Decreto Lei n.º 125/2025
NIS2
Com a aproximação da entrada em vigor do diploma, torna-se relevante recordar os principais marcos legais e prazos de implementação que passam a enquadrar as entidades abrangidas em Portugal. Estes marcos incluem não apenas a data de início de aplicação do regime, mas também um conjunto de prazos derivados e períodos de transição que condicionam o planeamento das atividades de conformidade.
Neste contexto, apresentamos um cronograma e uma linha temporal resumida, com o objetivo de relembrar os momentos-chave associados à entrada em vigor do Decreto-Lei n.º 125/2025, incluindo:
- a entrada em vigor do diploma;
- os prazos legais decorrentes da sua aplicação;
- os períodos de transição e implementação previstos;
- e um resumo dos principais marcos temporais relevantes para 2026.
Esta síntese pretende facilitar a identificação das datas críticas para entidades essenciais e importantes, apoiando o acompanhamento do processo de implementação e o planeamento das medidas necessárias para assegurar o cumprimento do novo regime de cibersegurança:
- Entrada em vigor do Decreto-Lei n.º 125/2025: O regime jurídico entra em vigor 120 dias após a sua publicação (4 de dezembro de 2025). A partir desta data, as entidades abrangidas passam a estar sujeitas às obrigações legais de cibersegurança previstas no diploma.
- Prazos Legais Derivados após a Entrada em Vigor (Datas Importantes para 2026):
-
20 dias úteis após 3 Abr 2026: Nomeação de responsável de cibersegurança
As entidades abrangidas deverão nomear o respetivo responsável de cibersegurança e outro ponto de contacto 24/7, em conformidade com os artigos relevantes do diploma (artigos 31.º e 32.º). - 60 dias após 3 Abr 2026
Auto-qualificação e registo junto do CNCS
As entidades deverão proceder à auto-qualificação e ao registo na plataforma eletrónica do Centro Nacional de Cibersegurança (CNCS) dentro do prazo legal posterior à disponibilização da plataforma.
- Data de Transição e Períodos de Implementação Importantes:
- Abril 2027: Até esta data, decorre o período de adaptação sem aplicação plena de coimas previsto no regime;
- Abril 2028: Fim do período completo de implementação da conformidade - Prazo final para a implementação integral das medidas técnicas e organizativas.
- Resumo em linha do tempo
|
Tema |
Data / Prazo |
Descrição |
|
Entrada em vigor do DL n.º 125/2025 |
4 de abril de 2026 (120 dias após 4 de dezembro de 2025) |
Início da aplicação do regime jurídico. As entidades passam a estar sujeitas às obrigações legais de cibersegurança. |
|
Nomeação do responsável de cibersegurança |
20 dias úteis após 3 de abril de 2026 |
Nomeação do responsável de cibersegurança e do ponto de contacto permanente 24/7. |
|
Autoqualificação e registo no CNCS |
60 dias após 3 de abril de 2026 |
Registo e autoqualificação na plataforma do CNCS, após a sua disponibilização. |
|
Período de adaptação interna (não decorre de aplicação direta da Lei) |
Até Abril de 2027 |
Todas as entidades essenciais, importantes e públicas relevantes podem, mediante pedido devidamente fundamentado, solicitar à autoridade de cibersegurança competente a dispensa da aplicação de coimas referidas no n.º 2 do artigo 61.º e no n.º 2 do artigo 62.º da Lei 125/2025, com fundamento na inexistência de um procedimento interno de adaptação dessas entidades ao novo regime jurídico, durante 12 meses a contar da entrada em vigor do presente decreto-lei. - Artigo 65.º da Lei 125/2025. |
|
Fim do período completo de implementação da conformidade |
Abril de 2028 |
Prazo final para a implementação integral das medidas técnicas e organizativas. |
Entre em contacto
