Decreto-Lei de Entidades Críticas: da obrigação legal à vantagem competitiva

Num cenário global de “policrise”, marcado por ameaças híbridas, disrupções nas cadeias de abastecimento e a crescente sofisticação dos ciberataques, o panorama regulatório português prepara-se para uma mudança estrutural. A iminente implementação do Decreto- Lei n.º 22/2025, que estabelece o regime de resiliência das entidades críticas, é a resposta nacional a este desafio. Longe de ser apenas mais um diploma a arquivar, esta legislação, que transpõe a Diretiva (UE) 2022/2557 (Diretiva CER), representa uma redefinição fundamental da forma como as organizações vitais para o país devem encarar e gerir o risco. Para os profissionais de cibersegurança e gestão de risco, o desafio é claro: transformar uma complexa teia de obrigações numa alavanca estratégica para a resiliência operacional e o ganho competitivo.

O novo quadro legal, como resume de forma sucinta Daniel Reis, Sócio da DLA Piper, “cria um novo quadro jurídico para identificar, designar e reforçar a resiliência das entidades críticas nacionais e europeias, para garantir a continuidade de serviços essenciais. De forma simplista, vem criar obrigações para as entidades críticas”. Esta aparente simplicidade esconde, no entanto, uma profundidade de mudança que vai muito além da cibersegurança, o que, por sua vez, exige uma abordagem integrada que poucas empresas em Portugal já praticam de forma sistemática.

Uma visão holística do risco

A principal novidade prática deste Decreto-Lei é a sua abrangência. Ao contrário de regimes como a NIS2, que se foca especificamente na segurança digital, esta legislação impõe uma gestão de risco que transcende as barreiras do digital e do físico, o que força uma colaboração sem precedentes entre diferentes departamentos.

	Catarina Mascarenhas, Consultora da Abreu Advogados

Catarina Mascarenhas, Consultora da Abreu Advogados, detalha esta mudança de paradigma, e explica que as empresas vão enfrentar “um conjunto de obrigações que recaem sobre a entidade crítica, como um todo, enquanto organização, recursos humanos e modo de funcionamento, assente numa lógica de gestão de risco”. Lógica essa que exige, segundo a especialista, uma “visão holística, integrada e coordenada perante um conjunto de ameaças e riscos que vão desde atos intencionais a catástrofes naturais e a emergências de saúde pública”.

Isto significa que o CISO e o responsável pela segurança física, que em muitas organizações operam em silos, terão de se sentar à mesma mesa e desenvolver estratégias conjuntas. O plano de resiliência de um operador de infraestruturas de transportes, por exemplo, terá de contemplar tanto a defesa contra um ataque de ransomware que paralise os seus sistemas de logística, como a resposta a uma greve que afete a operação ou a um evento climático extremo que danifique as suas infraestruturas.

As obrigações são claras e exigentes: realizar avaliações de risco que abranjam todo o espectro de ameaças, elaborar planos de resiliência que contemplem medidas preventivas, de proteção, resposta e recuperação, e testá-los através de exercícios periódicos. Adicionalmente, a notificação de incidentes com impacto significativo deve ser feita no prazo máximo de 24 horas. Por fim, como nota Catarina Mascarenhas, estas entidades estão também “sujeitas a ações de fiscalização como auditorias e inspeções”, o que eleva o nível de escrutínio e responsabilidade a um novo patamar.

O roteiro para a designação e o puzzle regulatório

Uma das questões centrais para as empresas é saber se são abrangidas. O processo, conduzido pelo Conselho Nacional de Planeamento Civil de Emergência (CNPCE) em articulação com as entidades setoriais, tem um prazo definido. “A identificação e designação devem ocorrer até 17 de julho de 2026”, clarifica José Maria Alves Pereira, Advogado Principal da Abreu Advogados. Os critérios para ser considerada “crítica” são cumulativos e incluem a prestação de serviços essenciais, a operação em território nacional e, crucialmente, a avaliação de que um incidente provocaria um “efeito perturbador significativo”.

Mafalda de Brito Fernandes, Advogada da Cuatrecasas

Mafalda de Brito Fernandes, Advogada da Cuatrecasas, detalha que este impacto será avaliado com base em métricas concretas como “o número de utilizadores afetados, interdependências setoriais, impacto socioeconómico, quota de mercado e vulnerabilidades geográficas”.

Para os profissionais de cibersegurança, a articulação deste regime com a Diretiva NIS2 é vital – não são regimes conflituantes, mas sim complementares. “A NIS 2 é específica para a cibersegurança, enquanto o Decreto-lei n.º 22/2025 adota uma abordagem mais abrangente, incluindo tanto ameaças físicas como cibernéticas”, reforça Catarina Mascarenhas. Na prática, uma entidade crítica terá de cumprir ambos, através da montagem de um complexo puzzle regulatório que, em setores como o financeiro, inclui ainda uma terceira peça fundamental. “Importa salientar que no campo das entidades financeiras estas matérias, face ao princípio da especialidade, se encontram reguladas no DORA (Digital Operational Resilience Act)”, acrescenta Catarina Mascarenhas.

O peso das sanções e a governança do risco

	José Maria Alves Pereira, Advogado Principal da Abreu Advogados

O incumprimento não será uma opção, uma vez que o legislador dotou o regime de um arsenal sancionatório desenvolvido para garantir a sua aplicação efetiva. José Maria Alves Pereira explica que, perante uma suspeita, o processo pode começar de forma pedagógica: “as entidades críticas poderão ser sujeitas a advertências”, contendo as normas infringidas e as medidas corretivas a implementar.

Contudo, a persistência na falha pode levar à “aplicação de coimas pelas infrações praticadas, além de sanções pecuniárias compulsórias enquanto se mantiver a infração”.

Esta última ferramenta, em particular, pode representar um encargo financeiro contínuo e pesado para as organizações que adiem a conformidade. A fiscalização e aplicação destas sanções caberá ao Secretário-Geral do Sistema de Segurança Interna, solidificando a governança do regime.

Da resiliência à vantagem competitiva em setores sensíveis

Encarar este Decreto-Lei apenas como um fardo de conformidade é um erro estratégico, já que as empresas que abraçarem a resiliência como um pilar da sua operação podem colher benefícios significativos.

Pensemos no setor da energia. Um produtor ou distribuidor que demonstre, através de planos robustos e exercícios testados, a sua capacidade de manter o fornecimento durante uma crise – seja um ciberataque, uma falha de equipamento ou uma seca prolongada – não está apenas a cumprir a lei. Está a oferecer uma garantia de fiabilidade aos seus clientes industriais e a posicionar-se como um parceiro mais seguro nas cadeias de abastecimento europeias.

Na saúde, um grande grupo hospitalar cuja resiliência garanta a continuidade dos serviços, mesmo perante uma falha sistémica de IT, reforça a confiança dos utentes e do Estado. Já no setor dos transportes, um porto que consiga manter as suas operações logísticas a funcionar após um incidente grave torna-se um nó mais fiável e atrativo na rede de comércio internacional. Esta capacidade de “assegurar a continuidade de serviços essenciais e a proteção das infraestruturas críticas”, como refere Mafalda de Brito Fernandes, torna-se um diferenciador de mercado.

Estamos preparados?

A questão da preparação nacional é, contudo, a grande incógnita. A opinião dos especialistas sugere uma realidade a duas velocidades. Mafalda de Brito Fernandes oferece uma perspetiva otimista para os setores mais maduros, afirmando que para empresas dos setores da energia, telecomunicações e financeiro, “a adaptação destas entidades não será nenhum ‘bicho de sete cabeças’”, uma vez que já possuem políticas de gestão de risco avançadas. “De todo o modo, não deixa de ser mais um Decreto-Lei que as entidades terão de analisar, dominar e adaptar à sua realidade, o que apenas reforça a importância regulatória da cibersegurança no contexto atual”, adverte a advogada. Para muitas outras entidades, a implementação vai ser um projeto complexo, que vai exigir investimento e uma mudança cultural profunda.

Daniel Reis, Sócio da DLA Piper

A esta análise, que aponta para uma preparação a duas velocidades, Daniel Reis acrescenta um realismo pragmático que funciona como um alerta. A sua resposta é clara e direta: neste momento, as entidades não estão preparadas. Baseia-se num facto que afeta tanto os mais preparados como os que partem de trás, algo que “não é surpreendente visto estarmos perante obrigações legais novas, e um quadro legal que ainda carece de concretização. Por exemplo, ainda não foi publicada a Estratégia Nacional para a Resiliência das Entidades Críticas, a aprovar aprovadas por resolução do Conselho de Ministros”, revela o Sócio da DLA Piper.

O novo regime é, em suma, um ponto de viragem que força as organizações a olharem para o risco de uma forma integrada. Para os profissionais que lideram este esforço, a missão evoluiu: já não se trata apenas de garantir a conformidade para mitigar o risco legal, mas de usar este impulso regulatório para construir organizações genuinamente mais fortes, seguras e competitivas.