O decreto-Lei n.º 125/2025 aprova o regime jurídico da cibersegurança, transpondo a Diretiva (UE), do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, destinada a garantir um elevado nível comum de cibersegurança em toda a União.

"Entre os aspetos relevantes do regime aprovado pelo presente decreto-lei, encontra-se ainda o aprofundamento de três instrumentos fundamentais para as políticas públicas de cibersegurança", lê-se no no documento.

Estes instrumentos são a Estratégia Nacional de Segurança do Ciberespaço, "definindo as prioridades e os objetivos estratégicos nacionais em matéria de cibersegurança"; o Plano Nacional de Resposta a Crises e Incidentes de Cibersegurança em grande escala, "regulando e aperfeiçoando a gestão deste tipo de incidentes"; e o Quadro Nacional de Referência para a Cibersegurança, "que reunirá e permitirá a divulgação de normas, padrões e boas práticas na gestão da cibersegurança".

O quadro institucional do novo regime "é alargado em relação ao regime anterior, conforme imposto pela Diretiva a transpor".

Nesse âmbito, o Centro Nacional de Cibersegurança (CNCS) "reforça a sua função de autoridade nacional de cibersegurança, destacando-se ainda o estabelecimento de autoridades de supervisão «setoriais» e «especiais», que exercem supervisão sobre setores específicos da economia, assim se garantindo a estabilidade na supervisão de cada um dos setores abrangidos, bem como aliviando as tarefas transversais cometidas ao CNCS", refere o decreto-lei.

A entrada em vigor do decreto-lei "não prejudica a validade das decisões tomadas pela Comissão de Avaliação de Segurança [CAS] ao abrigo do regime anterior, que continuam a produzir efeitos pelo período de 180 dias após a data da entrada em vigor do presente decreto-lei, durante o qual deve ser realizada nova avaliação de segurança", lê-se no documento.

Com base na nova avaliação de segurança referida no número anterior, e ao abrigo do regime aprovado em anexo ao presente decreto-lei, "o membro do Governo responsável pela área da cibersegurança pode decidir pela renovação, modificação ou substituição das decisões adotadas pela Comissão de Avaliação de Segurança no âmbito do regime anterior".

Em maio de 2023, a CAS, no âmbito do Conselho Superior de Segurança do Ciberespaço, divulgou uma deliberação sobre o "alto risco" para a segurança das redes e de serviços 5G do uso de equipamentos de fornecedores que, entre outros critérios, sejam de fora da UE, NATO ou OCDE e que "o ordenamento jurídico do país em que está domiciliado" ou ligado "permita que o Governo exerça controlo, interferência ou pressão sobre as suas atividades a operar em países terceiros".

Embora a deliberação não tenha referido nomes de empresas ou de países, esta foi aplicada à Huawei, a qual em setembro de 2023 entrou com uma ação administrativa contra a decisão.

O regime define ainda o que são entidades essenciais e entidades importantes e o valor das contraordenações para cada uma delas.

O presente decreto-lei entra em vigor 120 dias após a sua publicação.