Início Blog Entidades Essenciais vs. Importantes
Âmbito e Categorias

Entidades Essenciais vs. Importantes ao abrigo da NIS2: Em que categoria se enquadra?

Maio de 2026
BALTUM Bureau
5 min de leitura

Uma das primeiras questões que qualquer organização deve responder ao avaliar a NIS2 não é apenas se a diretiva se aplica — mas como se aplica. A NIS2 divide as organizações abrangidas em duas categorias distintas: Entidades Essenciais e Entidades Importantes. Ambas devem implementar as mesmas medidas de segurança técnicas e organizacionais. No entanto, o nível de escrutínio regulatório, a abordagem de supervisão e as potenciais coimas diferem significativamente entre as duas.

Compreender em que categoria se enquadra não é meramente um exercício administrativo. Define o seu roteiro de conformidade, a sua relação com o regulador nacional e a sua exposição a ações de fiscalização.

Entidades Essenciais: Setores de Elevado Impacto sob Supervisão mais Rigorosa

As Entidades Essenciais operam em setores onde uma perturbação teria consequências graves para a sociedade, a economia ou a segurança pública. O Anexo I da NIS2 enumera os seguintes setores como Essenciais:

  • Energia — eletricidade, petróleo, gás, hidrogénio
  • Transportes — aéreo, ferroviário, marítimo, rodoviário
  • Banca — instituições de crédito
  • Infraestruturas dos mercados financeiros — plataformas de negociação, contrapartes centrais
  • Saúde — hospitais, prestadores de cuidados de saúde, fabricantes de produtos farmacêuticos, laboratórios de investigação
  • Água potável e águas residuais
  • Infraestruturas digitais — pontos de troca de internet, fornecedores de DNS, registos de TLD, fornecedores de computação em nuvem, centros de dados, CDN, prestadores de serviços de confiança, redes de comunicações eletrónicas
  • Gestão de serviços de TIC — prestadores de serviços geridos e prestadores de serviços geridos de segurança (em contextos B2B)
  • Administração pública — entidades governamentais centrais
  • Espaço — operadores de infraestruturas terrestres que suportam serviços baseados no espaço

Para ser classificada como Entidade Essencial na maioria destes setores, a sua organização deve satisfazer o limiar de dimensão de «grande empresa»: pelo menos 250 trabalhadores ou volume de negócios anual superior a 50 milhões de euros e balanço total superior a 43 milhões de euros. Algumas entidades — como determinados fornecedores de infraestruturas digitais e organismos da administração pública — são classificadas como Essenciais independentemente da dimensão.

Entidades Importantes: Âmbito Mais Alargado, Supervisão Mais Ligeira

As Entidades Importantes abrangem um leque mais vasto de setores enumerados no Anexo II da NIS2, onde as perturbações teriam consequências significativas, mas menos imediatamente catastróficas. Esses setores incluem:

  • Serviços postais e de estafeta
  • Gestão de resíduos
  • Fabrico, produção e distribuição de produtos químicos
  • Produção, transformação e distribuição de alimentos
  • Indústria transformadora — dispositivos médicos, computadores e equipamento eletrónico, maquinaria, veículos a motor, outro equipamento de transporte
  • Fornecedores digitais — mercados em linha, motores de pesquisa em linha, plataformas de redes sociais
  • Organizações de investigação

As Entidades Importantes devem satisfazer o limiar de dimensão de «média empresa»: pelo menos 50 trabalhadores ou volume de negócios anual superior a 10 milhões de euros. As organizações nos setores do Anexo I que sejam de média dimensão (e não grande dimensão) também se enquadram na categoria de Entidade Importante.

Principais Diferenças: Supervisão, Coimas e Responsabilidade

Os requisitos técnicos de segurança ao abrigo do Artigo 21 — que abrangem a gestão de riscos, a resposta a incidentes, a segurança da cadeia de abastecimento, a criptografia, o controlo de acessos e muito mais — são idênticos para ambas as categorias. As principais diferenças residem na forma como a conformidade é aplicada:

Dimensão Entidades Essenciais Entidades Importantes
Abordagem de supervisão Proativa — os reguladores podem realizar auditorias, inspeções e avaliações direcionadas a qualquer momento, sem aguardar um incidente Reativa — a supervisão é acionada principalmente por incidentes, reclamações ou indícios de incumprimento
Coimas máximas 10 milhões de euros ou 2% do volume de negócios anual global (o montante mais elevado) 7 milhões de euros ou 1,4% do volume de negócios anual global (o montante mais elevado)
Responsabilidade da direção Mais rigorosa — as autoridades nacionais podem proibir temporariamente os gestores de topo de exercerem funções de gestão Significativa — mas as disposições sobre responsabilidade pessoal são aplicadas com menor intensidade na prática
Requisitos de registo Obrigação de registo junto da autoridade nacional competente na maioria dos Estados-Membros Obrigação de registo na maioria dos Estados-Membros; alguns Estados aplicam procedimentos de registo mais simplificados
Importante: Tanto as Entidades Essenciais como as Entidades Importantes estão sujeitas aos requisitos de segurança do Artigo 21 e às obrigações de notificação de incidentes do Artigo 23. A categoria em que se enquadra não reduz as suas obrigações de conformidade — determina a intensidade com que será monitorizada e a gravidade das sanções em caso de incumprimento.

Como Autoavaliar a Sua Categoria

Utilize a seguinte lista de verificação para determinar a sua classificação provável:

🔍 Lista de Verificação de Autoavaliação da Categoria NIS2

  • Passo 1: A sua atividade principal enquadra-se num setor do Anexo I ou do Anexo II? (Se em nenhum, a NIS2 provavelmente não se aplica)
  • Passo 2: Se setor do Anexo I — tem 250 ou mais trabalhadores OU volume de negócios superior a 50 milhões de euros? Em caso afirmativo → Entidade Essencial
  • Passo 3: Se setor do Anexo I, mas abaixo do limiar de grande empresa — tem 50 ou mais trabalhadores OU volume de negócios superior a 10 milhões de euros? Em caso afirmativo → Entidade Importante
  • Passo 4: Se setor do Anexo II — tem 50 ou mais trabalhadores OU volume de negócios superior a 10 milhões de euros? Em caso afirmativo → Entidade Importante
  • Passo 5: É um fornecedor de infraestruturas digitais, operador de DNS, registo de TLD ou organismo da administração pública? → Provavelmente Entidade Essencial independentemente da dimensão
  • Passo 6: Verifique a legislação de transposição do seu Estado-Membro — alguns Estados alargaram o âmbito de aplicação ou acrescentaram setores a nível nacional

Conclusão: As Mesmas Regras, Consequências Diferentes

Seja classificada como Essencial ou Importante, a sua organização deve cumprir os requisitos de segurança do Artigo 21 da NIS2 — não existe uma versão «mais leve» das obrigações técnicas. A diferença reside na forma como a autoridade nacional a irá monitorizar — com que rigor e proatividade — e na dimensão das consequências financeiras em caso de falha.

Para as Entidades Essenciais, a mensagem é clara: assuma que está sob o escrutínio permanente do regulador. Para as Entidades Importantes, uma supervisão reativa não significa baixo risco — um incidente significativo pode desencadear o pleno peso da fiscalização a qualquer momento.

O passo mais importante agora é determinar com precisão a sua classificação e garantir que o seu programa de conformidade reflita o nível de rigor e urgência adequados.

Não tem a certeza da sua categoria?

A BALTUM Bureau pode ajudá-lo a determinar a sua classificação NIS2, avaliar a sua postura de conformidade atual e elaborar um roteiro personalizado — seja Essencial ou Importante. Comece com uma avaliação de lacunas gratuita.

Contactar a BALTUM para uma Avaliação Gratuita
Voltar ao Blog Notificação de Incidentes NIS2