None
Janeiro 23, 2026 6 minha leitura

SRI2 e as Pequenas e Médias Empresas em Portugal: Você está afetado?

Uma pergunta frequente de empresários e gestores em Portugal é: "A SRI2 aplica-se a pequenas e médias empresas?" A resposta honesta é: depende — e as nuances são significativas. A SRI2 foi concebida principalmente para médias e grandes organizações que operam em setores críticos. No entanto, existem exceções importantes que podem incluir entidades mais pequenas no âmbito de aplicação e, mesmo as organizações que estão formalmente fora do âmbito de aplicação têm fortes incentivos para compreender os requisitos da SRI2. Este artigo

SRI2 e as Pequenas e Médias Empresas em Portugal: Você está afetado?

Índice

Regra geral: os limites de dimensão excluem a maioria das PME

A SRI2 utiliza a definição padrão da UE para PME para determinar a dimensão. Para se enquadrar no âmbito da SRI2, uma entidade deve, em geral, ser pelo menos de média dimensão:

Size Category FTE Turnover Balance Sheet
Large ≥250 >€50M >€43M
Medium ≥50 >€10M >€10M
Small (generally excluded) <50 ≤€10M ≤€10M
Micro (generally excluded) <10 ≤€2M ≤€2M

Caso sua organização esteja abaixo do limite médio — menos de 50 funcionários, faturamento igual ou inferior a € 10 milhões e balanço patrimonial igual ou inferior a € 10 milhões —, ela geralmente está fora do escopo da SRI2.

Isto significa que a grande maioria das PME portuguesas não está diretamente sujeita às obrigações de conformidade da SRI2.

Exceções: Quando pequenas entidades estão incluídas no escopo

A SRI2 estabelece várias exceções importantes em que pequenas e até mesmo microentidades podem se enquadrar no âmbito de aplicação:

Exceção 1: Formalmente Identificado como Infraestrutura Crítica

Caso a sua organização tenha sido formalmente designada pelas autoridades portuguesas como operadora de infraestruturas críticas, a SRI2 aplica-se independentemente da sua dimensão. Esta designação pode ser atribuída pela CNCS, pelas entidades reguladoras do setor (ERSE, Banco de Portugal, etc.) ou através de processos de identificação a nível da UE.

Caso tenha recebido tal designação, você já está ciente disso — trata-se de um processo regulatório formal, não algo que ocorre passivamente.

Exceção 2: Provedores de Serviços DNS

Os provedores de serviços de Sistema de Nomes de Domínio (DNS) (excluindo servidores de nomes raiz) estão sujeitos à SRI2, independentemente do tamanho. Caso sua empresa gerencie serviços de resolução de DNS, mesmo que seja um pequeno provedor, ela pode estar dentro do escopo.

Exceção 3: Registros de nomes de TLD

Os operadores de registos de nomes de domínios de topo (TLD) (tais como o registo .pt) estão abrangidos pela SRI2, independentemente da sua dimensão.

Exceção 4: Prestadores de Serviços de Confiança

Os prestadores de serviços fiduciários qualificados e não qualificados ao abrigo do eIDAS (serviços de identificação e autenticação eletrónicas, prestadores de assinaturas digitais, etc.) estão sujeitos à SRI2 a partir do nível das pequenas entidades. Mesmo os pequenos prestadores destes serviços digitais especializados estão abrangidos pelo âmbito de aplicação.

Exceção 5: Provedores de redes ou serviços públicos de comunicações eletrônicas

Os pequenos fornecedores de redes ou serviços de comunicações eletrónicas publicamente disponíveis (fornecedores de telecomunicações, ISP) podem estar abrangidos pelo âmbito de aplicação da SRI2, em particular ao abrigo das regras de jurisdição dos serviços que se aplicam com base no local onde os serviços são prestados e não no local onde a entidade está estabelecida.

Exceção 6: Entidades da Administração Pública

As entidades da administração pública designadas ao abrigo da implementação portuguesa da SRI2 estão abrangidas, independentemente da sua dimensão.

A regra do "único provedor"

Outra exceção importante aplica-se quando uma pequena entidade é a única prestadora de um serviço essencial à manutenção de atividades sociais ou económicas críticas em Portugal. Nesses casos, as autoridades nacionais podem designar a entidade como abrangida, independentemente da sua dimensão.

Isso afeta principalmente provedores de infraestrutura de nicho, concessionárias especializadas e provedores de serviços regionais exclusivos.

Impacto Indireto: SRI2 Através da Cadeia de Abastecimento

Mesmo que sua PME esteja formalmente fora do escopo da SRI2, você pode enfrentar requisitos de fato da SRI2 por meio de suas relações na cadeia de suprimentos.

Caso forneça produtos ou serviços a uma organização abrangida pela SRI2, essa organização é obrigada a avaliar e gerir os riscos de cibersegurança na sua cadeia de abastecimento — incluindo a sua postura de segurança. Consequentemente, poderá receber solicitações para:

  • Preenchimento de questionários de segurança
  • Comprovação de certificações de segurança cibernética (por exemplo, ISO 27001)
  • Compromissos contratuais com normas de segurança específicas
  • Cláusulas de direito de auditoria que permitem ao seu cliente avaliar a sua segurança

Para muitas PME portuguesas, o impacto prático da SRI2 será sentido através dos requisitos dos clientes, e não através de obrigações regulamentares diretas. As empresas que demonstrarem práticas robustas de cibersegurança terão uma vantagem competitiva — e aquelas que não o fizerem poderão ver-se excluídas de contratos com clientes do setor regulamentado.

O que as PMEs fora do escopo devem realizar?

Mesmo que a SRI2 não se aplique diretamente à sua organização atualmente, há motivos válidos para levar a segurança cibernética a sério:

  1. Prepare-se para futuras alterações no âmbito de
    aplicação A SRI2 é uma diretiva dinâmica. A Comissão Europeia irá rever periodicamente as classificações setoriais e os limiares. A sua organização poderá vir a ser abrangida no futuro.
  2. Atender às expectativas dos clientes
    Conforme mencionado acima, os requisitos de segurança da cadeia de suprimentos serão repassados aos fornecedores de todos os portes. Antecipar-se a isso agora evita complicações posteriormente.
  3. Reduza o seu próprio risco
    As medidas de segurança cibernética exigidas pela SRI2 (avaliações de risco, planos de resposta a incidentes, MFA, backups, controles de acesso) são práticas recomendadas que protegem qualquer organização, independentemente da obrigação regulatória.
  4. Qualifique-se para contratos do setor público Os
    processos de aquisição pública em Portugal estão cada vez mais a incorporar requisitos de cibersegurança. As organizações com maturidade comprovada em matéria de segurança terão uma vantagem na candidatura a contratos públicos.
  5. Seguro cibernético As
    seguradoras cibernéticas estão alinhando seus requisitos mais estreitamente com estruturas como a SRI2. Organizações com posturas de segurança maduras se qualificam para uma cobertura melhor com prêmios mais baixos.

Recursos gratuitos para PMEs portuguesas

Mesmo sem uma obrigação direta do SRI2, as PME portuguesas podem beneficiar de:

Resumo: Questões-chave para as PME portuguesas

Pergunte a si mesmo:

  1. Temos mais de 50 funcionários ou um volume de negócios/balanço superior a 10 milhões de euros? → Se sim, verifique cuidadosamente o âmbito do setor.
  2. Fomos formalmente designados como infraestrutura crítica? → Se sim, você está dentro do escopo, independentemente do tamanho.
  3. Fornecemos DNS, TLD, serviços de confiança ou redes de comunicações públicas? → Estes têm regras especiais.
  4. Fornecemos produtos a organizações abrangidas pela SRI2? → Prepare-se para os requisitos de segurança da cadeia de abastecimento dos seus clientes.
  5. As melhorias na segurança cibernética podem beneficiar nossos negócios independentemente da SRI2? → Quase certamente sim.

A SRI2 aplica-se à minha organização?

Faça a nossa avaliação gratuita de 5 minutos para determinar a sua classificação NIS2 e obter recomendações personalizadas para conformidade.

Iniciar Avaliacão