Empresas e entidades públicas em Portugal passam a ter novas regras de cibersegurança, com a publicação do Regulamento n.º 756/2026, aprovado pelo Centro Nacional de Cibersegurança. O diploma define como serão aplicadas no país as obrigações ligadas à transposição da diretiva europeia NIS2.
O regulamento foi publicado esta segunda-feira, 22 de junho, em Diário da República, e vem detalhar procedimentos obrigatórios no âmbito do novo Regime Jurídico da Cibersegurança. Entre as áreas abrangidas estão o registo de entidades, a comunicação de incidentes, a identificação de responsáveis e a adoção de medidas mínimas de proteção.
Plataforma MyCiber centraliza comunicações
Uma das principais novidades é a definição das regras de funcionamento da plataforma eletrónica MyCiber, gerida pelo Centro Nacional de Cibersegurança. Este sistema passa a concentrar várias comunicações entre as organizações abrangidas e as autoridades competentes.
A plataforma será usada para o registo e identificação das entidades, processo de qualificação, comunicação do responsável de cibersegurança, indicação do ponto de contacto permanente, envio de relatórios anuais e notificação de incidentes.
O objetivo é criar um canal centralizado, mais rápido e rastreável, para simplificar a relação entre empresas, organismos públicos e autoridades de cibersegurança.
Organizações terão de avaliar enquadramento
O novo regulamento define também o processo de autoidentificação das entidades. As organizações terão de fornecer informações como número de identificação fiscal, setor de atividade, dimensão, contactos, localização e outros dados necessários.
Com base nessa informação, o Centro Nacional de Cibersegurança procederá à qualificação da entidade e comunicará o nível de conformidade aplicável, quando necessário.
Esta etapa será essencial para perceber quais empresas e organismos ficam abrangidos pelo regime e que obrigações concretas terão de cumprir.
Responsável de cibersegurança passa a ter papel central
As entidades abrangidas passam a ter regras mais claras para indicar quem assume funções de responsável de cibersegurança. Também terão de comunicar o ponto de contacto permanente com as autoridades.
Estas funções serão determinantes em situações de incidente, pedidos de informação, acompanhamento técnico ou fiscalização. A existência de contactos definidos pretende evitar atrasos na resposta a ataques ou falhas de segurança.
Na prática, as organizações terão de garantir que sabem quem responde, quem comunica e quem coordena internamente as matérias de cibersegurança.
Medidas mínimas de proteção
O regulamento aprova ainda o Quadro Nacional de Referência para a Cibersegurança, conhecido como QNRCS. Este quadro estabelece medidas mínimas que as entidades devem aplicar, de acordo com níveis de conformidade.
Esses níveis são básico, substancial e elevado. Cada organização poderá ter exigências diferentes, dependendo do enquadramento, dimensão, atividade e relevância dos serviços prestados.
O diploma também define regras de gestão de risco, incluindo avaliação de riscos residuais e critérios para verificar se as entidades cumprem as medidas exigidas.
Impacto para empresas e setor público
Para muitas organizações, o novo enquadramento poderá obrigar a rever processos internos, políticas de segurança, planos de resposta a incidentes e mecanismos de comunicação.
As entidades abrangidas deverão preparar documentação, identificar responsáveis, avaliar riscos e garantir que conseguem comunicar incidentes pelos canais definidos.
O objetivo do regulamento é reforçar a proteção de serviços críticos e aumentar a capacidade nacional de resposta perante incidentes digitais. Num contexto de ataques informáticos cada vez mais frequentes, a cibersegurança passa a ocupar um lugar ainda mais central na gestão de empresas e organismos públicos.
Regras ligadas à diretiva europeia NIS2
A publicação do Regulamento n.º 756/2026 insere-se no processo de aplicação em Portugal do enquadramento resultante da diretiva europeia NIS2. Esta diretiva pretende aumentar o nível comum de cibersegurança nos Estados-membros da União Europeia.
Com o novo regulamento, Portugal passa a ter um modelo mais detalhado para operacionalizar as obrigações previstas no Regime Jurídico da Cibersegurança.
As empresas e entidades públicas abrangidas devem, por isso, analisar o diploma e confirmar o seu enquadramento. A adaptação poderá exigir investimento técnico, formação interna e maior articulação entre equipas de gestão, informática, segurança e compliance.
