O Regime NIS2 (DL 125/2025) classifica as autarquias locais como entidades essenciais do sector «Administração Pública». Câmaras municipais, empresas municipais gestoras de serviços de água e saneamento, e serviços municipalizados estão sujeitos a obrigações de gestão de riscos de cibersegurança, notificação de incidentes ao CNCS, designação de responsável de cibersegurança e responsabilidade pessoal dos dirigentes.
A Directiva NIS2, transposta pelo DL n.º 125/2025, de 4 de dezembro, alargou substancialmente o universo de entidades sujeitas a obrigações de cibersegurança. As autarquias locais foram expressamente incluídas como entidades essenciais do sector «Administração Pública», o que significa que estão sujeitas ao regime mais exigente do quadro NIS2.
Esta classificação abrange não apenas a câmara municipal enquanto entidade, mas também as suas unidades orgânicas que processam dados e operam sistemas de informação — incluindo os serviços municipalizados de água e saneamento (adicionalmente abrangidos pelo sector «Água potável»). As empresas municipais gestoras de serviços essenciais constituem igualmente entidades abrangidas a título próprio.
O impacto é profundo: o município deve implementar medidas técnicas e organizativas de gestão de riscos, designar um responsável de cibersegurança (CISO), notificar incidentes ao CNCS em prazos apertados (24 horas para alerta inicial, 72 horas para notificação completa) e, acima de tudo, os dirigentes — presidente da câmara, vereadores e directores de departamento — são pessoalmente responsáveis pela aprovação e supervisão das medidas de cibersegurança.
O regime NIS2 impõe às autarquias locais — enquanto entidades essenciais — um conjunto abrangente de medidas de gestão de riscos, governação da cibersegurança e notificação de incidentes.
O regime NIS2 impõe um procedimento de notificação faseada ao CNCS para incidentes significativos de cibersegurança.
O regime NIS2 abrange múltiplas entidades no ecossistema autárquico, cada uma com obrigações específicas.
| Entidade Autárquica | Sector NIS2 | Classificação | Obrigações Específicas |
|---|---|---|---|
| Câmara Municipal | Administração Pública | Entidade essencial | Gestão de riscos, CISO, notificação, formação dirigentes |
| Serviços Municipalizados (SMAS) | AP + Água potável + Águas residuais | Entidade essencial (dupla) | Regime integral + segurança de infra-estruturas de água |
| Empresa Municipal (água/saneamento) | AP + Água potável + Águas residuais | Entidade essencial (dupla) | Regime integral autónomo + articulação com câmara |
| Empresa Municipal (transportes) | Transportes | Entidade essencial ou importante | Conforme dimensão e impacto do serviço |
| Empresa Municipal (outros serviços) | Variável | Avaliação caso a caso | Depende do sector de actividade da empresa |
| Junta de Freguesia | Não expressamente abrangida | Boas práticas recomendadas | Ciberhigiene, articulação com câmara municipal |
Serviços especializados para municípios, empresas municipais e serviços municipalizados no cumprimento do regime NIS2.
A cibersegurança municipal articula-se com todos os domínios do ecossistema autárquico, do regime-base à conformidade integrada.
Sim. A Directiva NIS2 inclui expressamente as «entidades da administração pública» no Anexo I (sectores de alta criticidade), e o DL 125/2025 classifica-as como entidades essenciais — a categoria mais exigente do regime. Isto aplica-se à câmara municipal enquanto entidade da administração pública local, independentemente da sua dimensão ou número de habitantes. Os municípios devem implementar a totalidade das medidas previstas no artigo 21.º da NIS2.
Sim, o regime NIS2 exige a designação de um responsável de cibersegurança (CISO) com competências adequadas, que funcione como ponto de contacto permanente com o CNCS. A função pode ser exercida internamente ou externalizada através de um modelo CISO-as-a-Service, o que é particularmente relevante para municípios de menor dimensão que não disponham de recursos técnicos especializados. O modelo pode inclusivamente ser partilhado entre municípios, à semelhança do DPO partilhado no âmbito do RGPD.
Sim. Os serviços municipalizados de água e saneamento estão abrangidos a dois títulos: como parte da câmara municipal (sector «Administração Pública») e como operadores dos sectores «Água potável» e «Águas residuais» (Anexo I da NIS2). Esta dupla exposição significa que os SMAS devem cumprir as obrigações NIS2 com particular atenção à segurança das infra-estruturas de captação, tratamento e distribuição de água — sistemas cada vez mais digitalizados e potencialmente vulneráveis a ciberataques.
Sim. O artigo 20.º da NIS2, transposto pelo DL 125/2025, estabelece que os órgãos de direcção das entidades essenciais devem aprovar as medidas de gestão dos riscos de cibersegurança e supervisionar a sua implementação. O incumprimento desta obrigação pode gerar responsabilidade pessoal do presidente da câmara e dos vereadores com pelouros relevantes. Esta responsabilidade é cumulativa com a responsabilidade prevista no RJAL para actos de gestão autárquica ilícitos.
A articulação é directa e complementar. Se um incidente de cibersegurança envolver dados pessoais, o município deve: (1) notificar o CNCS nos termos da NIS2 (24h/72h/1 mês); e (2) notificar a CNPD nos termos do artigo 33.º do RGPD (72 horas), podendo ainda ter de comunicar aos titulares dos dados (artigo 34.º RGPD). O programa de conformidade municipal integra ambas as obrigações num procedimento coordenado, evitando contradições e assegurando que o DPO e o CISO actuem articuladamente.
A NIS2 não abrange expressamente as juntas de freguesia enquanto entidades autónomas, dado o seu reduzido nível de criticidade sistémica. No entanto, as boas práticas de ciberhigiene são recomendadas para todas as entidades públicas, e as freguesias que utilizam sistemas partilhados com a câmara municipal devem seguir as políticas de segurança definidas pelo CISO municipal. A formação em ciberhigiene pode ser estendida aos trabalhadores das juntas de freguesia no âmbito do programa municipal.
Solicite um diagnóstico NIS2, CISO-as-a-Service, plano de resposta a incidentes ou formação em cibersegurança para dirigentes e equipas municipais.