Portugal instalou um novo regime jurídico da cibersegurança com a publicação do Decreto-Lei n.º 125/2025 no Diário da República, em 4 de dezembro de 2025. O ato representa a transposição – para a legislação de Portugal – da Diretiva (UE) 2022/2555do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022que busca um nível comum de segurança no espaço da União. O decreto, que revoga uma anterior, responde à necessidade de proteção da segurança nacional e do funcionamento dos agentes económicos e do Estado, dada a complexidade das ciberameaças. O processo legislativo culminou com a aprovação, no Conselho de Ministros, em 5 de novembro de 2025e promulgação pelo Presidente da República, Marcelo Rebelo de Sousaem 28 de novembro de 2025. O regime entra em vigor 120 dias após a publicação,
Leia também
Veja como a Europa vai proteger os hospitais
Europa cria banco de vulnerabilidades como o CVE
UM Diretiva (UE) 2022/2555 impõe a necessidade de fortalecer o quadro regulamentar nacional. A nova lei expande o conjunto de entidades abrangidas, incluindo a Administração Pública, operadores de infraestruturas críticas, operadores de serviços essenciais e discussões de serviços digitais. O regime jurídico da cibersegurança prioriza a prevenção dos riscos e define a obrigatoriedade de medidas. A exigência regulatória varia em função da dimensão da entidade e da relevância da sua atividade, aplicando o princípio da proporcionalidade. A legislação implementa um regime duplo de supervisão que diferencia o tratamento para entidades como essenciais e entidades como importantes.
O quadro institucional estabelece o Centro Nacional de Cibersegurança (CNCS) como a autoridade nacional de cibersegurança com funções reforçadas. O regime cria autoridades de supervisão sectoriais, com competência sobre segmentos da economia, o que garante estabilidade na fiscalização dos sectores e alivia as tarefas transversais do CNCS. A lei aprofunda três instrumentos para a política pública: a Estratégia Nacional de Segurança do Ciberespaço, o Plano Nacional de Resposta a Crises e Incidentes de Cibersegurança em grande escala, e o Quadro Nacional de Referência para a Cibersegurança. O novo modelo de gestão de riscos estabelece padrões pré-definidos de risco por setor e tipo de entidade, com aplicação de medidas de prevenção. O diploma altera a Lei de Segurança Interna, a Lei do Cibercrime e a Lei das Comunicações Eletrônicas.
