Portugal deu esta semana um passo decisivo na transposição da Diretiva Europeia NIS2 para o ordenamento jurídico nacional. O Regulamento n.º 756/2026, publicado em Diário da República a 22 de junho, estabelece finalmente as regras práticas de execução do novo Regime Jurídico da Cibersegurança — e o relógio já começou a contar para as entidades abrangidas.
Publicado pela Presidência do Conselho de Ministros — através do Gabinete Nacional de Segurança e do Centro Nacional de Cibersegurança (CNCS) —, o regulamento concretiza o Decreto-Lei n.º 125/2025, de 4 de dezembro, que transpôs para Portugal a Diretiva (UE) 2022/2555, mais conhecida como NIS2.
O que define o Regulamento n.º 756/2026
O regulamento opera em três eixos fundamentais. O primeiro diz respeito ao funcionamento da plataforma eletrónica MyCiber (disponível em myciber.gov.pt), através da qual as entidades abrangidas devem proceder ao registo e à autoidentificação. O segundo estabelece as regras de qualificação das entidades — definindo quais são consideradas «essenciais», «importantes» ou «entidades relevantes da Administração Pública» para efeitos do regime. O terceiro eixo regula as notificações obrigatórias de incidentes de cibersegurança e as notificações voluntárias de informações pertinentes, bem como as comunicações entre entidades e o CNCS.
Este é o primeiro regulamento que decorre do novo Regime Jurídico da Cibersegurança e vem densificar um conjunto de aspetos estruturantes para implementação por parte das organizações, mas também por parte das autoridades competentes.
— Lino Santos, coordenador do CNCS, em declarações à Lusa
60 dias úteis para registar, 24 meses para cumprir
Em declarações à Lusa no dia 24 de junho, o coordenador do CNCS, Lino Santos, esclareceu o calendário em vigor. As entidades abrangidas têm 60 dias úteis para se registarem e fazerem a autoidentificação na plataforma MyCiber. Findo este prazo, terão 24 meses para implementar o conjunto de medidas mínimas de segurança atribuído em função da sua qualificação.
«Nesta fase, as entidades estão obrigadas a autodeclararem-se perante esta plataforma, perante as autoridades competentes, de que cumprem um conjunto de requisitos para serem qualificadas ou como entidades essenciais ou como entidades importantes, ou como entidades relevantes da Administração Pública», explicou Lino Santos.
O universo de entidades abrangidas é substancialmente mais alargado do que no regime anterior. Esperam-se cerca de seis mil entidades, contra as aproximadamente 450 que estavam cobertas pelo quadro jurídico precedente — um aumento de mais de 13 vezes que reflete a ambição da NIS2 de alargar a malha de proteção cibernética a setores críticos e estratégicos.
Quem está abrangido
O Regime Jurídico da Cibersegurança aplica-se a um conjunto alargado de setores considerados críticos: energia, transportes, banca, infraestruturas de mercados financeiros, saúde, água potável, infraestruturas digitais, administração pública e espaço, entre outros. As organizações abrangidas devem verificar se se enquadram nas categorias definidas e proceder ao registo com urgência.
Medidas mais prescritivas e certificação voluntária
Uma das principais novidades do novo regime é a abordagem mais prescritiva em matéria de medidas de segurança. Ao contrário do quadro anterior, que se limitava a exigir que as entidades realizassem uma análise de risco e implementassem medidas que considerassem adequadas — o que Lino Santos descreveu como «um processo extremamente vago» —, o novo regime define conjuntos concretos de medidas mínimas, tendo em conta a dimensão da entidade e o nível de risco associado ao setor de atividade.
O Quadro Nacional de Referência para a Cibersegurança (QNRCS) é outro dos instrumentos centrais criados pelo regulamento, estabelecendo objetivos como gerir, identificar e proteger ativos. «Uma das novidades que este regime traz é a possibilidade de as entidades obterem um certificado de conformidade com o QNRCS ou com o selo de maturidade digital na componente de cibersegurança», sublinhou o coordenador do CNCS.
Apoio às entidades
O CNCS preparou um conjunto de instrumentos para apoiar as organizações neste processo. Além da plataforma MyCiber, estão previstas sessões de esclarecimento e workshops, o desenvolvimento de guias e templates sobre as medidas mínimas exigidas, e a disponibilização de uma ferramenta gratuita de análise de risco, ainda no âmbito do PRR. A academia de cibersegurança do CNCS está também a ser adaptada para responder às necessidades do novo regime.
A publicação do Regulamento n.º 756/2026 marca o início efetivo da aplicação da NIS2 em Portugal. Com prazos já em contagem decrescente, as entidades que ainda não iniciaram o processo de registo na plataforma MyCiber devem fazê-lo com carácter de urgência: a ignorância do regime não isenta de responsabilidade, e as consequências do incumprimento incluem coimas e obrigações de reporte de incidentes.
💬 Comentários
Nenhum comentário ainda. Sê o primeiro a comentar!