Catarina Mascarenhas e José Maria Alves Pereira analisam Decreto-lei de entidades críticas

O novo Decreto-lei n.º 22/2025, que estabelece o regime de resiliência das entidades críticas em Portugal, vai além da cibersegurança e impõe obrigações de gestão de risco integradas e profundas. Num artigo publicado pela IT Security, Catarina Mascarenhas, consultora da Abreu Advogados, e José Maria Alves Pereira, advogado principal, explicam os moldes em que as novas exigências terão impacto nas organizações.

A principal novidade prática deste Decreto-lei é a sua abrangência. As empresas vão enfrentar “um conjunto de obrigações que recaem sobre a entidade crítica, como um todo, enquanto organização, recursos humanos e modo de funcionamento, assente numa lógica de gestão de risco”, explica Catarina Mascarenhas.

A consultora da Abreu Advogados destaca também que as entidades críticas terão de adotar uma gestão de risco integrada e transversal, com planos de resiliência que respondam a ameaças físicas e digitais, cumpram obrigações rigorosas e estejam sujeitas a auditorias e notificações em prazos apertados.

José Maria Alves Pereira esclarece que as empresas só saberão se são consideradas entidades críticas após um processo de identificação, a concluir até 17 de julho de 2026, com base em critérios cumulativos como a prestação de serviços essenciais, operação nacional e o potencial impacto significativo de um incidente. Adianta que o incumprimento não será uma opção: “as entidades críticas poderão ser sujeitas a advertências”, contendo as normas infringidas e as medidas corretivas a implementar, explica o advogado.

No artigo, conclui-se que, apesar do desafio regulatório, o cumprimento desta legislação pode representar uma vantagem competitiva e um sinal de fiabilidade perante clientes, parceiros e reguladores.

Leia aqui o artigo na íntegra.