Mostrar resumo Ocultar resumo
O Centro Nacional de Cibersegurança (CNCS) aprovou e publicou hoje, em Diário da República, o regulamento de aplicação do novo quadro legal de cibersegurança em Portugal. O texto explica, de forma detalhada, como as obrigações derivadas da diretiva europeia NIS2 passarão a ser cumpridas no país — e quais serão os impactos práticos para empresas e serviços públicos considerados críticos.
O que o regulamento estabelece
O regulamento n.º 756/2026 fixa as regras operacionais da plataforma eletrónica criada para gerir o regime, incluindo o processo de autoidentificação das entidades e a sua qualificação. Define também os procedimentos para as notificações obrigatórias de incidentes de cibersegurança e para comunicações voluntárias de informação relevante.
Liberdade marca tertúlia de poesia em Constância: encontro reúne poetas e público
Amor imposto ameaça saúde mental e relações, alertam especialistas
Entre outros pontos, o texto regula as trocas de informação entre as entidades abrangidas e a autoridade competente — desde o envio do relatório anual até a identificação do responsável de cibersegurança e do ponto de contacto permanente. O documento integra ainda referências ao Quadro Nacional de Referência de Cibersegurança (QNRCS), que orientará normas, padrões e boas práticas aplicáveis.
- Operação da plataforma eletrónica: autoidentificação e qualificação de entidades;
- Notificações: regras para incidentes obrigatórios e comunicações voluntárias;
- Comunicação com a autoridade: relatório anual, responsável de cibersegurança e ponto de contacto;
- Alinhamento técnico: adoção do QNRCS como referência nacional;
- Aplicação prática no contexto da transposição da diretiva NIS2.
A quem se dirige
O regulamento aplica-se às entidades classificadas como essenciais, importantes e às públicas relevantes, nos termos do Regime Jurídico da Cibersegurança aprovado pelo Decreto‑Lei n.º 125/2025, de 4 de dezembro. Esse decreto transpôs a diretiva (UE) 2022/2555 — conhecida como NIS2 — que pretende elevar o nível de segurança das redes e sistemas de informação em toda a União Europeia.
Implicações práticas para organizações
Na prática, empresas e serviços públicos abrangidos terão de registar-se na plataforma, atualizar processos internos para detetar e notificar incidentes, e designar responsabilidades formais em matéria de cibersegurança. A entrada em vigor do regulamento traduz-se numa maior supervisão e numa necessidade clara de alinhamento técnico com as normas que o QNRCS vier a consolidar.
Para setores críticos, isso pode significar revisões de políticas, formação de equipas, e investimento em medidas de resposta e de reporte. A adaptação não é apenas formal: pretende reduzir lacunas operacionais e uniformizar critérios de gestão de risco digital a nível nacional.
Próximos passos e recomendações
As entidades afetadas devem consultar o texto publicado no Diário da República e seguir as comunicações do CNCS sobre prazos e instruções práticas para a plataforma. Avaliar a conformidade com o QNRCS e preparar mecanismos de notificação e gestão de incidentes são medidas prioritárias.
Em resumo, a publicação do regulamento marca o início da fase operacional de implementação da NIS2 em Portugal. Organizações enquadradas no regime precisam de agir com rapidez para cumprir as novas exigências e reduzir riscos perante um panorama de ameaças cada vez mais sofisticado.
