A Directiva NIS2 transposta para Portugal pelo Decreto-Lei 125/2025 — obrigações específicas para entidades de saúde, cibersegurança de sistemas clínicos e regime sancionatório.
A Directiva NIS2 (Directiva UE 2022/2555) foi transposta para a legislação portuguesa pelo Decreto-Lei 125/2025, de 4 de Dezembro, tendo entrado em vigor a 3 de Abril de 2026. Este diploma estabelece um novo regime jurídico da cibersegurança em Portugal, com impacto directo e significativo nas entidades do sector da saúde — classificadas como entidades essenciais ou importantes, conforme a sua dimensão e papel no sistema de saúde nacional.
Para as organizações clínicas, a NIS2 transcende a cibersegurança tecnológica: exige uma abordagem integrada que abrange a governação, a gestão de risco, a notificação de incidentes, a segurança da cadeia de fornecimento e a formação dos profissionais. A responsabilidade pessoal dos órgãos de gestão torna a conformidade NIS2 uma prioridade de topo nas organizações de saúde.
Nomeação e notificação ao CNCS (Centro Nacional de Cibersegurança) de um responsável de cibersegurança num prazo de 20 dias úteis após a entrada em vigor. Estabelecimento de ponto de contacto permanente 24/7.
Notificação inicial ao CNCS em 24 horas para incidentes significativos, seguida de relatório final detalhado em 30 dias úteis. A definição de «incidente significativo» é especificada no diploma.
Implementação de medidas técnicas, organizacionais e procedimentais proporcionais ao risco, incluindo políticas de segurança, gestão de continuidade, segurança da cadeia de fornecimento e criptografia.
Avaliação e gestão dos riscos de cibersegurança na cadeia de fornecedores e prestadores de serviços — incluindo fabricantes de dispositivos médicos, fornecedores de software clínico e prestadores de serviços de TI.
As sanções são calculadas sobre o volume de negócios anual global. A responsabilidade pessoal dos órgãos de gestão significa que administradores e directores podem ser individualmente responsabilizados pelo incumprimento das obrigações de cibersegurança — um factor que torna a conformidade NIS2 uma prioridade da gestão de topo, não apenas uma questão técnica.
A conformidade clínica articula-se com um ecossistema especializado que cobre todas as dimensões da regulação em saúde — desde a proteção de dados e cibersegurança até à conformidade geral do sector.
Hub central de conformidade regulatória integral para o sector da saúde
Visitar healthcarecompliance.pt →Proteção de dados em contexto de investigação e prática clínica
Visitar clinicaldataprotection.pt →Cibersegurança especializada para hospitais e organizações de saúde
Visitar healthcybersecurity.pt →Encarregado da Proteção de Dados especializado no sector da saúde
Visitar healthcaredpo.pt →Portal lusófono de conformidade clínica para PMEs do sector da saúde
Visitar conformidadeclinica.pt →Precisa de apoio na conformidade NIS2 da sua organização de saúde? Contacte-nos para uma avaliação de maturidade e um roteiro de implementação.