A diretiva NIS2, que substitui a anterior, visa harmonizar e elevar o nível de cibersegurança em todo o mercado único digital.

O novo regime jurídico alarga o âmbito de aplicação a mais setores, como a administração pública, e estabelece obrigações mais exigentes na gestão de riscos, na notificação de incidentes e na segurança da cadeia de abastecimento. Uma das alterações mais relevantes é a responsabilização direta dos órgãos de gestão, que passam a ter de supervisionar ativamente a cibersegurança, não garantindo a exclusão de responsabilidade pessoal em caso de incumprimento. A transposição em Portugal ocorreu com quase um ano de atraso face ao prazo europeu, que terminou a 17 de outubro de 2024.

Este atraso foi apontado como uma vulnerabilidade, deixando infraestruturas e dados a operar sob um regime desatualizado e expondo o país a ciberataques mais sofisticados. A nova lei é vista como um passo fundamental para que a cibersegurança passe a ser tratada como uma prioridade estratégica e inegociável, sendo um dos temas centrais da Conferência de Alto Nível sobre Cibersegurança e Transformação Digital, que destaca a necessidade de uma colaboração mais estreita entre Estado e empresas para a sua implementação eficaz.