Foi publicado hoje, dia 22 de junho de 2026, o Regulamento n.º 756/2026, que aprova o Regulamento de Execução do Regime Jurídico da Cibersegurança, aprovado pelo Decreto-Lei n.º 125/2025, de 4 de dezembro, o qual transpôs a Diretiva (UE) 2022/2555 (NIS 2).
O diploma regulamenta a aplicação prática do novo Regime Jurídico da Cibersegurança, definindo as regras de funcionamento da plataforma eletrónica, os procedimentos de registo e qualificação de entidades, as obrigações de notificação de incidentes, o Quadro Nacional de Referência para a Cibersegurança (“QNRCS”) e as medidas de cibersegurança mínimas a adotar pelas entidades abrangidas.
O Regulamento aplica-se às entidades essenciais, importantes e públicas relevantes, nos termos e com os limites do Regime Jurídico da Cibersegurança.
De entre as principais medidas, destacamos as seguintes:
- Plataforma eletrónica centralizada: desenvolvida e gerida pelo Centro Nacional de Cibersegurança (“CNCS”), disponibilizada em língua portuguesa e inglesa, visa simplificar e agilizar os procedimentos de registo das entidades e de comunicação com a autoridade de cibersegurança competente. As entidades acedem à plataforma mediante autenticação segura (Cartão de Cidadão, Chave Móvel Digital ou equivalente), sendo criada uma conta única por entidade com respetiva área reservada.
- Obrigações decorrentes da plataforma: todas as comunicações previstas no Regime Jurídico da Cibersegurança dirigidas à autoridade competente devem ser efetuadas através da plataforma eletrónica, incluindo:
- autoidentificação e qualificação das entidades;
- comunicação do responsável de cibersegurança e do ponto de contacto permanente;
- submissão do relatório anual;
- notificação obrigatória de incidentes de cibersegurança e notificações voluntárias;
- comunicação da lista de ativos publicamente acessíveis.
- Autoidentificação e qualificação: as entidades devem preencher formulário eletrónico de autoidentificação na plataforma, sendo criado um registo provisório, seguido de decisão de qualificação pela autoridade competente e posterior consolidação em registo definitivo.
- Níveis de conformidade e medidas mínimas de cibersegurança: são definidos três níveis de conformidade (i.e. básico, substancial e elevado) determinados com base na matriz de risco, que consideram o setor de atividade e a dimensão da entidade. As entidades devem cumprir as medidas mínimas de cibersegurança correspondentes ao nível que lhes seja aplicável.
- Gestão de riscos: as entidades essenciais e importantes devem realizar análise e gestão periódicas dos riscos, incluindo riscos residuais.
- Notificação de incidentes: em caso de incidente com impacto significativo, as entidades devem submeter à autoridade competente uma notificação inicial, uma notificação de fim do impacto significativo e um relatório final ou intercalar, através da plataforma eletrónica.
- Notificações eletrónicas: a autoridade competente notifica as entidades eletronicamente através da plataforma, considerando-se as notificações feitas na data da consulta da área reservada ou, na sua ausência, no termo do terceiro dia após receção.
O diploma constitui, assim, um instrumento fundamental para a operacionalização do Regime Jurídico da Cibersegurança em Portugal, estabelecendo as regras concretas que as entidades abrangidas devem observar para assegurar um elevado nível de cibersegurança das suas redes e sistemas de informação.
O Regulamento entra em vigor no dia seguinte ao da sua publicação, a 23 de junho de 2026.
Para mais informações, poderá consultar o Regulamento completo aqui.
