IT Security Summit: “As responsabilidades da NIS2 visam promover uma cultura de gestão de risco robusta e mais resiliente”

O Tivoli Kopke Porto Gaia recebeu esta terça-feira a segunda edição da IT Security Summit, evento de cibersegurança organizado pela IT Security para a zona norte do país. O evento afirma-se como um momento-chave para a atualização e debate dos principais temas do ecossistema de cibersegurança, risco e compliance.

A IT Security Summit 2026, esgotado há mais de um mês, contou com perto de 300 espetadores, 42 oradores, 22 sessões e 32 parceiros.

Lino Santos, Coordenador do Centro Nacional de Cibersegurança (CNCS), realizou o keynote de abertura. “A NIS2 foi transposta… e agora?” foi o tema da sessão que deu o mote para o evento.

O Coordenador do CNCS relembrou que o objetivo da diretiva é obter “um elevado nível comum de cibersegurança na União Europeia, com vista a melhorar o funcionamento do mercado interno” e que as palavras-chave do processo de transposição foram “mais resiliência” e “mais prevenção”.

A transposição da NIS2 tem três peças essenciais que todas as entidades devem conhecer. A Diretiva NIS2 define o que tem de ser cumprido, enquanto o Regime Jurídico da Cibersegurança (RJC), aprovado em anexo ao Decreto-Lei n.º125/2025 de 4 de dezembro, define como o mesmo se aplica em Portugal. Por fim, o Regulamento do Jurídico da Cibersegurança explica como tudo vai funcionar na prática.

O Regime Jurídico de Cibersegurança produz efeitos a partir do dia 3 de abril de 2026 e as entidades abrangidas pelo novo Regime são responsáveis por assegurar a segurança das suas redes e sistemas de informação. “Estas responsabilidades visam promover uma cultura de gestão de risco robusta e mais resiliente face às ciberameaças”, diz.

Lino Santos partilhou que um dos pilares do novo enquadramento jurídico é o procedimento de qualificação das entidades, “mas só quando a plataforma eletrónica for lançada”. Esta plataforma é essencial para “a autoidentificação, registo, comunicação e notificações, inclusive notificações de incidentes” e vai depender das regras que vierem a ser definidas no Regulamento do Regime Jurídico da Cibersegurança, cujo projeto está em consulta pública até 22 de abril de 2026.

Assim, 30 dias após a publicação do regulamento, as entidades que iniciem atividade depois da entrada em vigor do RJC têm de fazer a identificação na plataforma MyCiber. Para as entidades que tenham iniciado atividade antes da entrada em vigor do RJC e aquando da disponibilização da plataforma, esse prazo passa para 60 dias.

30 dias depois, há o prazo para notificação da qualificação pela autoridade de cibersegurança competente, que pode ser o CNCS, a ANACOM ou o Gabinete Nacional de Segurança, e 20 dias tem de ser feita a comunicação do responsável de cibersegurança e do ponto de contacto permanente na plataforma MyCiber, a contar da data de notificação prevista no n.º5 do artigo 8.º do RJC.

O Centro Nacional de Cibersegurança lançou, também, um simulador de apoio às entidades. Esta é uma ferramenta não vinculativa que permite às entidades testar a avaliação do âmbito de aplicação do Decreto-Lei n.º125/2025. O simulador não abrange, no entanto, os critérios de âmbito previstos em algumas alíneas do Decreto-lei e o resultado apresentado é meramente indicativo e não dispensa o registo das entidades que se inicia após a publicação do regulamento.

Por fim, a plataforma eletrónica MyCiber só vai estar integralmente disponível após a publicação do Regulamento que vai definir as suas regras de funcionamento. O objetivo é assegurar a gestão do ecossistema de cibersegurança nacional no que diz respeito ao cumprimento de obrigações e notificação de incidentes.