Novo Regime Jurídico reforça papel do CNCS como Autoridade Nacional de Cibersegurança

A entrada em vigor do Decreto-Lei n.º 125/2025, que aprova o novo Regime Jurídico da Cibersegurança (RJC), reforça as atribuições do Centro Nacional de Cibersegurança (CNCS) enquanto Autoridade Nacional de Cibersegurança em Portugal.

O CNCS passa a ser responsável pela promoção da melhoria contínua da cibersegurança nacional, assegurando a antecipação, deteção, reação e recuperação face a incidentes que possam comprometer o interesse nacional, bem como o funcionamento de entidades essenciais, importantes e públicas relevantes.

O CNCS foi designado como ponto de contacto único para a cooperação em matéria de cibersegurança no âmbito da União Europeia e internacional, trabalhando em articulação com congéneres europeias, a Comissão Europeia, a ENISA, o Grupo de Cooperação, a Rede Europeia de CSIRTs e a UE-CyCLONe.

A estrutura do CNCS integra o CERT.PT, equipa nacional de resposta a incidentes de cibersegurança, que passa a coordenar a divulgação coordenada de vulnerabilidades, funcionando como intermediário de confiança entre investigadores e entidades potencialmente vulneráveis. O CNCS reforça assim as suas capacidades na prevenção, monitorização, deteção e resposta a ciberataques e ameaças.

Na qualidade de autoridade nacional de certificação em cibersegurança, o CNCS assume competências previstas no Regulamento (UE) 2019/881 (Cybersecurity Act), promovendo a criação, avaliação e implementação de esquemas de certificação nacionais e europeus e assegurando o cumprimento dos requisitos legais por organismos e entidades.

O RJC destaca as competências do CNCS na supervisão, que incluem inspeções no local e remotas, auditorias regulares, ad hoc e orientadas por incidentes, verificações de segurança baseadas na avaliação objetiva de riscos, pedidos de informação e de acesso a dados e documentos, e a solicitação de provas da aplicação das políticas e procedimentos de cibersegurança.

Quanto às medidas de execução, o CNCS pode emitir advertências por infrações ao RJC, exigir correções de deficiências, determinar a cessação de condutas ilegais, exigir adoção de medidas de gestão de riscos, impor o reporte a potenciais afetados, aplicar recomendações resultantes de auditorias e impor coimas.

Com o novo Regime Jurídico da Cibersegurança, o CNCS consolida o seu papel central na proteção do ciberespaço nacional, no apoio às entidades públicas e privadas e na defesa dos interesses estratégicos do Estado português, promovendo uma cultura de cibersegurança e um ecossistema mais resiliente.