twitter

Regulamento n.º 756/2026: o arranque efetivo do novo Regime de Cibersegurança

Foi publicado, a 22 de junho de 2026, no Diário da República, o Regulamento n.º 756/2026, do Centro Nacional de Cibersegurança (CNCS), que concretiza a aplicação prática do Regime Jurídico da Cibersegurança (RJC), aprovado pelo Decreto-Lei n.º 125/2025, de 4 de dezembro, o qual transpôs para a ordem jurídica nacional a Diretiva (UE) 2022/2555, conhecida como NIS2. Este diploma era a peça que faltava para que as entidades essenciais, importantes e públicas relevantes soubessem, em concreto, o que têm de fazer, como e em que prazos, e passou a definir, entre outros aspetos, o funcionamento da plataforma eletrónica do CNCS, os procedimentos de autoidentificação e qualificação, as regras de notificação de incidentes e o Quadro Nacional de Referência para a Cibersegurança (QNRCS).

Uma das novidades centrais do Regulamento é a operacionalização da plataforma eletrónica do CNCS — a MyCiber (Art.º 8.º do RJC) —, que passa a ser o canal privilegiado de interação entre as entidades abrangidas e a autoridade de cibersegurança. A plataforma disponibiliza uma funcionalidade de simulação, que permite às organizações testarem previamente o seu enquadramento no regime. Importa, porém, sublinhar um ponto que gera frequentemente dúvidas: o resultado dessa simulação não substitui, nem dispensa, o registo formal. A simulação é apenas um instrumento de apoio à decisão interna; a obrigação legal de proceder à autoidentificação na MyCiber mantém-se ainda que a simulação aponte para a não sujeição ao regime, cabendo à entidade formalizar essa avaliação através do procedimento oficial, sob pena de incumprimento.

O processo inicia-se com o preenchimento de um formulário eletrónico de autoidentificação, do qual resulta um registo provisório. Segue-se a análise pelo CNCS e o desencadear do procedimento de qualificação, no âmbito do qual as entidades visadas dispõem de um direito de audiência prévia, com um prazo de 10 dias úteis para se pronunciarem sobre o projeto de decisão (Art.º 9.º, n.º 2 do Regulamento n.º 756/2026, de 22 de junho). Decorrido esse prazo, o CNCS profere a decisão final de qualificação, convertendo-se então o registo provisório em registo definitivo (Art.º 9.º, n.º 4 do Regulamento n.º 756/2026, de 22 de junho). É a partir desse momento que a entidade fica formalmente sujeita ao conjunto de obrigações permanentes previstas no RJC e no Regulamento.

A decisão de qualificação não se limita a confirmar se a entidade está ou não abrangida: o CNCS atribui também um nível de conformidade — básico, substancial ou elevado — determinado a partir de uma matriz de risco (Art.º 26.º, n.º 5, do RJC, e Anexo II ao Regulamento) que pondera o setor de atividade e a dimensão da entidade. É esse nível que fixa, em concreto, as medidas mínimas de cibersegurança que a organização terá de implementar, alinhadas com o QNRCS, cuja estrutura segue o NIST Cybersecurity Framework 2.0.

Uma vez concluído o registo definitivo, a entidade passa a ter de: designar formalmente um Responsável de Cibersegurança e um Ponto de Contacto Permanente e comunicá-los ao CNCS; implementar as medidas de cibersegurança correspondentes ao nível de conformidade atribuído; assegurar a gestão periódica de riscos, incluindo os riscos residuais; preparar os mecanismos internos de notificação de incidentes significativos através da plataforma; e elaborar o relatório anual exigido pelo regime. A responsabilidade por este cumprimento recai diretamente sobre os órgãos de gestão, direção e administração, nos termos do Art.º 25.º do Decreto-Lei n.º 125/2025, o que reforça a natureza estratégica — e não apenas técnica — desta matéria.

Importa ainda notar que, embora as obrigações mais exigentes (medidas de cibersegurança, cadeia de abastecimento, gestão de risco residual, relatório anual e as contraordenações muito graves associadas) só produzam efeitos plenos 24 meses após a publicação do Regulamento, a "porta de entrada" no sistema — registo, qualificação, designação de responsáveis e canais de notificação de incidentes — está já operacional, exigindo que o processo de implementação a adaptação ao novo regime decorra desde já. Adiar o registo com base no resultado de uma simulação, ou aguardar pelo fim do período transitório, representa um risco desnecessário de incumprimento e de exposição a supervisão do CNCS.


 

Em suma, precisamente por integrar o núcleo de obrigações sujeitas ao período transitório, a segurança da cadeia de abastecimento será objeto de um próximo artigo, dedicado aos deveres de avaliação e gestão do risco que as entidades essenciais e importantes terão de assegurar junto dos seus fornecedores e prestadores de serviços. Este artigo analisará ainda o efeito de amplificação que importa antecipar, nomeadamente a obrigação de escrutinar as práticas de cibersegurança de fornecedores e prestadores de serviços, projetando, na prática, essas exigências sobre os próprios prestadores que, não estando diretamente abrangidos pelo regime, passarão a ser avaliados, selecionados e contratualmente vinculados com base em critérios de cibersegurança provenientes do RJC. Enquanto consultora e prestadora de serviços tecnológicos, esta é uma preocupação que a F3M acompanha de perto junto dos seus clientes.


 

Pedro Vital

Pedro Vital

5 julho 2026