Compliance

Comissão Europeia leva quatro países a tribunal por atraso na NIS2

A Comissão Europeia recorreu ao Tribunal de Justiça da União Europeia contra Irlanda, Espanha, França e Países Baixos por não transporem a Diretiva NIS2

13/07/2026

Comissão Europeia leva quatro países a tribunal por atraso na NIS2
Aleksandra Gigowska / AdobeStock

A Comissão Europeia avançou com processos contra a Irlanda, Espanha, França e Países Baixos no Tribunal de Justiça da União Europeia devido ao atraso na transposição da Diretiva NIS2, a principal legislação europeia em matéria de cibersegurança para infraestruturas críticas.

Os quatro Estados-membros encontram-se mais de 20 meses atrasados na implementação da diretiva, que estabelece requisitos mínimos de segurança para setores essenciais como saúde, energia, transportes e administração pública. A Comissão solicita ao tribunal a aplicação de uma sanção financeira fixa, bem como multas diárias, até que cada país comunique formalmente a transposição integral da legislação.

O prazo para integrar a NIS2 no direito nacional terminou em outubro de 2024. No entanto, em janeiro de 2025 apenas seis dos 27 Estados-membros da União Europeia tinham concluído esse processo. Em Portugal, a diretiva foi transposta no final de 2025.

Na prática, este tipo de sanções raramente chega a ser aplicado, uma vez que os Estados-membros costumam aprovar a legislação durante o processo judicial, levando a Comissão a retirar a ação antes da decisão final do tribunal.

O recurso surge numa altura em que a Agência da União Europeia para a Cibersegurança (ENISA) alerta para milhares de incidentes de cibersegurança registados no espaço europeu entre julho de 2024 e junho de 2025. Segundo a agência, a administração pública foi o setor crítico mais visado, concentrando 38% dos incidentes reportados, seguida pelo setor dos transportes, com 7,5%.

A NIS2 atualiza a Diretiva de Segurança das Redes e da Informação de 2016, alargando o seu âmbito para 18 setores críticos e introduzindo novos requisitos de gestão de risco e de notificação de incidentes. A diretiva constitui ainda um dos pilares da estratégia europeia de cibersegurança, servindo de base para outras iniciativas legislativas, como o Cyber Resilience Act, que introduz obrigações de reporte de vulnerabilidades para produtos conectados a partir de 2027.

Em paralelo, a Comissão Europeia propôs alterações ao Cybersecurity Act para reforçar o papel da ENISA e reduzir os riscos nas cadeias de fornecimento de tecnologias críticas, incluindo medidas para eliminar gradualmente fornecedores considerados de alto risco das infraestruturas críticas europeias.

Bruxelas apresentou também propostas de ajustamento à NIS2 para clarificar alguns requisitos legais e simplificar o cumprimento da diretiva pelas empresas, reconhecendo que parte dos atrasos na transposição resulta da complexidade do novo enquadramento.

A Irlanda afirmou que a sua nova Lei Nacional de Cibersegurança, que irá transpor a NIS2 e atribuir estatuto legal ao National Cyber Security Centre, se encontra em fase final de preparação, prevendo concluir a transposição até ao final de 2026. Espanha, França e Países Baixos não divulgaram, até ao momento, calendários equivalentes.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº30 JUNHO 2026

IT SECURITY Nº30 JUNHO 2026

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.