Ψ mgit.pt Diagnóstico gratuito
Em vigor desde 03.04.2026 DL n.º 125/2025 . CNCS

NIS2 já é lei
em Portugal.
A sua empresa cumpre?
Ou começa a perder negócio?

Implementamos cibersegurança real, técnica e completa. Do diagnóstico à firewall. Sem relatórios sem fim, sem intermediários, sem jargão.

Quero o diagnóstico gratuito Verificar se estou abrangido
NIS2 em vigor . PT DL 125/2025 publicado 04.12.2025 Aplicação efetiva 03.04.2026 CNCS, autoridade competente Notificação ao CNCS em 24h Artigo 21, 10 medidas obrigatórias Coima até €10M ou 2% da faturação anual global NIS2 em vigor . PT DL 125/2025 publicado 04.12.2025 Aplicação efetiva 03.04.2026 CNCS, autoridade competente Notificação ao CNCS em 24h Artigo 21, 10 medidas obrigatórias Coima até €10M ou 2% da faturação anual global
SEC.01 / Urgência

Não está obrigado? O seu cliente
ou fornecedor pode estar.
E isso inclui-o a si.

F.01 / Coima máxima
€0M

Ou 2% da faturação anual global da empresa, o que for mais elevado, para entidades essenciais.

F.02 / Responsabilidade
CEO.pessoal

Gestores de topo podem ser pessoalmente responsabilizados e banidos temporariamente de exercer funções.

F.03 / Prazo
0h

Para reportar um incidente ao CNCS. Notificação formal em 72h. Relatório final em 1 mês.

A NIS2 obriga as entidades abrangidas a garantir a segurança de toda a sua cadeia de abastecimento. Mesmo que a sua empresa não esteja no âmbito direto da lei, os seus clientes vão começar a exigir que cumpra os mesmos padrões. Sob pena de perder contratos.

SEC.02 / Enquadramento

O que é a NIS2,
em linguagem simples.

01

Responsabilidade da gestão de topo

A cibersegurança deixou de ser problema de TI. Aprovação formal das políticas e formação obrigatória para gestores.

02

Supervisão proativa

O CNCS pode auditar a sua empresa sem aviso prévio. Inspeções aleatórias, scans de segurança e exigência de prova documental.

03

Notificação em 24 horas

Incidentes significativos têm de ser reportados ao CNCS em 24h. Notificação formal em 72h. Relatório final em 30 dias.

04

Responsabilidade pessoal

Gestores respondem pessoalmente por falhas. Em caso de incumprimento grave, podem ser temporariamente banidos de funções de gestão.

SEC.03 / Âmbito

A minha empresa
está abrangida?

Média empresa
50 a 249 colaboradores ou faturação entre €10M e €43M
Grande empresa
250 ou mais colaboradores ou faturação superior a €50M
Anexo I

Entidades essenciais

Coima até €10M ou 2% da faturação anual global
  • 01Energia
  • 02Transportes
  • 03Banca
  • 04Mercados Financeiros
  • 05Saúde
  • 06Água Potável
  • 07Águas Residuais
  • 08Infraestruturas Digitais
  • 09Gestão de Serviços TIC
  • 10Administração Pública
  • 11Espaço
Anexo II

Entidades importantes

Coima até €7M ou 1,4% da faturação anual global
  • 12Serviços Postais e Estafeta
  • 13Gestão de Resíduos
  • 14Produtos Químicos
  • 15Alimentar
  • 16Indústria Transformadora
  • 17Fornecedores Digitais
  • 18Investigação e I&D
Detalhe, Indústria Transformadora (NACE Secção C)
  • NACE 26Equipamentos informáticos, eletrónicos e óticos
  • NACE 27Equipamento elétrico
  • NACE 28Máquinas e equipamentos industriais
  • NACE 29Veículos automóveis, reboques, semirreboques
  • NACE 30Outro equipamento de transporte
  • n/dDispositivos médicos e diagnóstico in vitro

Estou abrangido pela NIS2?

REF.Q01 / 3 perguntas
Q1 / Setor de atividade
Q2 / Número de colaboradores
Q3 / Faturação anual
Veredito
.

.

Falar connosco
SEC.04 / Artigo 21

O que a lei exige.
As 10 medidas obrigatórias.

M.01

Políticas de análise de risco

M.02

Gestão de incidentes, deteção e resposta

M.03

Continuidade de negócio e recuperação após desastre

M.04

Segurança da cadeia de abastecimento

M.05

Segurança no desenvolvimento de sistemas

M.06

Avaliação da eficácia, auditorias regulares

M.07

Ciberhigiene e formação de colaboradores

M.08

Criptografia e encriptação

M.09

Controlo de acessos e gestão de ativos

M.10

Autenticação Multi-Fator e comunicações seguras

Prazos de notificação
24h Early warning ao CNCS. Alerta inicial logo após deteção do incidente significativo.
72h Notificação formal. Avaliação de severidade, indicadores de compromisso (IoC) e impacto inicial.
1mês Relatório final. Causa raiz, mitigação aplicada, impacto consolidado e medidas preventivas.
SEC.05 / Operação

O que fazemos.
Da auditoria à firewall.

S.01

Diagnóstico NIS2 e análise de lacunas

Avaliação completa do estado atual vs. requisitos legais. Identificamos o que falta, o que está em risco e o caminho com prioridades claras.

S.02

Sysadmin e infraestrutura segura

Gestão de sistemas, servidores, Active Directory, políticas de grupo, atualizações e patching. A base de tudo tem de estar segura.

S.03

Cibersegurança ativa

Gestão de vulnerabilidades, hardening de sistemas, testes de penetração e monitorização contínua de ameaças.

S.04

Redes seguras

Segmentação de rede, VLANs, VPN, monitorização de tráfego e proteção do perímetro interno.

S.05

Virtualização e cloud segura

Ambientes virtualizados com isolamento, snapshots automáticos e plano de recuperação após desastre testado.

S.06

Antivírus e EDR gerido

Solução gerida de proteção de endpoints com deteção e resposta. Monitorização centralizada, alertas em tempo real.

S.07

Firewall e controlo de perímetro

Configuração, gestão e monitorização de firewalls (Fortinet, Sophos, pfSense e outros). Regras, segmentação e análise de logs.

S.08

Segurança de email

Anti-spam, anti-phishing, DMARC, DKIM e SPF. Simulações de phishing e relatórios de consciencialização.

S.09

Backup e continuidade de negócio

Estratégia 3-2-1 de backups, testes regulares de restauro, plano de recuperação após desastre e documentação para auditoria NIS2.

S.10

Formação e consciencialização

Formação prática para equipas e gestores. Simulações de phishing, workshops de ciberhigiene e cultura de segurança. Obrigatório pelo Artigo 21.

SEC.06 / Anexo, exportação EUA

Exporta para os EUA?
Conheça o CTPAT.

O CTPAT é o programa de certificação de segurança da cadeia de abastecimento da alfândega americana. Partilha com a NIS2 o mesmo princípio: quem opera com entidades certificadas tem de demonstrar a sua própria segurança.

Para uma empresa portuguesa que exporta para os EUA, NIS2 e CTPAT convergem naturalmente. Segurança física, digital e documental, tratadas como um único sistema. Preparamos a sua empresa para os dois, com um único parceiro.

Saber mais sobre CTPAT
SEC.07 / Método

O nosso processo.
Simples, direto, sem surpresas.

Passo 01

Diagnóstico

  • Auditoria ao estado atual
  • Análise de lacunas NIS2
  • Identificação de riscos críticos
Passo 02

Plano de ação

  • Roteiro personalizado
  • Prioridades por impacto e prazo
  • Estimativa de esforço e custo
Passo 03

Implementação

  • Execução técnica real
  • Sysadmin, redes, segurança, backups
  • Sem intermediários
Passo 04

Formação

  • Equipas e gestores capacitados
  • Simulações práticas
  • Documentação para auditoria
Passo 05

Monitorização

  • Parceiro contínuo
  • Alertas, relatórios e suporte
  • Evolução da maturidade
SEC.08 / Diferenciação

Não somos consultores de papel.
Fazemos acontecer.

Ψ

Técnicos, não apenas consultores

Implementamos o que recomendamos. Equipa de sysadmins, engenheiros de redes e especialistas em cibersegurança. Não apenas de conformidade.

Ψ

Foco em PME portuguesas

As grandes consultoras focam-se no topo do mercado. Nós focamo-nos nas médias empresas que têm os mesmos riscos, mas menos recursos.

Ψ

Ponta a ponta, sem intermediários

Do diagnóstico à firewall, do backup ao email seguro. Tudo numa única relação. Sem subcontratação opaca.

Ψ

Parceiro a longo prazo

A cibersegurança não é um projeto com fim. Somos o vosso departamento de segurança externo, em modo contínuo.

SEC.09 / Perguntas

Perguntas frequentes.

Q.01 A minha empresa precisa de cumprir a NIS2? +

Se tiver mais de 50 colaboradores ou €10M de faturação e operar num dos 18 setores abrangidos, muito provavelmente sim. Mesmo que não esteja diretamente abrangida, se for fornecedor de quem está obrigado, vai receber exigências contratuais. Faça o diagnóstico gratuito.

Q.02 Quais são as penalidades por incumprimento? +

Entidades essenciais: até €10 milhões ou 2% da faturação anual global da empresa, consoante o que for mais elevado. Entidades importantes: até €7 milhões ou 1,4%. Os gestores de topo podem ser responsabilizados pessoalmente, com possibilidade de banimento temporário do cargo.

Q.03 Sou fornecedor de quem está obrigado. Também tenho de cumprir? +

Não diretamente pela lei, mas o seu cliente obrigado vai começar a exigir contratualmente que demonstre padrões equivalentes de cibersegurança. Quem não estiver preparado perde contratos. É uma questão de sobrevivência comercial.

Q.04 Já temos antivírus e firewall. Chegamos? +

Não. A NIS2 exige 10 medidas estruturadas: políticas documentadas, gestão de incidentes, plano de continuidade, formação de gestores, MFA, segurança da cadeia de fornecimento, entre outras. O antivírus é apenas uma peça do puzzle.

Q.05 Quanto tempo demora a implementação? +

Depende do estado atual. Um projeto típico dura entre 2 a 6 meses. Começamos sempre por um diagnóstico para saber onde estão as lacunas e priorizar.

Q.06 O CEO pode ser pessoalmente responsabilizado? +

Sim. O DL 125/2025 estabelece que os órgãos de gestão são pessoalmente responsáveis. Em caso de incumprimento grave e reiterado, podem ser temporariamente banidos de exercer funções de gestão.

Q.07 Somos uma PME com poucos recursos. Conseguimos mesmo cumprir? +

É exatamente para isso que a MGit existe. Trabalhamos com a realidade de cada empresa, priorizamos o que é crítico e implementamos de forma faseada. A conformidade é possível sem destruir o orçamento.

SEC.10 / Contacto

Comece pelo diagnóstico.
Gratuito, sem compromisso.

Em 60 minutos percebemos onde está a sua empresa, o que falta e qual o caminho. Sem jargão, sem burocracia, sem surpresas.

Email
diagnostico@mgit.pt
Localização
Portugal continental
Resposta
Em 24 horas úteis
REF.F01 / Pedido de diagnóstico Aberto
Os seus dados são tratados ao abrigo do RGPD
Ψ

Pedido recebido.

Obrigado. Vamos contactá-lo nas próximas 24 horas úteis para agendar o diagnóstico.