Regulamento de execução do Regime Jurídico da Cibersegurança

PUBLICAÇÕES SÉRVULO 24 Jun 2026

Foi publicado o Regulamento n.º 756/2026, de 22 de junho, do Centro Nacional de Cibersegurança (CNCS) que aprova o Regulamento de execução do Regime Jurídico da Cibersegurança. O Regime Jurídico da Cibersegurança foi aprovado em anexo ao Decreto-Lei n.º 125/2025, de 4 de dezembro (RJC), que transpôs a Diretiva (UE) 2022/2555 (NIS 2) e que se aplica às entidades essenciais, importantes e públicas relevantes, com o enquadramento e as delimitações previstas no próprio regime.

Este é o passo que faltava para a aplicação prática do regime. O RJC remetia para regulamento a operacionalização de várias das suas disposições, nessa senda o CNCS optou, "numa lógica de simplificação regulamentar", por concentrá-las num único documento normativo.

Do regime à execução: O que o Regulamento aprova

• Regras de funcionamento da plataforma eletrónica, incluindo a autoidentificação e qualificação das entidades;
• Quadro Nacional de Referência de Cibersegurança;
• Matriz de Risco (define os níveis de conformidade);
• Níveis de conformidade e medidas de cibersegurança mínimas das entidades essenciais e importantes, com os respetivos critérios de verificação;
• Medidas de cibersegurança das entidades públicas relevantes;
• Gestão dos riscos residuais;
• Comunicação do relatório anual, do responsável de cibersegurança e do ponto de contacto permanente;
• Notificações obrigatórias de incidentes e notificações voluntárias de informações pertinentes;
• Notificações eletrónicas das autoridades às entidades registadas

O ponto que importa fixar: os prazos

O Regulamento entra em vigor no dia seguinte ao da publicação e produz efeitos de imediato, contudo com algumas ressalvas expressamente previstas.

Nomeadamente, as obrigações as medidas de cibersegurança, a cadeia de abastecimento, a gestão do risco residual, o relatório anual e as medidas das entidades públicas relevantes, bem como as contraordenações muito graves associadas só produzem efeitos 24 meses após a publicação do Regulamento.

Ou seja, a publicação do Regulamento n.º 756/2026, em 22 de junho de 2026, é o facto que inicia a contagem do período transitório de 24 meses para este núcleo de obrigações. Em contrapartida, o que está operacional desde já é a engrenagem de entrada no sistema, nomeadamente, o registo e qualificação na plataforma, designação do responsável de cibersegurança e do ponto de contacto permanente, e os canais de notificação de incidentes.

O que fazer

Não esperar pelo fim do período transitório. Recomenda-se: (i) aferir o enquadramento (essencial, importante ou pública relevante) e proceder à autoidentificação na plataforma; (ii) designar e comunicar o responsável de cibersegurança e o ponto de contacto permanente; (iii) preparar os processos para eventuais notificações de incidentes; e (iv) iniciar uma avaliação interna face às medidas mínimas e níveis de conformidade.

• O Regulamento está disponível aqui: Regulamento do Regime Jurídico da Cibersegurança

• A plataforma MyCiber vai estar disponível aqui: https://myciber.gov.pt/