PILAR 3 · NIS2 EM I&D
A NIS2 e as entidades de investigação
A diretiva NIS2, a sua transposição nacional e o alargamento do perímetro de entidades obrigadas a organismos de investigação e a infraestruturas críticas da ciência.
Um perímetro alargado
A NIS2 ampliou substancialmente o universo de entidades sujeitas a obrigações de cibersegurança, classificando-as como essenciais ou importantes em função do sector e da dimensão. A sua transposição pelo DL n.º 125/2025 integra organismos de investigação e infraestruturas científicas no perímetro regulado, encerrando a era da adesão voluntária.
Obrigações de gestão de risco
As entidades abrangidas devem adoptar medidas técnicas e organizativas proporcionadas ao risco — gestão de vulnerabilidades, controlo de acessos, cifra, continuidade e segurança da cadeia de fornecimento. A responsabilização dos órgãos de direcção é expressa, com deveres de aprovação e de supervisão.
Notificação de incidentes
A ocorrência de incidentes significativos desencadeia deveres de notificação faseada à autoridade competente, com um alerta inicial em prazo curto. A articulação com o CNCS e com a estrutura nacional de cibersegurança é determinante para o cumprimento tempestivo.
- Classificação como entidade essencial ou importante;
- Medidas de gestão de risco do Art. 21.º da NIS2;
- Responsabilização dos órgãos de direcção;
- Notificação faseada de incidentes significativos.
NO ECOSSISTEMA
A NIS2 aplicada à saúde e a ISO 27799 são tratadas em investigacaoclinica.pt.
Referências regulatórias
Quer avaliar a maturidade de segurança da sua unidade?
O Scientific Security Officer estrutura a proteção da informação científica, da gestão de risco à resposta a incidentes.