Regulamento da NIS2 publicado em Diário da República

O Centro Nacional de Cibersegurança publicou o Regulamento n.º 756/2026, que estabelece as regras de execução do Regime Jurídico da Cibersegurança, aprovado pelo Decreto-Lei n.º 125/2025 e responsável pela transposição da Diretiva NIS2 para o ordenamento jurídico nacional. O diploma, que entra em vigor esta terça-feira (23 de junho), detalha os requisitos operacionais aplicáveis às entidades essenciais, importantes e públicas relevantes.

O regulamento define o funcionamento da nova plataforma eletrónica do CNCS, que passa a concentrar processos como a autoidentificação e qualificação das entidades abrangidas, a comunicação de incidentes de cibersegurança, a submissão de relatórios anuais e a designação do responsável de cibersegurança e do ponto de contacto permanente.

As novas obrigações

Entre as principais novidades está a concretização do Quadro Nacional de Referência para a Cibersegurança (QNRCS), que passa a assumir o papel de referencial nacional para a adoção de normas, controlos e boas práticas de cibersegurança. A nova versão do QNRCS está alinhada com a NIS2 e com referenciais internacionais como o NIST Cybersecurity Framework 2.0, ISO/IEC 27001:2022, ISO/IEC 27002:2022 e CIS Critical Security Controls.

O diploma introduz igualmente uma matriz de risco que determinará os níveis de conformidade, dividos em básico, substancial e elevado, aplicáveis a cada entidade. A classificação terá em conta fatores como o setor de atividade, a dimensão da organização e a criticidade dos serviços prestados. A partir desta avaliação serão definidas as medidas mínimas de cibersegurança obrigatórias.

No âmbito da gestão de risco, as entidades essenciais e importantes passam a ter de realizar análises periódicas dos riscos e dos riscos residuais associados às suas redes e sistemas de informação, pelo menos uma vez por ano ou sempre que sejam identificadas novas ameaças ou vulnerabilidades relevantes pelo CNCS.

O regulamento clarifica ainda os procedimentos de notificação de incidentes significativos ao estabelecer a utilização obrigatória da plataforma eletrónica para a submissão de notificações iniciais, notificações de fim de impacto e relatórios finais ou intercalares. Estão ainda previstos mecanismos para notificações voluntárias de incidentes, vulnerabilidades ou ciberameaças por qualquer pessoa singular ou coletiva.

Outra das obrigações introduzidas pelo diploma passa pela manutenção e comunicação ao CNCS de uma lista de ativos acessíveis publicamente, através da Internet, incluindo endereços IP, nomes de domínio, sistemas operativos, versões de software e dependências entre sistemas. As entidades abrangidas serão responsáveis pela atualização regular desta informação.

O regulamento prevê ainda mecanismos de certificação voluntária. As entidades poderão beneficiar de uma presunção de conformidade através de certificações como ISO/IEC 27001 ou do Esquema de Certificação da conformidade com o Quadro Nacional de Referência para a Cibersegurança, desde que cumpram os requisitos definidos pela autoridade competente.

A publicação deste regulamento representa uma das principais peças regulamentares necessárias para a aplicação prática do novo Regime Jurídico da Cibersegurança, estabelecendo o enquadramento operacional que permitirá às organizações cumprir as obrigações decorrentes da NIS2 em Portugal.