Com a publicação do Decreto-Lei n.º 125/2025, Portugal implementou um novo regime de cibersegurança que responsabiliza diretamente os gestores de organizações em 18 setores críticos, como energia, saúde e finanças. A nova lei, que transpunha a Diretiva europeia NIS2, estabelece exigências legais rigorosas, incluindo a designação de um responsável de cibersegurança, que deve ser comunicada à autoridade competente até 23 de abril de 2026. As penalizações para as entidades que não cumprirem as obrigações podem ser severas, com multas que variam de 10 milhões de euros a 2% do volume de negócios anual. Além disso, os gestores podem enfrentar responsabilidades pessoais, com coimas de até 125.000 euros. O regime sancionatório foi alinhado com o Regulamento Geral sobre a Proteção de Dados (RGPD), elevando a cibersegurança a um patamar crítico. Durante os primeiros 12 meses após a implementação, as organizações que demonstrarem esforços para se adaptar estarão isentas de multas, oferecendo uma oportunidade para se estruturar conforme as novas exigências.