As novas regras de identificação, proteção e resiliência de entidades críticas têm como objetivo tornar as entidades que prestem serviços indispensáveis à manutenção de funções sociais e atividades económicas vitais capazes de prevenir, proteger, reagir, gerir e recuperar de incidentes como, por exemplo, catástrofes, ameaças terroristas ou emergências de saúde pública.
Para este efeito, o Decreto-Lei n.º 22/2025, de 19 de março, estabelece (i) os termos e procedimento de identificação das entidades críticas no quadro da estratégia nacional de resiliência e da avaliação nacional de risco, ambas a definir até 2026, (ii) as obrigações das entidades que vierem a ser designadas como críticas, e (iii) as sanções aplicáveis em caso de violação dessas obrigações.
A identificação das entidades críticas caberá ao Conselho Nacional de Planeamento Civil de Emergência e deverá ser efetuada de acordo com os seguintes critérios:
- A entidade em causa presta um serviço essencial;
- A entidade opera e as suas infraestruturas críticas (ativo, instalação, equipamento, rede ou sistema situado em território português, cuja perturbação do funcionamento ou destruição teria um efeito perturbador significativo na prestação de um serviço essencial) estão situadas em Portugal; e
- Um incidente teria efeitos perturbadores significativos sobre a prestação, pela entidade, de um ou mais serviços essenciais, atendendo, designadamente ao número de utilizadores, quota da entidade no mercado em questão e zona geográfica suscetível de ser afetada.
Os serviços essenciais são os seguintes (lista não exaustiva):
- Energia: Produção, fornecimento, transporte, distribuição e armazenamento de eletricidade, gás e petróleo;
- Transporte aéreo, ferroviário e marítimo: Serviços de transporte e gestão de infraestruturas e tráfego;
- Transporte rodoviário: Controlo da gestão do tráfego no âmbito e serviços de sistemas de transporte inteligentes;
- Bancário: Aceitação de depósitos, concessão de empréstimos e serviços de pagamento;
- Mercado financeiro: Exploração de plataformas de negociação e funcionamento dos sistemas de compensação;
- Saúde: Prestação de cuidados de saúde, investigação e desenvolvimento de medicamentos, fabrico de produtos farmacêuticos de base e de preparações farmacêuticas de base, fabrico de dispositivos médicos considerados críticos durante uma emergência de saúde pública e
- Armazenamento e distribuição de medicamentos;
- Água potável: Fornecimento e distribuição de água potável;
- Águas residuais: Recolha, tratamento e eliminação de águas residuais;
- Infraestruturas Digitais: Prestação de serviços de computação em nuvem, de centros de dados, de redes de distribuição de conteúdos, de serviços de confiança, fornecimento de serviços de comunicações eletrónicas acessíveis ao público e de redes públicas de comunicações eletrónicas;
- Produção, transformação e distribuição de produtos alimentares; e
- Seguros e fundos de pensões.
As entidades que venham ser identificadas como entidades críticas serão notificadas para se pronunciarem, caso pretendem fazê-lo, no prazo de 15 dias, após o que pode ter lugar a sua designação como tal.
A identificação de entidades críticas deverá ser revista a cada 4 anos.
As entidades designadas como entidades críticas ficam sujeitas a um conjunto de obrigações entre as quais destacamos as seguintes:
1. Designação de um agente de ligação responsável pela articulação institucional e um agente de ligação para cada infraestrutura crítica e de comunicar a designação às entidades competentes no prazo de 10 dias.
2. Realização de avaliação de risco no prazo de 9 meses a contar da notificação da sua designação como entidade crítica. Esta avaliação de risco deve ser atualizada a cada 4 anos e sempre que se justifique
3. Elaboração e implementação de um plano de resiliência com base na avaliação de risco e submissão a aprovação do Secretário-Geral do Sistema de Segurança Interna no prazo de 10 meses a contar da notificação da sua designação como entidade crítica.
Este plano deve integrar as medidas técnicas, de segurança e de organização necessárias para assegurar resiliência da entidade e das suas infraestruturas críticas, incluindo proteção física estas infraestruturas, um plano de segurança para cada uma delas, identificação das categorias de pessoas com funções críticas e formação e treino de recursos humanos.
O plano resiliência deve ser revisto no prazo máximo de 4 anos a contar da sua provação ou sempre que se justifique.
4. Notificação no mais curto prazo de tempo possível, e até ao máximo de 24 horas, da ocorrência de incidentes que perturbem ou sejam suscetíveis de perturbar, a prestação de serviços essenciais ou o funcionamento das infraestruturas críticas.
5. Realização de, pelo menos, um exercício durante a vigência do plano de resiliência aprovado, visando testar a adequação das medidas, procedimentos e ações nele previstos.
6. Comunicação prévia de alteração de natureza jurídica e de venda ou cedência da prestação do serviço essencial. Neste último caso deve identificar o adquirente e transmitir-lhe a informação do plano de resiliência que seja relevante;
7. Comunicação prévia em caso de venda ou cedência de uma ou mais infraestruturas críticas com pelo menos 30 dias de antecedência em relação à data em que o negócio produz efeitos, devendo identificar a adquirente.
A violação destas obrigações constitui contraordenação punida com coimas ou outras sanções.
Às entidades críticas dos setores bancários, mercado financeiro, seguros e fundos de pensões e infraestruturas digitais não se aplicam as obrigações acima referidas nos pontos 1 a 5 nem o regime sancionatório.
A estratégia nacional de resiliência das entidades críticas e a avaliação nacional de risco deverão ser definidas até 17 de janeiro de 2026, mantendo-se o regime atual - Decreto-Lei n.º 20/2022 de 28 de janeiro - em vigor.
Por seu turno, a designação das entidades críticas para os setores essenciais acima referidos deverá realizar-se até 17 de julho de 2026