top-banner
Contactos Área Reservada
  • Home
  • Notícias
  • CNCS publica regulamento que define aplicação prática do novo regime de cibersegurança
CNCS publica regulamento que define aplicação prática do novo regime de cibersegurança

Publicado em

23 junho 2026

Categoria

Notícias Sector

Partilha

 

O Centro Nacional de Cibersegurança (CNCS) publicou o Regulamento n.º 756/2026, que estabelece as regras de execução do Regime Jurídico da Cibersegurança, aprovado pelo Decreto-Lei n.º 125/2025, que transpôs para o ordenamento jurídico nacional a Diretiva (UE) 2022/2555 (NIS2). Este diploma vem densificar e operacionalizar as obrigações impostas às entidades essenciais, importantes e públicas relevantes, criando o enquadramento necessário para a aplicação prática do novo regime.

Entre os principais destaques, sobressai a criação de uma plataforma eletrónica única, gerida pelo CNCS, que passa a concentrar os processos associados à cibersegurança. Através desta plataforma, as entidades abrangidas deverão assegurar a sua identificação e qualificação, comunicar incidentes, submeter relatórios anuais e designar o responsável de cibersegurança e o ponto de contacto permanente. Este mecanismo visa simplificar a interação com a autoridade nacional e reforçar a capacidade de monitorização e resposta a incidentes.

O regulamento concretiza igualmente o Quadro Nacional de Referência para a Cibersegurança (QNRCS), que assume um papel estruturante enquanto referencial nacional para a adoção de medidas técnicas e organizativas. Alinhado com a Diretiva NIS2 e com normas internacionais relevantes, o QNRCS orienta a implementação de controlos de segurança e boas práticas, promovendo uma abordagem sistemática e baseada no risco.

Nesse sentido, é introduzida uma matriz de risco, que determina o nível de exigência aplicável a cada entidade, classificado em níveis básico, substancial ou elevado. Esta avaliação tem em conta fatores como o setor de atividade, a dimensão da organização e a criticidade dos serviços prestados. Em função dessa classificação, são estabelecidas as medidas mínimas de cibersegurança a adotar, assegurando proporcionalidade na aplicação das obrigações.

No domínio da gestão de risco, o regulamento reforça a necessidade de uma abordagem contínua e estruturada. As entidades essenciais e importantes passam a estar obrigadas a realizar avaliações periódicas dos riscos e dos riscos residuais associados às suas redes e sistemas de informação, devendo atualizá-las regularmente ou sempre que sejam identificadas novas ameaças ou vulnerabilidades relevantes.

Em matéria de notificação de incidentes, o diploma clarifica os procedimentos e formaliza a utilização obrigatória da plataforma eletrónica para a submissão das diferentes tipologias de reporte, incluindo notificações iniciais, comunicações de fim de impacto e relatórios finais ou intercalares. Paralelamente, é previsto um mecanismo de notificação voluntária, permitindo a qualquer entidade ou cidadão comunicar incidentes, vulnerabilidades ou ciberameaças, reforçando a partilha de informação a nível nacional.

Outro aspeto relevante prende-se com a obrigação de manutenção de um inventário atualizado de ativos expostos à Internet. As entidades abrangidas devem identificar e comunicar ao CNCS informação relevante sobre esses ativos, garantindo a atualização contínua dessa informação. Esta medida reforça a visibilidade sobre superfícies de ataque e contribui para uma gestão mais eficaz do risco.

O regulamento prevê ainda mecanismos de certificação voluntária, permitindo às organizações demonstrar o cumprimento dos requisitos legais, incluindo o recurso a referenciais reconhecidos, como a certificação ISO/IEC 27001 ou esquemas específicos alinhados com o QNRCS. Estas certificações podem funcionar como instrumentos de evidência de conformidade, facilitando os processos de supervisão.

Com a publicação deste regulamento, fica consolidado o quadro operacional necessário à implementação do novo Regime Jurídico da Cibersegurança em Portugal. Ao traduzir em requisitos concretos as obrigações previstas no Decreto-Lei n.º 125/2025, o diploma contribui para reforçar a resiliência das organizações face a ciberameaças e promover uma cultura de gestão de risco e melhoria contínua, em linha com as exigências europeias decorrentes da Diretiva NIS2.

Definições de Cookies

A APSEI pode utilizar cookies para memorizar os seus dados de início de sessão, recolher estatísticas para otimizar a funcionalidade do site e para realizar ações de marketing com base nos seus interesses.

Estes cookies são essenciais para fornecer serviços disponíveis no nosso site e permitir que possa usar determinados recursos no nosso site.

Estes cookies são usados ​​para fornecer uma experiência mais personalizada no nosso site e para lembrar as escolhas que faz ao usar o nosso site.

Estes cookies são usados ​​para coletar informações para analisar o tráfego no nosso site e entender como é que os visitantes estão a usar o nosso site.

Cookies estritamente necessários Estes cookies são essenciais para fornecer serviços disponíveis no nosso site e permitir que possa usar determinados recursos no nosso site.Sem estes cookies, não podemos fornecer certos serviços no nosso sit

Cookies de funcionalidade Estes cookies são usados ​​para fornecer uma experiência mais personalizada no nosso site e para lembrar as escolhas que faz ao usar o nosso site.Por exemplo, podemos usar cookies de funcionalidade para se lembrar das suas preferências de idioma e/ou os seus detalhes de login.

Cookies de medição e desempenho Estes cookies são usados ​​para coletar informações para analisar o tráfego no nosso site e entender como é que os visitantes estão a usar o nosso site.Por exemplo, estes cookies podem medir fatores como o tempo despendido no site ou as páginas visitadas, isto vai permitir entender como podemos melhorar o nosso site para os utilizadores.As informações coletadas por meio destes cookies de medição e desempenho não identificam nenhum visitante individual.

Política de Privacidade