Porquê a transposição da NIS2 em Portugal
A transposição da Diretiva (UE) 2022/2555, mais conhecida por NIS2, representa uma mudança de paradigma na forma como Portugal encara a cibersegurança. O Decreto‑Lei n.º 125/2025 foi publicado a 4 de dezembro de 2025 e entra em vigor 120 dias após essa data, ou seja, a 3 de abril de 2026. A medida visa responder ao crescimento de ataques a infraestruturas críticas e harmonizar práticas entre Estados‑Membros, criando um quadro nacional de cibersegurança único e obrigatório. A legislação revoga a Lei n.º 46/2018 e o Decreto‑Lei n.º 65/2021 e introduz o Regime Jurídico da Segurança do Ciberespaço, com novos requisitos para gestão de risco, notificação de incidentes e supervisão. Para organizações ligadas à gestão técnica de edifícios e redes OT, como as que utilizam sistemas SACE e plataformas de automação, a NIS2 traz um enquadramento mais estruturado e obriga a repensar processos e políticas de segurança.
Quem está abrangido pelo Regime Jurídico da Segurança do Ciberespaço
O Regime Jurídico da Segurança do Ciberespaço (RJSC) aplica‑se a três categorias de entidades: essenciais, importantes e entidades públicas relevantes. As entidades essenciais englobam operadores de setores críticos como energia, transportes, saúde, fornecimento de água, banca, telecomunicações e infraestruturas digitais; incluem ainda prestadores de serviços de confiança qualificados, registos de domínios e empresas que oferecem redes públicas de comunicações eletrónicas. As entidades importantes são organizações dos mesmos setores, mas com menor dimensão ou exposição ao risco, que não preenchem critérios de entidade essencial e que justificam a qualificação com base na sua vulnerabilidade ou impacto potencial. As entidades públicas relevantes incluem organismos da Administração Pública com elevada integração digital ou missões críticas, agrupados em dois grupos consoante a dimensão e criticidade. De notar que as micro e pequenas empresas ficam, em regra, excluídas do regime, salvo quando prestem serviços essenciais ou sejam únicos na cadeia de fornecimento, o que reforça a proporcionalidade das obrigações.
No contexto de edifícios inteligentes, operadores de energia, instalações de saúde e infraestruturas digitais que utilizam sistemas SACE podem qualificar‑se como entidades essenciais. Fornecedores de sensores, software e serviços técnicos podem enquadrar‑se como entidades importantes se contribuírem para a operação destes sistemas. Estas classificações determinam o nível de supervisão (proativo para essenciais e reativo para importantes) e o montante das coimas em caso de incumprimento: até 10 milhões de euros ou 2 % do volume de negócios mundial para entidades essenciais e até 7 milhões de euros ou 1,4 % para entidades importantes.
Obrigações e responsabilidades: gestão de risco, cadeia de fornecimento e incidentes
O RJSC coloca a responsabilidade da cibersegurança nos órgãos de gestão. Estes devem aprovar as medidas de gestão de risco, supervisionar a sua implementação e assegurar que existe formação regular em cibersegurança. As entidades essenciais e importantes passam a ter de implementar um sistema estruturado de gestão de risco, abrangendo várias áreas: tratamento de incidentes, continuidade de atividade, segurança da cadeia de abastecimento, segurança na aquisição, desenvolvimento e manutenção de sistemas de rede e informação, avaliação contínua da eficácia das medidas, práticas básicas de ciber-higiene e formação, políticas de cifragem, segurança dos recursos humanos e autenticação multifator
A segurança da cadeia de abastecimento é uma inovação relevante para operadores de edifícios. As entidades devem avaliar a vulnerabilidade de cada fornecedor e prestador de serviços, a qualidade global dos produtos no que toca à segurança, as práticas de desenvolvimento seguro e, quando necessário, aplicar restrições à utilização, transferência ou descarte de equipamentos. Para sistemas SACE, isto significa rever contratos, verificar se os fabricantes de equipamentos e software cumprem critérios de cibersegurança e garantir que as ligações remotas e interfaces estão protegidas.
A notificação de incidentes também é rigorosa: as entidades devem apresentar um alerta inicial ao CNCS (Centro Nacional de Cibersegurança) num prazo máximo de 24 horas após detetarem um incidente significativo, enviar uma atualização detalhada em 72 horas e remeter um relatório final em 30 dias úteis. O mesmo incidente deve ser comunicado aos utilizadores potencialmente afetados. Além disso, as entidades essenciais e importantes são obrigadas a manter um relatório anual sobre o estado da cibersegurança e a remeter essa informação ao CNCS. Também devem designar um responsável de cibersegurança e um ponto de contacto permanente junto do CNCS. Estas obrigações exigem que as equipas técnicas de edifícios se coordenem estreitamente com os departamentos de IT e com a direção executiva.
A notificação de incidentes também é rigorosa: as entidades devem apresentar um alerta inicial ao CNCS (Centro Nacional de Cibersegurança) num prazo máximo de 24 horas após detetarem um incidente significativo, enviar uma atualização detalhada em 72 horas e remeter um relatório final em 30 dias úteis.
Prazos, transição e sanções
O Decreto‑Lei n.º 125/2025 produz efeitos a partir de 3 de abril de 2026, mas algumas normas apenas se tornam obrigatórias após o CNCS aprovar as normas regulamentares – um processo que pode estender‑se até 24 meses após a publicação do diploma. Até lá, as entidades devem registar‑se numa plataforma eletrónica e atualizar a informação de dois em dois anos. Novas entidades terão 30 dias para se registar; as que já operam dispõem de 60 dias a partir da disponibilização da plataforma.
O regime sancionatório foi reforçado: entidades essenciais podem ser multadas até 10 milhões de euros ou 2 % do volume de negócios mundial, enquanto as entidades importantes arriscam até 7 milhões de euros ou 1,4%. A falta de notificação de incidentes, a não implementação das medidas de segurança ou a obstrução de auditorias podem desencadear estas coimas, e a autoridade pode ainda impor medidas cautelares, como a suspensão da atividade ou a substituição de responsáveis. A existência de períodos de carência – coimas diferidas durante um ano para entidades que estejam a adaptar‑se – não diminui a urgência de começar já o processo de conformidade.
Outro ponto relevante é a exclusão geral de micro e pequenas empresas, exceto quando prestam serviços essenciais ou são fornecedores críticos. Esta exclusão reforça a proporcionalidade do regime mas obriga grandes operadores a prestar atenção às vulnerabilidades que pequenos parceiros podem introduzir.
Impacto na gestão técnica de edifícios e sistemas BMS/OT
Para operadores e integradores de sistemas de gestão técnica de edifícios, o novo quadro regulatório é mais do que um mero exercício jurídico. A NIS2 e o RJSC transformam os SACE em componentes críticos de cibersegurança, obrigando a revisão de arquiteturas de rede, hardware, software e práticas operacionais. Como muitas instalações integram sistemas de climatização, energia, segurança física e acesso remoto, a exposição a ataques aumenta. O novo regime exige que estas plataformas sejam concebidas com segurança por defeito: cifragem end‑to‑end, controlos de autenticação robustos e segmentação de redes OT.
Do ponto de vista da cadeia de fornecimento, integradores e fabricantes de SACE devem fornecer documentação de cibersegurança e evidências de conformidade, e os operadores de edifícios terão de auditar a segurança de sensores, atuadores, gateways e software. A designação de um responsável de cibersegurança aproxima as equipas de manutenção e a direção, reforçando a accountability. O relatório anual e os prazos de notificação implicam que as equipas de gestão técnica recolham e registrem métricas de segurança, para além dos indicadores operacionais.
Embora a preparação seja exigente, o novo regime também cria oportunidades: ao alinharem‑se com padrões europeus, as empresas aumentam a resiliência dos edifícios, reduzem o risco de interrupções e podem ganhar vantagem competitiva. Para a WiseBuilding, que desenvolve soluções de automação e SACE, assumir uma postura proativa na implementação de requisitos NIS2 reforça a confiança dos clientes e abre caminho a serviços diferenciados em gestão de risco, consultoria, monitorização e modernização de infraestruturas.
Conclusão
A transposição da NIS2 através do Decreto‑Lei n.º 125/2025 eleva o patamar de cibersegurança em Portugal e introduz obrigações claras para as organizações que operam setores críticos. Para o universo dos edifícios inteligentes e das soluções BMS, o novo regime não é apenas uma formalidade legal; é um convite a integrar cibersegurança no planeamento e na operação diária. A identificação das entidades, a gestão de risco, a monitorização da cadeia de fornecimento e a capacidade de resposta rápida a incidentes tornam‑se fatores essenciais para proteger pessoas, ativos e dados. Ao adaptar‑se cedo e com rigor, a WiseBuilding pode transformar esta exigência numa vantagem competitiva, oferecendo soluções mais seguras e confiáveis num mercado cada vez mais exigente.
A WiseBuilding® está capacitada tecnicamente para implementar qualquer projeto que crie edifícios que pensam, poupam e protegem o planeta. Consulte-nos.
O WISEFRAMEWORK é uma solução de software com a certificação BACnet B-AWS para integração, controlo, gestão e visualização de última geração nos sistemas de automação para edifícios. Desenvolvido para redefinir a forma como os edifícios são operados através de uma plataforma aberta e uma harmonização perfeita entre dados gerados pelo edifício através do suporte de vários protocolos, incluindo BACnet, Modbus, KNX, OPC-UA e MQTT. Através do recurso da tecnologia Haystack, o software capacita também o edifício para o futuro na vanguarda na integração dos vários sistemas técnicos.
