Consulta Pública: Regulamento de Cibersegurança

O Centro Nacional de Cibersegurança (CNCS) submeteu a consulta pública, por um período de 30 dias úteis, o projeto de regulamento relativo à implementação do Regime Jurídico da Cibersegurança, aprovado pelo Decreto-Lei n.º 125/2025, de 4 de dezembro, que transpôs para a ordem jurídica portuguesa a Diretiva NIS2 . Sobre este regime ver o nosso Legal Flash “O novo Regime Jurídico da Cibersegurança”.

Porquê e como participar na consulta pública?

A participação na consulta pública representa uma oportunidade importante para as entidades abrangidas contribuírem para a definição das regras que lhes serão aplicáveis. Uma vez encerrada a consulta pública, o CNCS procederá à apreciação dos contributos apresentados pelos interessados e divulgará um relatório que reunirá os contributos recebidos, bem como uma apreciação global que reflita o entendimento sobre os mesmos e os fundamentos das opções tomadas.

Os interessados em participar na consulta pública podem enviar os seus contributos, por escrito e em língua portuguesa, preferencialmente através de correio eletrónico para o endereço cncs@cncs.gov.pt, até ao dia 22 de abril de 2026.

Qual o Impacto do Regulamento para empresas target?

Este regulamento terá um impacto significativo em organizações de múltiplos setores, exigindo a implementação de políticas de cibersegurança, planos de resposta a incidentes e de recuperação de desastres, inventários de ativos, processos de gestão de vulnerabilidades, e a integração de requisitos de cibersegurança em toda a cadeia de abastecimento.

Âmbito de aplicação e registo

O regulamento é aplicável às entidades essenciais, entidades importantes e entidades públicas relevantes, tal como definidas no Regime Jurídico da Cibersegurança, e vem densificar as obrigações já previstas no diploma, estabelecendo regras operacionais e instrumentos concretos de conformidade. Um primeiro eixo central é a criação de uma plataforma eletrónica gerida pelo CNCS, que funciona como ponto único de registo, qualificação e comunicação entre as entidades abrangidas e as autoridades de cibersegurança.

As entidades devem proceder à autoidentificação através do preenchimento de um formulário eletrónico com elementos como nome, NIF, setor e subsetor de atividade, número de trabalhadores e volume de negócios, sendo criado um registo provisório que se converte em registo definitivo após notificação da qualificação pela autoridade de cibersegurança competente. A qualificação pode ser contestada nos termos do Código do Procedimento Administrativo e atualizada a qualquer momento quando se alterem as circunstâncias da entidade.

A mesma plataforma passa a concentrar a notificação de incidentes de cibersegurança, as comunicações de relatórios anuais, a indicação do responsável de cibersegurança e do ponto de contacto permanente, bem como as notificações eletrónicas de atos e decisões pelas autoridades de cibersegurança.

Níveis de conformidade e matriz de risco

O segundo eixo do regulamento reside na definição de medidas de cibersegurança mínimas, associadas a três níveis de conformidade, "Básico", "Substancial" e "Elevado", determinados por uma matriz de risco setorial. A Matriz de Risco, constante do Anexo II, pondera, para cada setor e subsetor, a probabilidade e o impacto de cenários de risco dominantes, tendo em conta a dimensão da entidade ("Grande", "Média" ou "Pequena") e a importância do setor (setores de importância crítica do Anexo I do RJC ou outros setores críticos do Anexo II).

Os níveis são cumulativos, pelo que as entidades sujeitas ao nível Elevado devem cumprir também as medidas previstas para os níveis Básico e Substancial. Estas medidas de cibersegurança mínimas encontram-se densificadas no Anexo III (para entidades essenciais e importantes) e no Anexo IV (para entidades públicas relevantes, organizadas em Grupo A e Grupo B), abrangendo domínios como políticas de cibersegurança, inventário de ativos, gestão de risco e vulnerabilidades, gestão de acessos e autenticação multifator, proteção de equipamentos e redes, cópias de segurança, resposta a incidentes e gestão da cadeia de abastecimento.

Importa salientar que o Quadro Nacional de Referência para a Cibersegurança ("QNRCS") (Anexo I) e a própria Matriz de Risco (Anexo II) não estão sujeitos a consulta pública, pelo que os contributos das entidades se limitarão ao articulado do regulamento e às medidas dos Anexos III e IV. O regulamento entrará em vigor no quinto dia após a sua publicação, produzindo efeitos na mesma data, sem prejuízo das disposições transitórias previstas no Decreto-Lei n.º 125/2025.

Obrigações estruturantes para grupos empresariais

Para grupos empresariais classificados como entidades essenciais ou importantes, o projeto de regulamento traduz-se em obrigações estruturantes ao nível da gestão de riscos, organização interna e investimento tecnológico.

Será necessário implementar e documentar políticas de cibersegurança, planos de resposta a incidentes e de recuperação de desastres, processos de avaliação contínua de vulnerabilidades, inventários de ativos, classificação de dados e mecanismos robustos de monitorização, deteção e notificação de incidentes, com prazos e conteúdos definidos.

A matriz de risco e os níveis de conformidade exigem uma revisão profunda dos controlos de segurança, processos de auditoria interna e relação com fornecedores, integrando cláusulas específicas de cibersegurança e mecanismos de diligência devida na cadeia de abastecimento.

A nossa equipa de Tecnologia e Telecomunicações está disponível para apoiar na análise do impacto do novo regime, na preparação de contributos para a consulta pública e no planeamento das medidas de conformidade necessárias. Não hesite em contactar-nos.