Projeto de lei sobre a proteção e a resiliência das infra-estruturas críticas: transposição da Diretiva (UE) 2022/2557 (CER)

Publicações14 de abril de 2026
As organizações afectadas terão de demonstrar a sua capacidade de resistência às autoridades e enfrentarão sanções severas se não cumprirem as suas obrigações.

1. Introdução

O Congresso dos Deputados publicou o Projeto de Lei sobre a Proteção e Resiliência das Entidades Críticas (a seguir designado por "LPREC") para transpor a Diretiva (UE) 2022/2557. Quando entrar em vigor, revogará a Lei 8/2011 e substituirá a abordagem centrada nos activos por uma abordagem centrada nas entidades.


A lei exigirá que as entidades críticas elaborem uma avaliação de risco e um Plano de Resiliência, submetendo-os à validação do Secretário de Estado da Segurança, para demonstrar que têm capacidade suficiente para prevenir, resistir e recuperar de qualquer incidente que interrompa significativamente a prestação de um serviço essencial, independentemente da sua origem: riscos naturais, ameaças híbridas, terrorismo ou outras ameaças adversas.


A cibersegurança está fora do âmbito formal desta lei, reservada para a transposição do NIS2; no entanto, na prática, ambos os quadros devem ser integrados para evitar duplicações e garantir a coerência entre a resiliência física e a segurança digital.


2. Este regulamento aplica-se a si?

O regulamento aplica-se às entidades (públicas e privadas) que operam em qualquer um dos dezasseis sectores enumerados no anexo:

  • Energia
  • Transportes
  • Banca*
  • Infra-estruturas do mercado financeiro*
  • Saúde
  • Água
  • Infra-estruturas digitais*
  • Administração pública
  • Espaço
  • Produção, transformação e distribuição alimentar
  • Indústria nuclear
  • Instalações de investigação
  • Indústria química
  • Segurança privada
  • Resíduos
  • Seguros

*Estes sectores estão isentos de obrigações fundamentais como a avaliação dos riscos, o plano de resiliência, etc. (CA 4).


Recomendação imediata:

As empresas abrangidas pelo âmbito de aplicação devem efetuar uma análise interna das lacunas. A identificação formal dá início a uma contagem decrescente para a organização: nove meses para apresentar a avaliação de risco e mais seis meses para apresentar o Plano de Resiliência. Iniciar o processo de identificação sem uma preparação prévia pode ser um erro muito dispendioso.

O fator chave não é pertencer ao sector, mas sim ser identificada como entidade crítica pela Comissão Nacional de Proteção e Resiliência das Entidades Críticas, sob proposta do Secretário de Estado da Segurança. A identificação baseia-se em critérios horizontais de criticidade: número de pessoas afectadas por uma falha, impacto económico, impacto ambiental e impacto na confiança institucional.


A proposta de lei introduz ainda o conceito de entidade estratégica: aquela que gere infra-estruturas que, embora não sendo críticas, são relevantes para serviços essenciais. O seu regime regulatório é menos gravoso, mas a sua inclusão no Catálogo Nacional (classificado) tem implicações ao nível da reputação e da informação privilegiada que não devem ser descuradas.


3. As obrigações que definem a conformidade


  • Avaliação dos riscos

9 meses a partir da notificação da identificação

Sendo um documento fundamental para o cumprimento da LPREC, deve abranger as ameaças naturais, humanas, híbridas e terroristas, incluindo as interdependências sectoriais, e é submetida ao SES para validação formal. Uma avaliação deficiente enfraquece a posição da entidade em quaisquer acções de supervisão subsequentes. Quando a entidade tiver avaliações anteriores efectuadas ao abrigo de outras obrigações regulamentares relevantes, pode basear-se nelas se o SES as declarar conformes.


  • Plano de resiliência

6 meses após a avaliação

Trata-se de um instrumento central da lei, constituído por medidas técnicas, organizacionais e de segurança proporcionais ao risco identificado, sujeito a actualizações periódicas. Note-se que a sua ausência ou inadequação grave constitui uma infração muito grave, punível com coima até 10.000.000 euros ou 2% do volume de negócios anual total.


  • Responsável pela segurança e resiliência com acreditação de diretor de segurança

O responsável pela segurança deve possuir a acreditação do Ministério do Interior como diretor de segurança. A obtenção desta acreditação pode demorar vários meses, o que faz deste requisito o estrangulamento operacional mais previsível no que respeita à conformidade regulamentar.


  • Notificação de incidentes

24 horas para a notificação inicial + 1 mês para um relatório pormenorizado

Este requisito exige procedimentos operacionais internos desde o primeiro dia. As organizações sujeitas ao NIS2 também devem notificar duas autoridades diferentes (CNPREC e a autoridade competente no NIS2) com diferentes prazos e requisitos de conteúdo, tornando essencial a conceção de um procedimento unificado de gestão de incidentes que esteja em conformidade com ambos os enquadramentos.


4. O sistema nacional de certificação

O artigo 11.º prevê a criação de um Sistema Nacional de Certificação no que respeita à resiliência das entidades críticas, mas adia a sua conceção específica para o desenvolvimento regulamentar subsequente, sem pormenorizar a sua estrutura ou potencial coordenação com outros sistemas existentes, introduzindo um certo grau de incerteza.


Ao mesmo tempo, o n.º 3 do artigo 6.º e o n.º 2 do artigo 8.º permitem que as entidades reutilizem avaliações de risco e planos ou documentos existentes elaborados de acordo com outros regulamentos, desde que o Secretário de Estado da Segurança os declare total ou parcialmente conformes com as obrigações relacionadas com a avaliação de risco e o plano de resiliência. Na prática, estabelece-se assim um mecanismo de reconhecimento funcional das ferramentas de gestão existentes que poderá ajudar a minimizar a duplicação de esforços quando uma certificação ou sistema de gestão anterior abranja substancialmente os requisitos aqui estabelecidos.


5. Ativação da biometria

A proteção dos dados pessoais assume um papel central no novo regime de resiliência, nomeadamente nas medidas que envolvem uma maior identificação e controlo de acesso a instalações e sistemas. Neste contexto, o tratamento baseado em tecnologias biométricas assume particular relevância, uma vez que combina um impacto significativo na segurança com um elevado risco para os direitos das pessoas em causa.

  • É estabelecida a autorização legal para que as entidades críticas utilizem sistemas de autenticação e reconhecimento biométricos como medida de segurança, sem impor a sua utilização generalizada
  • O tratamento de dados pessoais efectuado neste contexto baseia-se expressamente no artigo 6.º, n.º 1, alínea c), do RGPD e, no caso dos dados biométricos, nesta disposição em conjugação com o artigo 9.
  • Em todos os casos, é necessária uma avaliação de impacto sobre a proteção de dados (AIPD) prévia e específica para estes sistemas, que deve justificar a necessidade e a proporcionalidade e definir medidas de atenuação adequadas.

6. Próximos passos recomendados

Para as organizações dos sectores enumerados no anexo:

  • Análise intersectorial das lacunas: determine simultaneamente a exposição à NIS2, à DORA, à Lei da IA e à CRA.
  • Reveja a estrutura de governação da segurança: Verifique se o cargo de responsável pela segurança e resiliência pode ser ocupado pelo atual CISO/CSO ou se é necessária a nomeação de um diretor de segurança do Ministério.
  • Audite os contratos com fornecedores críticos: Inclua cláusulas sobre o cumprimento da CRA, SLAs para a comunicação de vulnerabilidades e continuidade do apoio.
  • DPIA biométrica prévia: Se a organização decidir instalar sistemas de reconhecimento biométrico, efectue a avaliação do impacto da proteção de dados (DPIA).
  • Procedimento duplo de gestão de incidentes: Conceba um protocolo único de gestão de incidentes que cumpra simultaneamente os prazos da CER e da NIS2.


Nota informativa do Departamento de Proteção de Dados e Cibersegurança da ECIJA Madrid.

Sócios relacionados

ATUALIDADE #ECIJA