O novo regime jurídico da cibersegurança, aprovado pelo Decreto-Lei n.º 125/2025, já está em vigor em Portugal. Ainda assim, permanece um tema que muitas empresas tratam como distante.

A crescente dependência de sistemas digitais tornou esta evolução incontornável. Hoje, qualquer organização depende da informação que gere, dos sistemas que utiliza e da capacidade de os manter seguros.

Em termos simples, a cibersegurança é a proteção dos sistemas e dados de uma organização contra ataques, acessos indevidos e falhas que possam comprometer a sua atividade.

A realidade atual vai além da tecnologia e deixou de poder ser tratada como uma dimensão meramente operacional.

Com a transposição da Diretiva (UE) 2022/2555, a cibersegurança passou a integrar o núcleo das obrigações legais das empresas.

O impacto é significativo. O novo regime alarga o número de entidades abrangidas e reforça as exigências aplicáveis. Setores como energia, transportes, banca, saúde, infraestruturas digitais, administração pública e serviços tecnológicos passam a estar sujeitos a regras mais exigentes.

Mais relevante do que o âmbito é a mudança de lógica. É neste ponto que o novo regime se torna mais exigente. As empresas passam a ter de adotar medidas concretas de gestão de risco. Políticas internas de segurança, controle de acessos, monitorização contínua, prevenção de incidentes e proteção da cadeia de fornecimento deixam de ser opcionais. São agora exigidas.

Já não basta ter sistemas a funcionar. É necessário garantir que estão protegidos e demonstrar essa proteção.

A lei impõe também deveres de notificação de incidentes relevantes, com prazos exigentes e comunicação obrigatória às autoridades competentes. Neste contexto, a responsabilidade deixa de estar apenas nos departamentos técnicos.

Os órgãos de gestão passam a ter um papel direto na supervisão das políticas de cibersegurança e podem ser responsabilizados pelo incumprimento das obrigações legais.

A cibersegurança entra, assim, no domínio da governação das empresas.

Integra-se no conceito mais amplo de compliance, entendido como o conjunto de regras e mecanismos internos que assegurem o cumprimento da lei e a prevenção de riscos na atividade.

O problema é que muitas organizações ainda não fizeram esta transição.

Continuam a tratar a segurança digital como uma questão técnica. Na realidade, passou a ser uma exigência jurídica e estratégica.

Num contexto em que a confiança depende da capacidade de proteger informação e sistemas, esta evolução tem impacto direto na forma como as empresas se organizam e no modo como gerem o risco.

É precisamente aqui que surge o problema: a lei já mudou, mas muitas organizações continuam sem estar preparadas.

Os textos nesta secção refletem a opinião pessoal dos autores. Não representam a VISÃO nem espelham o seu posicionamento editorial.

© Visão