CNCS: “Temos uma diretiva e este deve ser o nosso farol” (com vídeo)

A pergunta que deu título à apresentação de Lino Santos, Coordenador do Centro Nacional de Cibersegurança (CNCS), no arranque da segunda edição da IT Security Summit Porto foi, acima de tudo, a forma escolhida para enquadrar o momento em que entra agora a cibersegurança regulatória em Portugal. Depois de quase dois anos de trabalho legislativo, a diretiva NIS2 está transposta.

“Houve um grande esforço na transposição, demorámos muito tempo a fazer a transposição da NIS2, tivemos quase dois anos para fazê-lo, e ela saiu. E agora? O que é que vamos fazer? O que é que vem a seguir?”, perguntou à audiência, numa intervenção centrada para o que chamou de roadmap de transposição para 2026.

Para o responsável, a diretiva deve funcionar como um “farol” que orienta os próximos passos, com o objetivo de “garantir que as empresas nacionais e a administração pública nacional tenham um elevado nível de cibersegurança” e alcancem “um patamar adequado”, num contexto de “um quadro de ameaças cada vez mais complexo e exigente”.

O que está feito e o que ainda falta

Lino Santos resumiu o ponto de situação: a diretiva, a transposição nacional, já concretizada com o regime jurídico da cibersegurança publicado em dezembro de 2025, e o regulamento, ainda em consulta pública, que irá operacionalizar o modelo.

Foi neste contexto que destacou uma das mudanças mais relevantes na aplicação da NIS2 em Portugal, relacionada com o perímetro da administração pública. Mantendo o nível de exigência face ao setor privado, o novo regime corrige um problema anterior, já que “aplicava-se a todas as instituições da administração pública, independente do seu tamanho, e isso não faz sentido”.

A solução passou por introduzir um critério de dimensão, permitindo “incluir as entidades da administração pública que tenham mais de 75 funcionários”, o que reduz o âmbito e concentra o regime “naquilo que é essencial dentro da nossa administração pública”.

Base comum com ajustes setoriais

Portugal optou por um modelo regulatório híbrido e, segundo Lino Santos, foi pensado como um quadro “horizontal ou transversal a todos os setores de atividade económica”, mas permitindo “que existam regulamentos ou especificidades setoriais que venham a surgir com o tempo”. No caso das telecomunicações, o regulamento geral aplica-se, mas poderá ser complementado por regras específicas definidas pela ANACOM.

A ideia passa por “responder às especificidades, ao quadro de ameaças específico daquele setor, às tecnologias específicas daquele setor de forma vertical”, resumiu.

Regulamento entra agora no centro da discussão

Se o regime jurídico definiu a base, o regulamento será decisivo para a sua aplicação. Lino Santos sublinhou que a consulta pública representa “uma oportunidade para construir um instrumento que seja útil para vocês, para nós e para o país”.

Uma das principais novidades é a criação de níveis de garantia, que passam a enquadrar as entidades em três patamares de exigência, desde “o nível básico, o nível substancial e o nível elevado”, definidos em função do risco e da dimensão.

Com este modelo, acrescentou, deixa de haver ambiguidade, uma vez que “todas as entidades sabem exatamente qual é que é o conjunto de medidas que têm que implementar, o conjunto mínimo de medidas”, afirmou.

Ainda assim, o responsável ressalva que a lógica não dispensa a análise de risco. A novidade está na existência, pela primeira vez, de uma base mínima de requisitos clara e operacional, que serve de ponto de partida para essa avaliação.

Plataforma única será o ponto de contacto

Outra peça central do regulamento é a plataforma que vai concentrar a relação entre entidades abrangidas e autoridades competentes. Todas as comunicações passam por esse canal comum, independentemente de a entidade responsável ser o CNCS, a ANACOM ou o Gabinete Nacional de Segurança.

“A ideia não é dispersar plataformas e funcionalidades. Vamos ter uma plataforma centralizada para todas as entidades competentes e todas as entidades competentes interagem com as entidades reguladas a partir desta plataforma”, afirmou.

Numa fase inicial, a plataforma permite a autoidentificação, qualificação e registo, bem como a notificação de incidentes e a comunicação do responsável de cibersegurança e do ponto de contacto único. Ao longo de 2026, o sistema será evoluído com “mais duas ou três releases”, que vão acrescentar funcionalidades como a entrega de relatórios ou a comunicação de ativos.

Do ponto de vista das organizações, o impacto é imediato, com o registo a dar origem a um plano claro do que terá de ser feito nos próximos 24 meses, “quase como uma prescrição, uma receita”.

Os 60 dias que vão marcar 2026

É também a partir da publicação do regulamento que o calendário começa realmente a contar. Segundo Lino Santos, o prazo da consulta pública terminava a 20 de abril e a expectativa do CNCS era enviar o regulamento para publicação duas a três semanas depois, apontando para meados de maio como referência.

Esse momento, avisou, “marca o início de um dos principais pontos de calendário das próximas fases”. A partir daí, as entidades têm 60 dias para proceder à autoidentificação, qualificação e registo, período que é visto pelo coordenador do CNCS, como “a fase mais importante nos próximos tempos”.

Após a qualificação, as entidades dispõem de 20 dias para comunicar o responsável de cibersegurança e o ponto de contacto único. Lino Santos esclareceu que este prazo começa a contar “após a notificação de qualificação” e não a partir da entrada em vigor da lei.

Simulador já mobiliza milhares de entidades

Antes mesmo desta fase formal arrancar, o CNCS já colocou no terreno uma ferramenta com peso prático. O simulador lançado quando o regime jurídico entrou em vigor permite às organizações perceber, numa primeira aproximação, se estão ou não abrangidas pela NIS2.

A procura mostra que o mercado já está a preparar-se, sendo que “mais de seis mil entidades fizeram ou concluíram a simulação”, indicou, vendo aí um sinal claro do interesse da comunidade em perceber se está “dentro ou fora do âmbito”.