A nova legislação alarga o âmbito de aplicação e impõe obrigações mais rigorosas a um maior número de entidades públicas e privadas consideradas críticas para o funcionamento da sociedade.

A diretiva NIS2 (Network and Information Security 2), adotada a nível europeu em 2022, representa uma evolução significativa em relação à sua antecessora, visando harmonizar e elevar o nível de ciber-resiliência em todos os Estados-Membros. O processo de transposição em Portugal, que segundo o ministro da Presidência, António Leitão Amaro, foi interrompido devido às eleições, foi agora concluído em Conselho de Ministros. O novo regime jurídico expande a lista de setores considerados essenciais, que agora incluem áreas como a gestão de resíduos, serviços postais, indústria química e alimentar, e plataformas digitais. Estas entidades, juntamente com as de setores já abrangidos como energia, transportes, saúde e finanças, estarão sujeitas a obrigações mais estritas em matéria de gestão de riscos, notificação de incidentes e supervisão.

Um dos objetivos do diploma é reforçar a segurança sem criar "custos de contexto excessivos" para as empresas, procurando um equilíbrio entre a robustez das medidas e a sua exequibilidade. A aprovação deste decreto-lei alinha Portugal com o esforço europeu para criar uma frente comum contra as ciberameaças, garantindo que as infraestruturas críticas e os serviços essenciais disponham de um nível de proteção adequado e consistente em toda a União Europeia.