Meticulosos com o que é. Inconformistas com o que pode vir a ser.
Conheça a equipaSubscreva a newsletter PLMJ para receber informação, alertas e novidades sobre as suas áreas e setores de interesse.
Procuramos pessoas que vão mais longe, que enfrentam o futuro com confiança.
Meticulosos com o que é. Inconformistas com o que pode vir a ser.
Conheça a equipaSubscreva a newsletter PLMJ para receber informação, alertas e novidades sobre as suas áreas e setores de interesse.
Procuramos pessoas que vão mais longe, que enfrentam o futuro com confiança.
Consulta pública do novo projeto de regulamento
A cibersegurança desempenha um papel essencial no funcionamento do Estado e agentes económicos, na manutenção da segurança nacional e internacional e na confiança dos cidadãos.
Neste contexto, e dada a relevância da matéria, foi submetido a consulta pública pelo Centro Nacional de Cibersegurança (CNCS), no dia 10 de março de 2026, o projeto de regulamento relativo à implemen tação do Regime Jurídico da Cibersegurança (RJC), através do Aviso n.º 5146/2026/2.
Este regulamento visa concretizar e operacionalizar várias disposições constantes do RJC, aprovado pelo Decreto Lei n.º 125/2025, de 4 de dezembro, que transpõe a Diretiva (UE) 2022/2555 (Diretiva NIS2), destinada a garantir um elevado nível comum de cibersegurança em toda a União Europeia.
Este novo regulamento será determinante para todas as entidades abrangidas pelo RJC, na medida em que densifica matérias estruturantes e estabelece os termos de aplicação de disposições que, até agora, se encontravam tratadas apenas de forma genérica. De entre os assuntos contemplados pela atual proposta, destacamos os seguintes:
Plataforma eletrónica:
É clarificado o funcionamento da plataforma eletrónica que servirá como principal canal para os procedimentos de autoidentificação e registo de entidades e para a comunicação entre as entidades e as autoridades nacionais setoriais de cibersegurança, nomeadamente em relação ao relatório anual e à indicação do responsável de cibersegurança e do ponto de contacto permanente, bem como para as notificações eletrónicas por parte das autoridades competentes relativas à qualificação das entidades ou a atos, decisões ou solicitações que estas pratiquem no âmbito das suas competências.
Notificação de incidentes:
São definidas as notificações e relatórios que as entidades abrangidas sujeitas à notificação obri gatória de incidentes de cibersegurança devem submeter às autoridades competentes, tal como as condições para a submissão de notificações voluntárias relativas à ocorrência de incidentes, ciberameaças, quase incidentes ou vulnerabilidades por qualquer pessoa singular ou coletiva.
Quadro Nacional de Referência para a Cibersegurança (QNRCS):
É atualizado o QNRCS, que será o instrumento nacional de referência para a identificação das nor mas, padrões e boas práticas existentes em matéria de gestão da cibersegurança e servirá de base prática para a implementação do RJC. Este QNRCS reforçado deverá ser aplicado pelas entidades abrangidas respeitando os níveis de conformidade e em articulação com as medidas de cibersegurança mínimas que por elas devem ser adotadas.
Matriz de risco:
É proposta a matriz de risco, que corresponde ao quadro referencial dos valores de risco por setor e subsetor de atividade, a partir do qual é atribuído um de três níveis de conformidade (básico, substancial e elevado) e são determinadas as medidas de cibersegurança mínimas e específicas que cada entidade essencial ou importante deverá adotar.
Medidas de cibersegurança mínimas:
Nos Anexos III e IV são especificadas e aprovadas as medidas de segurança mínimas que as entida des abrangidas devem implementar para garantir níveis adequados de segurança. Para esse fim, são estabelecidos critérios e controlos de cibersegurança, bem como as medidas de verificação que deverão ser usadas em auditorias e certificações
Gestão de risco residual:
É proposta a metodologia que as entidades essenciais e importantes devem aplicar para analisar e gerir os riscos residuais relativos aos ativos que garantam a continuidade do funcionamento das redes e dos sistemas de informação que utilizam, em particular, em relação aos elementos que a análise deve ter em consideração, à sua periodicidade e à manutenção de uma lista de ativos essenciais que estejam publicamente acessíveis.
Importa referir que o projeto de regulamento procura garantir a proporcionalidade destas medidas, atendendo à dimensão e complexidade organizacional das entidades abrangidas, bem como promover a convergência e a interoperabilidade administrativa, reduzir custos de contexto e reforçar a cooperação com o setor privado.
O projeto de regulamento do Regime Jurídico da Cibersegurança é essencial para a concreti zação do quadro legislativo nacional em matéria de cibersegurança, permitindo compreender como serão aplicadas na prática as obrigações previstas no RJC.
Considerando o impacto que este regulamento terá nos modelos de governação, compliance e segurança das entidades abrangidas, a submissão de contributos nesta consulta pública constitui uma oportunidade relevante para assegurar que o regulamento final seja equilibrado, exequível e devidamente ajustado às respetivas realidades operacionais.
A consulta pública decorre na plataforma ConsultaLEX e estará aberta até ao dia 22 de abril de 2026. Os contributos devem ser apresentados por escrito e em língua portuguesa, preferencialmente por correio eletrónico para o endereço: cncs@cncs.gov.pt.
Note-se que o QNRCS, constante do Anexo I, e a matriz de risco, constante do Anexo II, elaborados pelo CNCS, não estão sujeitos a consulta pública.
Encerrada a consulta, o CNCS disponibilizará um relatório contendo referência a todos os contributos recebidos, bem como uma apreciação global que reflita o seu entendimento sobre os mesmos e os fundamentos das opções regulamentares tomadas.