A nova legislação alarga o âmbito de aplicação a mais setores e empresas, introduz multas mais pesadas e responsabiliza diretamente os gestores por falhas na proteção digital.

Esta transposição, realizada com quase um ano de atraso em relação ao prazo europeu, visa garantir um elevado nível comum de cibersegurança em toda a União Europeia. A lei torna a prevenção obrigatória e impõe a implementação de medidas robustas de gestão de risco, resposta a incidentes e recuperação. Um dos aspetos mais relevantes é a responsabilização direta dos conselhos de administração, o que eleva a cibersegurança de uma preocupação técnica para uma prioridade estratégica de topo. No âmbito do novo diploma, a ANACOM assume o papel de Autoridade Nacional Setorial de Cibersegurança para as comunicações eletrónicas e serviços postais, passando a integrar o Conselho Superior de Segurança do Ciberespaço.

Esta medida reflete a crescente complexidade das ameaças, muitas delas potenciadas por inteligência artificial, e a necessidade de uma resposta coordenada entre o setor público e o privado.

A legislação reconhece que a cibersegurança já não é um custo de TI, mas um requisito essencial para a continuidade do negócio, o acesso a cadeias de valor globais e a própria soberania nacional.

A diretiva NIS2 e outras regulações, como o Cyber Resilience Act (CRA), pretendem criar um ambiente onde a resiliência digital é inegociável.