegurando que as infra-estruturas são simultaneamente à prova de bala contra ameaças e ambientalmente responsáveis.

Ver perfil

O que é a diretiva NIS2?

A Diretiva NIS2 é a legislação emblemática da UE destinada a melhorar o nível de base da cibersegurança.

Em 2016, a UE publicou a primeira Diretiva SRI, que foi um bom começo, mas que pressupunha um cenário de ameaças que agora parece quase estranho. A NIS2 aprendeu as lições da sua antecessora e substituiu-a por um quadro mais amplo com regras uniformes em todos os países, normas mais elevadas, mais sectores abrangidos e sanções suficientemente consistentes para que não seja possível procurar uma jurisdição mais branda.

Consequentemente, as empresas de todos os Estados-Membros não podem continuar a tratar a cibersegurança como uma atividade de “melhor esforço”. Têm de avançar para um quadro juridicamente vinculativo com expectativas claras em relação à resiliência, à comunicação de incidentes e a quem cabe a responsabilidade se algo correr mal.

Lista de controlo da implementação do NIS2: Requisitos essenciais da UE

Obtenha a sua lista de verificação de conformidade NIS2 gratuita e avalie o seu nível atual de preparação. É uma maneira simples de ver o que já está em vigor e o que ainda precisa de atenção.

Como a Polónia implementou o NIS2

A Polónia aprovou a sua lei actualizada - alterações à Lei do Sistema Nacional de Cibersegurança - no início de 2026. A estrutura segue a diretiva da UE, mas divide a supervisão de uma forma que reflecte as disposições institucionais locais.

Por exemplo, o CSIRT MON* supervisiona as entidades relacionadas com a defesa; o CSIRT NASK** cobre as infra-estruturas digitais críticas e a administração pública. Outros organismos sectoriais supervisionam áreas como a energia, as finanças, os cuidados de saúde e os transportes. Além disso, existe um registo central que documenta quais as entidades classificadas como essenciais ou importantes.

A partir de abril de 2026, é obrigatório o cumprimento dos requisitos de informação, dos procedimentos de supervisão e dos procedimentos de execução previstos na legislação polaca.

Que empresas são afectadas?

O âmbito de aplicação é mais alargado do que anteriormente. A classificação depende de dois factores: sector e dimensão, e vai para além das infra-estruturas críticas tradicionais.

A NIS2 distingue entre entidades essenciais, cuja perturbação teria um impacto social ou económico importante, e entidades importantes, em que o impacto seria significativo mas menos crítico.

Entidades essenciais

Grandes empresas (mais de 250 trabalhadores, mais de 50 milhões de euros de volume de negócios) em sectores-chave; ou médias empresas em sectores críticos.

Energia, transportes, banca, infra-estruturas do mercado financeiro, saúde, infra-estruturas digitais.

Entidades importantes

Médias empresas (50-249 trabalhadores, 10 milhões a 50 milhões de euros de volume de negócios) em sectores-chave; ou qualquer entidade (independentemente da dimensão) em sectores específicos.

Serviços postais, gestão de resíduos, produtos químicos, produtos alimentares (grandes produtores e distribuidores), indústria transformadora (dispositivos médicos, eletrónica).

Mesmo que não cumpra os limites de dimensão, as autoridades podem designá-lo como “essencial” ou “importante” com base no impacto potencial de uma interrupção do seu serviço.

Principais requisitos de cibersegurança no âmbito do NIS2

De acordo com a diretiva, o seu funcionamento será baseado no risco, o que significa que as medidas que tomar devem ser proporcional à dimensão da sua empresa e às ameaças que pode enfrentar. Estas são geralmente formalizadas através de um sistema de gestão da segurança da informação (SGSI). Para tal, realizará as seguintes actividades

Efetuar avaliações de risco regulares
Manter políticas de segurança documentadas que formalizem as funções, responsabilidades e controlos da organização
Estabelecer um processo para lidar com incidentes de segurança, incluindo a prevenção, deteção, comunicação e resposta dentro de prazos especificados para a notificação das autoridades
Assegurar que os planos de gestão de cópias de segurança, de recuperação de desastres e de gestão de crises estão em vigor e operacionais durante as perturbações
Conduzir a devida diligência e o acompanhamento contínuo dos fornecedores, incluindo a definição de requisitos de segurança e a recolha de provas dos fornecedores
Implementar protecções básicas do sistema, tais como controlo de acesso, encriptação, MFA e aplicação de patches
Fornecer ao pessoal e à direção formação sobre o SGSI e estabelecer procedimentos para uma integração e desinstalação seguras

Apoio especializado para gerir os requisitos NIS2

Avalie as lacunas de conformidade, implemente controlos e esteja preparado para auditorias com o Innowise.

Novos prazos de conformidade com a NIS2

A UE exigiu que os Estados-Membros transpusessem a diretiva até 17 de outubro de 2024. Alguns fizeram-no, outros não. Assim, os prazos dependem agora do local onde está registado, uma vez que são fixados a nível nacional e variam consoante a jurisdição.

Registo de entidades

Normalmente, isto acontece alguns meses após a entrada em vigor da legislação nacional ou quando é classificado como essencial ou importante.

Medidas de cibersegurança

Esperado a partir do momento em que a lei se aplica a si. Na prática, desde o primeiro dia, embora a aplicação das medidas de controlo possa ser faseada.

Primeira auditoria de conformidade

Se for selecionado, o prazo de entrega é normalmente de 18 a 24 meses, embora as autoridades possam ser mais rápidas, dependendo do seu perfil de risco.

Estes prazos são indicativos e podem variar em função da forma como cada Estado-Membro implementa e aplica a NIS2 a nível nacional, pelo que deve verificar o que se aplica no seu país.

Sanções por incumprimento

É aqui que as coisas começam a ficar mais matizadas. A diretiva estabelece um limite mínimo e não um limite máximo: Os Estados-Membros devem estabelecer um nível mínimo para as coimas máximas, mas podem sempre ir mais longe se quiserem. Nos termos do artigo 34.º, os Estados-Membros têm de garantir que as coimas são eficazes, proporcionadas e dissuasivas. Em linguagem simples, suficientemente grande para magoar, justo em relação ao que se fez de errado e suficientemente grave para que ninguém olhe para ele e pense “vale a pena o risco”.”

A diretiva divide esta situação em dois níveis para as coimas máximas:

Para entidades essenciais

≥ 10 milhões de euros

ou 2% do seu volume de negócios anual global, consoante o que for mais elevado

Para entidades importantes

≥ 7 milhões de euros

ou 1,4 por cento do volume de negócios anual global, consoante o que for mais elevado

Para ver como isto funciona na prática, tomemos a Polónia como exemplo. A sua legislação reflecte estes limiares do NIS2. Para as organizações de maior dimensão, aplica-se o cálculo baseado no volume de negócios, pelo que, se a sua faturação global for de mil milhões de euros, 2% corresponde a 20 milhões de euros. Para violações graves que ameacem a defesa nacional, a segurança do Estado ou a segurança pública, a legislação polaca vai mais longe: multas até 100 milhões de zlotys (cerca de 23 milhões de euros).

Uma escala completamente diferente, certo? Por isso, não são apenas os grandes operadores que têm de se preocupar com a percentagem, mas qualquer pessoa no sector errado.

Porque é que o NIS2 é uma mudança importante para as empresas na Polónia

Duas coisas mudaram.

Em primeiro lugar, a responsabilidade. Anteriormente, se uma empresa tinha uma segurança fraca, a responsabilidade era muitas vezes suficientemente dispersa para que nenhuma pessoa se sentisse exposta. Atualmente, os conselhos de administração são explicitamente responsáveis. Isso muda a forma como estas conversas se desenrolam internamente.

Em segundo lugar, a escala. Milhares de empresas polacas que nunca foram sujeitas a auditorias obrigatórias em matéria de cibersegurança são agora obrigadas a fazê-lo. E as rigorosas janelas de aviso prévio de 24 horas e de comunicação formal de 72 horas significam que é necessário monitorizar e implementar processos antes que algo aconteça.

Estudos espetáculo que cerca de metade das pequenas e médias empresas têm controlos de segurança básicos implementados e cerca de metade sofreram um incidente nos últimos dois anos. Estes números sugerem que muitas organizações estão a começar do zero.

* Equipa de resposta a incidentes de segurança informática do Ministério da Defesa Nacional

** Equipa de resposta a incidentes de segurança informática operada pela Rede Informática Académica e de Investigação, o instituto nacional de investigação da Polónia

Mais sobre este tema

Blogue

Navegar no DORA: o regulamento da UE para a resiliência digital

Blogue

Cibersegurança no sector bancário: importância, ameaças e desafios

Blogue

Como evitar violações de dados nos cuidados de saúde: melhores práticas de segurança

Contactar-nos

Marcar uma chamada ou preencha o formulário abaixo e entraremos em contacto consigo assim que tivermos processado o seu pedido.

Nome

Empresa

Correio electrónico

Telefone

Mensagem

Envie-nos uma mensagem de voz

Anexar documentos

Enviar ficheiro

Pode anexar um ficheiro com um máximo de 2MB. Formatos de ficheiro válidos: pdf, jpg, jpeg, png.

Ao clicar em Enviar, o utilizador autoriza a Innowise a processar os seus dados pessoais de acordo com a nossa Política de privacidade para lhe fornecer informações relevantes. Ao enviar o seu número de telefone, o utilizador aceita que o possamos contactar através de chamadas de voz, SMS e aplicações de mensagens. Poderão ser aplicadas tarifas de chamadas, mensagens e dados.

Pode também enviar-nos o seu pedido
para contact@innowise.com

O que é que acontece a seguir?

Assim que recebermos e processarmos o seu pedido, entraremos em contacto consigo para necessidades do seu projeto e assinar um NDA para garantir a confidencialidade.

Depois de analisarmos os seus desejos, necessidades e expectativas, a nossa equipa elaborará uma proposta de projeto proposta de projeto com o âmbito do trabalho, dimensão da equipa, tempo e estimativas de custos.

Marcaremos uma reunião consigo para discutir a oferta e acertar os pormenores.

Por fim, assinaremos um contrato e começaremos a trabalhar no seu projeto imediatamente.