A diretiva procura melhorar a proteção das infraestruturas essenciais contra diferentes ameaças e harmonizar a cooperação transfronteiriça entre autoridades competentes.
Enquadramento europeu
A Diretiva (UE) 2022/2557[1] (Diretiva da Resiliência das Entidades Críticas - Diretiva REC) visa reforçar a capacidade dos Estados-Membros para proteger infraestruturas essenciais de ameaças como ciberataques, catástrofes naturais, terrorismo ou emergências de saúde pública. Em concreto, esta diretiva estabelece um quadro jurídico comum para garantir que as entidades críticas de setores estratégicos adotem medidas adequadas de prevenção, preparação, resposta e recuperação. A iniciativa surge da necessidade de harmonizar os regimes nacionais e reforçar a cooperação transfronteiriça entre autoridades competentes.[2]
A Diretiva REC reconhece a crescente interdependência entre os setores críticos e defende uma abordagem coordenada para identificar vulnerabilidades e promover a resiliência na União Europeia. Para tal, os Estados-Membros devem desenvolver uma estratégia nacional de resiliência, realizar avaliações de risco e identificar as entidades críticas que prestam serviços essenciais.
Regime Nacional de Resiliência
É neste novo enquadramento jurídico de preocupação com a segurança de infraestruturas críticas e da necessidade de garantir uma resposta coordenada a ameaças que foi publicado, em 19 de março de 2025, o Decreto-Lei n.º 22/2025[3], que transpõe para a ordem jurídica interna a Diretiva REC.
O Decreto-Lei n.º 22/2025 cria um novo quadro jurídico para identificar, designar e reforçar a resiliência das entidades críticas nacionais e europeias, para garantir a continuidade de serviços essenciais.
O Capítulo II estabelece este quadro nacional em três instrumentos principais (artigos 11.º a 13.º):
- Avaliação nacional de risco, aprovada por resolução do Conselho de Ministros;
- Estratégia Nacional para a Resiliência das Entidades Críticas, igualmente aprovada por resolução do Conselho de Ministros; e
- Critérios objetivos para identificar entidades críticas.
A Estratégia Nacional para a Resiliência das Entidades Críticas, baseada na avaliação de risco, definirá o enquadramento estratégico, as linhas de ação e os objetivos políticos neste domínio, e funcionará como instrumento orientador para o processo de identificação de entidades críticas, devendo refletir uma abordagem integrada da proteção de serviços essenciais.
Quais são as entidades críticas?
Nos termos do Decreto-Lei n.º 22/2025, considera-se entidade crítica qualquer organização que preste serviços indispensáveis à manutenção de funções societais e atividades económicas vitais.
Sem prejuízo de a avaliação nacional de risco poder justificar a inclusão de outras entidades setoriais, para já, foram identificadas como entidades críticas as que atuam em setores estratégicos como:
- Energia (petróleo, gás, eletricidade e hidrogénio)
- Saúde
- Transportes
- Água potável e águas residuais
- Setor bancário e de seguros
- Infraestruturas digitais
- Administração pública
- Produção e distribuição de produtos alimentares
- Espaço.[4]
Os critérios para a identificação de entidades críticas, ao abrigo do artigo 13.º, são, designadamente,
- a prestação de serviços essenciais;
- a localização das infraestruturas críticas em território nacional; e
- a suscetibilidade de um incidente ter efeitos perturbadores significativos.
Para determinar se um incidente tem efeitos perturbadores significativos, consideram-se fatores tais como o número de utilizadores dependentes do serviço essencial, o grau de interdependência com outros sectores e subsectores[5]impacto do incidente na economia, no ambiente, na segurança públicas ou na saúde, e a duração da perturbação. Outros fatores incluem a quota de mercado da entidade que presta o serviço essencial em causa, a zona geográfica afetada — incluindo repercussões transfronteiriças[6] — e a disponibilidade de alternativas para garantir a continuidade do serviço.[7]
A avaliação também considera o papel da entidade na salvaguarda de um nível adequado de prestação do serviço essencial, com base nos seus recursos e infraestruturas.
As entidades críticas dos seguintes setores estão excluídas das obrigações previstas nos Capítulos III, IV e V do Decreto-Lei n.º 22/2025 (sobre resiliência, relevância europeia e fiscalização):
- Bancário
- Infraestruturas do mercado financeiro
- Infraestruturas digitais.
Principais obrigações das entidades críticas
O novo regime determina um conjunto de obrigações específicas para as entidades designadas como críticas, e os respetivos prazos de cumprimento, como detalhado infra:
As entidades devem elaborar planos de segurança[8]baseados na avaliação de risco, que incluam medidas técnicas e organizacionais. Por outro, o agente de ligação coordena a comunicação entre as entidades críticas e as autoridades nacionais[9], assegurando a partilha de informação e a implementação das medidas de segurança.
As forças de segurança podem propor, após consulta à entidade crítica, medidas para restringir o espaço aéreo situado acima das infraestruturas críticas e área envolvente afetada.[10]
Estrutura institucional de resiliência
O diploma estabelece uma estrutura coordenada para a resiliência das infraestruturas críticas em Portugal, composta pelas seguintes entidades:
Conselho Nacional de Planeamento Civil de Emergência (“CNPCE”)
- Identifica e designa as entidades críticas e respetivas infraestruturas críticas, com a cooperação das entidades setoriais.[11]
- Constitui o ponto de contacto nacional com a Comissão Europeia.
- Aprova as designações formais e notifica as entidades críticas.
Secretário-Geral do Sistema de Segurança Interna
- Coordena e supervisiona as medidas de reforço da resiliência
- Aprova os planos de resiliência, eecebe notificações de incidentes, realiza auditorias e inspeções, e aplica sanções, nos termos do Capítulo V.[12]
Ambas as entidades colaboram com o Centro Nacional de Cibersegurança na partilha de informação sobre riscos de cibersegurança e outros riscos ameaças e incidentes não relacionados com a cibersegurança.
As entidades setoriais e as forças de segurança implementam medidas específicas, em colaboração com as entidades acima referidas.
A Estratégia Nacional para a Resiliência das Entidades Críticas e a Avaliação Nacional de Risco devem ser aprovadas até 17 de janeiro de 2026, mantendo-se em vigor os instrumentos previstos no Decreto-Lei n.º 20/2022[13] até lá. Será igualmente criada uma plataforma eletrónica de registo de informação sobre entidades e infraestruturas críticas, que poderá integrar informação classificada[14].
Regime especial para entidades críticas europeias
O Capítulo IV regula as entidades críticas com relevância europeia, que prestam serviços em seis ou mais Estados-Membros, implicando cooperação transnacional.
Fiscalização e regime sancionatório
A fiscalização cabe ao Secretário-Geral do Sistema de Segurança Interna. O diploma estabelece ainda que as sanções serão definidas em diploma próprio, e o Decreto-Lei n.º 22/2025 prevê ainda a realização de auditorias e inspeções. As infrações incluem, entre outras, o não cumprimento da comunicação do agente de ligação (contraordenação leve), a omissão da notificação de incidentes (contraordenação grave) ou o incumprimento da obrigação de elaboração e revisão dos planos (contraordenação muito grave).
Impacto no setor e infraestruturas críticas
As organizações devem iniciar um processo interno de avaliação da sua eventual qualificação como entidade crítica e preparar-se para cumprir as obrigações decorrentes do Decreto-Lei n.º 22/2025, nomeadamente quanto a resiliência operacional e de segurança, continuidade de serviço, avaliação de risco e resposta a incidentes. O não cumprimento poderá ter consequências operacionais, reputacionais e legais, agravadas pela interdependência dos sistemas e natureza transfronteiriça das ameaças.
A aplicação do novo regime foi objeto de ampla auscultação institucional, tendo sido ouvidos, entre outros, o Banco de Portugal, a Comissão do Mercado de Valores Mobiliários, a Autoridade de Supervisão de Seguros e Fundos de Pensões, o Gabinete Nacional de Segurança, as forças de segurança, e diversas comissões de planeamento de emergência setoriais.