Entrada em vigor a 3 de abril de 2026 — Prepare a governação da cibersegurança da sua organização

Artigo 25.º do Decreto-Lei n.º 125/2025

Os titulares dos órgãos de gestão respondem pessoalmente pelas infrações em matéria de cibersegurança

A cibersegurança deixou de ser apenas uma questão técnica. O novo regime jurídico impõe obrigações específicas de governação aos administradores, directores e gestores de topo — com responsabilização pessoal pelo incumprimento.

Compreender as minhas responsabilidades
Conhecer os serviços

21.000–45.000

Titulares de órgãos de gestão abrangidos

até €200.000

Coimas aplicáveis a pessoas singulares

até 3 anos

Interdição do exercício de funções

O Novo Regime — Visão Executiva

O que precisa de saber enquanto titular de um órgão de gestão

O Decreto-Lei n.º 125/2025, de 4 de dezembro, aprova o regime jurídico da cibersegurança em Portugal, transpondo a Diretiva NIS2. O diploma entra em vigor a 3 de abril de 2026 e estabelece um período de dispensa de aplicação de coimas de 12 meses — que não elimina as obrigações, apenas suspende temporariamente as sanções.

Para os titulares dos órgãos de gestão, o artigo 25.º constitui o epicentro regulatório: impõe quatro obrigações específicas de governação (aprovar, supervisionar, garantir e formar-se) e consagra um regime de responsabilização pessoal por acção ou omissão com dolo ou culpa grave.

A cibersegurança deixou de ser uma matéria exclusivamente técnica delegável nas equipas de TI. É agora uma responsabilidade formal dos órgãos de gestão, com consequências patrimoniais, reputacionais e profissionais para quem as exerce.

O que isto significa para si

Se é administrador, director ou gestor de topo de uma entidade abrangida pelo regime NIS2, terá obrigações pessoais em matéria de cibersegurança — e poderá ser responsabilizado individualmente pelo seu incumprimento.

Artigo 25.º — As Suas Quatro Obrigações

O que o regime jurídico exige dos titulares dos órgãos de gestão

Aprovar

Pronunciar-se formalmente sobre as medidas de gestão de riscos de cibersegurança adoptadas pela entidade. O acto de aprovação deve ser documentado — tipicamente em acta — e implica análise crítica das medidas propostas. Não é um acto meramente formal ou de chancela.

Alínea a) do n.º 1

Supervisionar

Acompanhar a execução das medidas aprovadas, verificar o cumprimento, identificar desvios e determinar correcções. A supervisão distingue-se da gestão operacional: é governance, não management. Materializa-se em relatórios periódicos e indicadores.

Alínea b) do n.º 1

Garantir

Assegurar o cumprimento das medidas de supervisão e execução determinadas pelas autoridades competentes. Implica colaborar com o CNCS, responder a solicitações de informação, permitir auditorias e implementar medidas determinadas.

Alínea c) do n.º 1

Formar-se

Frequentar formação periódica em cibersegurança que permita compreender os riscos e exercer as funções de governação. Fundamenta-se no princípio de que não é possível aprovar e supervisionar matérias que não se compreendem minimamente.

Alínea d) do n.º 1

Sobre a delegação (n.º 3 do artigo 25.º)

A responsabilidade e poderes necessários para o cumprimento destas obrigações não podem ser delegados, excepto num dos titulares do órgão de gestão para supervisão quotidiana. A delegação não transfere integralmente a responsabilidade do órgão colectivo — o delegante mantém responsabilidade residual.

Responsabilização Pessoal — O Que Está em Causa

O regime de responsabilização consagrado no n.º 2 do artigo 25.º

«Os titulares dos órgãos de gestão, direção e administração podem responder por acção ou omissão, com dolo ou culpa grave, nos termos da legislação aplicável, pelas infrações previstas no presente decreto-lei.»

Dolo

Consciência e vontade de praticar o facto ilícito. Configura dolo quando o gestor, conhecendo as obrigações legais e sabendo que a entidade não as cumpre, decide conscientemente não adoptar medidas ou impede activamente a sua adopção.

Culpa Grave

Violação grosseira dos deveres de cuidado exigíveis. Configura culpa grave a negligência na obtenção de informação sobre riscos, a desconsideração de alertas técnicos, a omissão prolongada na aprovação de medidas ou a ausência de qualquer mecanismo de supervisão.

Sanções Aplicáveis a Pessoas Singulares

€200.000

Coima máxima para contraordenações muito graves

€125.000

Coima máxima para contraordenações graves

3 anos

Interdição temporária do exercício de funções

A responsabilidade é pessoal

Não pode ser integralmente delegada. Os titulares dos órgãos de gestão respondem enquanto pessoas singulares, com potenciais consequências patrimoniais, reputacionais e profissionais que transcendem o interesse da organização.

Como nos Podemos Proteger

A melhor protecção contra a responsabilização por culpa grave é a demonstração de diligência adequada

Compreender

Conhecer exactamente o que nos é exigido pelo regime jurídico e pelo artigo 25.º em particular.

Documentar

Estabelecer práticas de diligência documentadas que evidenciem os actos de aprovação e supervisão.

Estruturar

Implementar estruturas de governação adequadas com fluxos de informação e decisão claros.

Formar

Frequentar formação que permita exercer adequadamente as funções de governação da cibersegurança.

Verificar

Confirmar a adequação da cobertura de seguro D&O face aos novos riscos emergentes do regime NIS2.

Preparar

Antecipar cenários de supervisão e fiscalização, preparando a organização para auditorias e inspecções.

Conhecer os nossos serviços

Os Nossos Serviços

Três linhas complementares para protecção individual e governação corporativa

Protecção Individual dos Gestores

RESP-01: Briefing Executivo «Responsabilidade Pessoal dos Gestores na NIS2»

Sessão de 90-120 minutos que apresenta o regime de responsabilização pessoal consagrado no artigo 25.º, n.º 2. Responde às questões fundamentais: O que me pode acontecer? Por que acções ou omissões posso ser responsabilizado? Como me posso proteger?

RESP-02: Workshop «Diligência e Evidenciação para Órgãos de Gestão»

Sessão de trabalho de 3-4 horas para identificação e implementação de práticas de diligência e mecanismos de evidenciação que permitam demonstrar o cumprimento das obrigações.

RESP-03: Consultoria «Análise de Exposição Individual»

Avaliação personalizada da exposição de cada membro do órgão de gestão face ao regime de responsabilização. Produz relatório individual confidencial com mapa de riscos e recomendações de mitigação.

RESP-04: Assessment «Cobertura de Seguro D&O para Riscos NIS2»

Análise das apólices de seguro D&O existentes, verificando a adequação da cobertura face aos novos riscos emergentes do regime NIS2. Identificação de lacunas e recomendações.

RESP-05: Programa «Preparação para Supervisão e Fiscalização»

Preparação dos órgãos de gestão para cenários de supervisão, auditoria e fiscalização pelo CNCS. Combina formação sobre direitos e deveres com simulação prática de cenários.

RESP-06: Linha de Apoio Governação (Avença)

Acompanhamento contínuo sob avença para suporte aos órgãos de gestão em questões relacionadas com as suas responsabilidades de governação da cibersegurança. Linha directa de acesso a especialistas.

Estruturas e Práticas de Governance

GOV-01: Briefing Executivo «Governação da Cibersegurança para Órgãos de Gestão»

Sessão de 90-120 minutos sobre o papel dos órgãos de gestão na governação da cibersegurança, desenvolvendo as quatro obrigações do artigo 25.º, n.º 1. Distingue claramente governance de management.

GOV-02: Workshop «Arquitectura de Governação NIS2»

Sessão de trabalho de 4-6 horas para desenho do modelo de governação da cibersegurança ao nível da gestão de topo, adaptado à realidade organizacional.

GOV-03: Consultoria «Desenho do Modelo de Delegação»

Definição e formalização do modelo de delegação de competências previsto no n.º 3 do artigo 25.º. Produz documentação jurídica para suportar a delegação.

GOV-04:Toolkit «Documentação de Governação»

Pacote de templates e modelos documentais: actas de aprovação, deliberações de delegação, relatórios de supervisão, checklists de evidenciação e guias de utilização.

GOV-05: Programa «Ciclo Anual de Governação NIS2»

Acompanhamento estruturado durante 12 meses para operacionalização do ciclo de governação NIS2, incluindo apoio na elaboração do relatório anual ao CNCS.

GOV-06:Formação Obrigatória para Órgãos de Gestão

Programa de formação periódica em cibersegurança para cumprimento da obrigação da alínea d) do artigo 25.º. Certificado de participação com evidenciação de cumprimento.

Pacotes e Programas Completos

INT-01: Pacote «Onboarding Governação da Cibersegurança»

Combinação de Briefings (Responsabilização + Governação), Toolkit Documentação e Análise de Exposição simplificada. Solução de entrada para activação imediata.

INT-02: Pacote «Conformidade Artigo 25.º Completa»

Oferta completa para estabelecimento de conformidade plena com o artigo 25.º, incluindo workshops, consultoria, toolkit e acompanhamento durante 12 meses.

INT-03: Programa «Governação para Administradores Não-Executivos»

Programa específico para ANEs, adaptado ao seu papel de supervisão sem envolvimento executivo. Aborda responsabilidades específicas e deveres de informação e diligência.

INT-04: Programa «Governação da Cibersegurança para Grupos Empresariais»

Governação multi-entidade para estruturas de grupo: responsabilidades em participações, articulação entre órgãos de diferentes níveis e modelos centralizados vs. descentralizados.

Solicitar Proposta

Uma Mensagem para o Seu Perfil

O que o regime NIS2 significa especificamente para si

Administradores de SA

“O regime NIS2 acrescenta uma nova dimensão às suas responsabilidades enquanto administrador. Assim como já supervisiona o risco financeiro, o compliance e a auditoria, terá agora de aprovar, supervisionar e garantir em matéria de cibersegurança — sob responsabilidade pessoal. A boa notícia: as práticas de governação corporativa que já conhece aplicam-se aqui. O desafio: compreender as especificidades do regime e evidenciar adequadamente a diligência.”

Administradores de SA

“O novo regime de cibersegurança responsabiliza-o pessoalmente pelo cumprimento de obrigações que pode nunca ter considerado relevantes para a sua função. É tempo de compreender o que lhe é exigido e de implementar práticas proporcionais que o protejam. Não precisa de se tornar um especialista técnico — mas precisa de saber o suficiente para exercer as suas funções de aprovação e supervisão.”

Administradores de SA

“A administração pública enfrenta obrigações específicas em matéria de cibersegurança que se acrescentam ao quadro de responsabilização já existente ao abrigo do estatuto do pessoal dirigente. Como dirigente de topo, a sua responsabilidade pessoal pode ser accionada por acção ou omissão em matéria de cibersegurança. O regime NIS2 aplica-se às entidades públicas relevantes com adaptações específicas.”

Recursos Gratuitos

Ferramentas práticas para compreender e cumprir as suas obrigações

Guia Executivo de Responsabilização

Síntese do regime de responsabilização pessoal dos órgãos de gestão no âmbito da NIS2.

Descarregar

Checklist Artigo 25.º

Lista de verificação prática para conformidade com as quatro obrigações do artigo 25.º.

Descarregar

Template de Acta de Aprovação

Modelo editável para documentar a aprovação de medidas de cibersegurança pelo órgão de gestão.

Descarregar

Autodiagnóstico de Exposição

Questionário rápido para avaliação preliminar da sua exposição individual ao regime de responsabilização.

Iniciar
Governação da Cibersegurança
Powered by  GDPR Cookie Compliance
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.