Agendar diagnóstico →

Cibersegurança NIS2 para empresas em Portugal. Do gap assessment ao cumprimento.

O registo no MyCiber abriu a 23 de junho de 2026 (Regulamento 756/2026) e as entidades abrangidas têm 60 dias úteis para se autoidentificarem e qualificarem. O DL 125/2025 transpôs a NIS2 e fica plenamente sancionatório a 3 de abril de 2027 — coimas até €10M. Fazemos o gap assessment, implementamos em Defender, Sentinel e Entra ID, e documentamos a notificação ao CNCS. O que é a NIS2 e a quem se aplica →

Pedir diagnóstico Falar connosco
3 Abr 2027
NIS2 em regime sancionatório · DL 125/2025
€10M
Coima máxima para entidades essenciais
€7M
Coima máxima para entidades importantes
Defender
Cloud · Endpoint · Office · Identity
Sentinel
SIEM/SOAR em ambiente cliente
60 dias úteis
Registo no MyCiber aberto a 23 jun 2026 — autoidentificação em myciber.gov.pt
00

Enquadramento

A NIS2 aplica-se a quem?

A NIS2 abrange 18 setores identificados na Diretiva. Tipicamente, entidades com mais de 50 colaboradores ou mais de €10M de volume de negócios em setores listados entram no âmbito.

  • Essenciais — energia, transportes, banca, infraestruturas financeiras, saúde, águas, infraestruturas digitais, administração pública, espaço.
  • Importantes — provedores de serviços digitais, correios, gestão de resíduos, química, alimentar, produção crítica, investigação.

Há exceções setoriais com limiares mais baixos. O gap assessment começa sempre pela classificação formal — "essencial", "importante" ou fora de âmbito — em 2 dias úteis a partir da primeira reunião.

Desde 23 de junho de 2026, essa classificação tem prazo: a autoidentificação no MyCiber decorre em 60 dias úteis (entidades já em atividade). Detalhe do regime, datas e medidas mínimas →

01

O que fazemos

Âmbito concreto, nomes próprios.

  • NIS2 gap assessment. 2 a 4 semanas. Mapa de controlos exigidos vs. controlos existentes. Classificação de risco, plano de mitigação com datas.
  • Microsoft Defender. Cloud, Endpoint, Microsoft 365, Identity. Deploy, tuning, relatórios mensais.
  • Microsoft Sentinel. SIEM/SOAR nativo da cloud Azure. Playbooks de resposta. Integração com fontes on-prem e SaaS.
  • Entra ID + MFA obrigatório + Conditional Access. Base de qualquer postura NIS2.
  • Incident response playbooks. Contingência documentada antes da crise — não durante.
  • Gestão de identidades privilegiadas (PIM). Just-in-time access, aprovações, auditoria.

As dez medidas mínimas do artigo 27.º do DL 125/2025, no vosso ambiente Microsoft:

  • Análise de riscos e políticas de segurança → gap assessment + governance documentada.
  • Tratamento de incidentes → Sentinel (SIEM/SOAR), playbooks e notificação ao CNCS em 24h/72h.
  • Continuidade do negócio → backup com retenção, recuperação e teste; plano de continuidade.
  • Segurança da cadeia de abastecimento → revisão de risco de fornecedores e acessos de terceiros.
  • Aquisição, desenvolvimento e manutenção seguros → gestão de vulnerabilidades (Defender Vulnerability Management).
  • Avaliação da eficácia → relatórios mensais e revisão anual de postura.
  • Ciber-higiene e formação → hardening, atualizações e formação de utilizadores e direção.
  • Criptografia e cifra → cifra em repouso e em trânsito (Purview, BitLocker, Entra).
  • RH, controlo de acessos e gestão de ativos → Entra ID, PIM e inventário de dispositivos (Intune).
  • Autenticação multifator e comunicações seguras → MFA obrigatório + Conditional Access.
02

Âmbito concreto

O que está e não está incluído.

  • Auditoria jurídica NIS2. A análise legal ao enquadramento da vossa empresa é trabalho de advogado, não de consultora IT. Indicamos escritórios competentes.
  • Penetration testing formal. Temos parceiros certificados (CREST, OSCP). Coordenamos mas não executamos.
  • Recuperação post-breach sem contrato prévio. Se ligam depois de uma intrusão, primeiro avaliamos — não entramos a correr. IR sem relação prévia é 10× mais caro e menos eficaz.
  • Security awareness training em formato genérico. Quando fazemos formação de utilizadores, é personalizada ao vosso ambiente e aos phishing patterns reais que vocês enfrentam.
03

Respostas aos traumas que ouvimos

Frases reais. Respostas concretas.

"Não sabemos se somos NIS2."
Gap assessment começa por aí — classificação da entidade segundo DL 125/2025. "Essencial", "importante", ou fora do âmbito. Resposta em 2 dias úteis a partir da primeira reunião.
"Já temos Defender mas ninguém olha para os alertas."
Revisão e tuning do Defender, mais relatório mensal a uma pessoa nomeada. Alertas sem triagem são ruído caro. Triagem feita por nós, escalation para vocês quando crítico.
"Tivemos um phishing em janeiro. Continuámos a trabalhar como se nada."
Análise post-mortem do incidente + plano de resposta futura. Incluímos em qualquer contrato novo, sem custo adicional. Ninguém aprende sem analisar.
"Sabemos que temos de cumprir a NIS2, mas não sabemos por onde começar."
Começa pelo registo no MyCiber e pelo gap assessment. A autoidentificação — 60 dias úteis desde 23 de junho de 2026 — diz se são essenciais, importantes ou fora de âmbito; o gap assessment mapeia quais das dez medidas mínimas faltam e dá um plano com datas. A partir daí, implementamos.
04

Calendário regulatório

As datas em que a inação passa a coima.

23 Jun 2026MyCiber
Registo e autoidentificação no MyCiber · Regulamento 756/2026
60 dias úteis para as entidades já em atividade (≈ setembro de 2026); 30 dias úteis para entidades novas. O CNCS qualifica e comunica o nível de conformidade.
A decorrer agora
3 Abr 2027NIS2
NIS2 plenamente sancionatória · DL 125/2025
Coimas até €10M para essenciais, €7M para importantes. Controlos técnicos e organizacionais obrigatórios.
Gap assessment recomendado
ContínuoGDPR
RGPD · coimas até 4% do volume de negócios
Ainda é o regime que mais coimas aplica em Portugal. Integrado no âmbito NIS2.
Sempre em vigor

Nota: esta página é meramente informativa e não constitui aconselhamento jurídico. A qualificação da vossa entidade ao abrigo do DL 125/2025 (NIS2) e os prazos aplicáveis dependem de análise caso a caso — a HeraPrime conduz o gap assessment técnico e articula a análise jurídica em parceria com escritórios de advogados.

Gap assessment €3 000 a €5 000, fixo. Deployment sob consulta, de acordo com o grau de complexidade. Operação contínua em contrato anual de suporte.

Diagnóstico em 30 minutos. Proposta em 5 dias.

Em 5 dias úteis, documento com âmbito, prazo e preço. A proposta técnica é vossa independentemente da decisão final.

Pedir diagnóstico → Outras perguntas