O Centro Nacional de Cibersegurança publicou o Regulamento n.º 756/2026, que detalha como vai funcionar o novo Regime Jurídico da Cibersegurança em Portugal. O diploma entrou em vigor no dia seguinte à publicação e operacionaliza a transposição da diretiva europeia NIS2, que já tinha obrigado as empresas a comunicar ataques informáticos no prazo de 24 horas.
Quem é abrangido por esta lei
A nova legislação alarga significativamente o universo de organizações sujeitas a obrigações de cibersegurança. Já não se trata apenas de hospitais, bancos ou empresas de água e eletricidade. Passam a estar incluídas empresas médias e grandes de setores como transportes, gestão de resíduos e fornecedores de serviços de internet, entre muitos outros.
O regulamento classifica as entidades em três categorias:
- Essenciais
- Importantes
- Públicas relevantes
Cada uma fica sujeita a um nível de conformidade diferente, definido por uma matriz de risco que considera o setor de atividade e a dimensão da entidade.
Os três níveis possíveis são básico, substancial e elevado, e cada um determina um conjunto específico de medidas mínimas de segurança que a entidade deve implementar.
Como funciona o registo na plataforma MyCiber
O canal central de todo este processo é a plataforma eletrónica MyCiber, gerida pelo CNCS. As entidades abrangidas devem preencher um formulário de auto identificação com dados como número de identificação fiscal, setor de atividade, número de trabalhadores, volume de negócios e contactos.
Depois desta fase, a entidade fica com um registo provisório enquanto aguarda decisão de qualificação por parte da autoridade competente. Quando essa decisão é tomada, o registo passa a definitivo e a entidade fica formalmente sujeita às obrigações do nível de conformidade que lhe for atribuído.
Depois de qualificadas, as entidades têm de comunicar através da plataforma quem é o Responsável de Cibersegurança e quem assume o papel de Ponto de Contacto Permanente. Estas duas figuras passam a ser determinantes em situações de incidente, pedidos de informação ou fiscalização.
As medidas mínimas que as empresas têm de cumprir
Dependendo do nível de conformidade atribuído, as obrigações podem incluir avaliações periódicas de risco, gestão de vulnerabilidades, autenticação multifator, segmentação de redes, monitorização de eventos de segurança, planos de resposta a incidentes e mecanismos de recuperação e continuidade de negócio.
As contraordenações leves variam entre 875 e 45 mil euros para pessoas coletivas, mas as infrações mais graves podem atingir percentagens do volume de negócios anual a nível mundial da empresa.
Porque é que isto também te afeta
Mesmo que não geras uma empresa, esta lei tem impacto direto na tua vida. Quando bancos, serviços de saúde e operadoras são obrigados a implementar medidas de segurança mais rigorosas, os teus dados pessoais e o teu dinheiro ficam mais protegidos contra roubos e fugas de informação.
Esta exigência ganha ainda mais relevância depois de incidentes recentes como o alegado ataque informático aos CTT, que pode ter exposto dados de milhares de clientes.
A obrigação de notificar incidentes em 24 horas significa também que, se uma empresa que usas for atacada, vais saber muito mais rápido do que sabias até agora. Isso dá-te tempo para reagir antes que os teus dados sejam usados contra ti, por exemplo em esquemas de phishing mais elaborados.
Se geres uma pequena empresa e tens dúvidas sobre se estás abrangido por este regime, o CNCS disponibiliza um simulador na própria plataforma MyCiber que ajuda a esclarecer essa questão antes de qualquer obrigação de registo. Enquanto isso, para reforçares a tua segurança pessoal nesta área, vale a pena rever os sinais que podem indicar que uma das tuas contas já foi comprometida e agir antes que seja tarde.
