Informamos que foi publicado, em 22 de junho de 2026, o Regulamento n.º 756/2026 (Diário da República, 2.ª série, n.º 118), aprovado pelo Centro Nacional de Cibersegurança (CNCS) que estabelece as regras de execução do novo Regime Jurídico da Cibersegurança, aprovado pelo Decreto-Lei n.º 125/2025, de 4 de dezembro, que transpôs para o ordenamento nacional a Diretiva (UE) 2022/2555 (NIS2).
O regulamento aplica-se às entidades essenciais, importantes e públicas relevantes, nos termos e limites previstos no Regime Jurídico da Cibersegurança. Surge na sequência da consulta pública anteriormente realizada — no decurso da qual foram recebidas 57 pronúncias — e define, em concreto, como passa a aplicar-se em Portugal o enquadramento decorrente da diretiva europeia.
Por que motivo esta publicação exige atenção imediata
Destacamos dois aspetos que pode ter impacte direto na vossa organização:
1. Entrada em vigor e aplicação faseada — mas com obrigações já exigíveis
O regulamento produz efeitos na data da sua entrada em vigor. Embora a sua aplicação seja faseada — as disposições que dependam de instruções técnicas do CNCS só produzirão efeitos com a publicação desses normativos — as entidades devem desde já remeter à autoridade competente a informação determinável com base nos critérios já vigentes. Sempre que o CNCS exija certificação, a respetiva decisão fixará um prazo de adaptação não superior a 24 meses. Recomenda-se, por isso, iniciar de imediato a análise do enquadramento aplicável.
2. Plataforma eletrónica MyCiber
Passa a constituir o ponto central de interação entre as entidades e as autoridades competentes. Cada entidade dispõe de conta e área reservada próprias, sendo através desta plataforma que se concretizam o registo e a autoidentificação, a qualificação e comunicação do nível de conformidade aplicável, a designação do responsável de cibersegurança e do ponto de contacto permanente, e ainda a notificação obrigatória de incidentes.
Outros elementos relevantes
O regulamento concretiza igualmente: o Quadro Nacional de Referência para a Cibersegurança (QNRCS), com medidas mínimas associadas a três níveis de conformidade — básico, substancial e elevado — determinados em função da matriz de risco do setor e da dimensão da entidade; os procedimentos de notificação obrigatória de incidentes e de notificações voluntárias; as obrigações de reporte, designadamente o Relatório Anual, e os mecanismos de gestão de risco, avaliação de riscos residuais e critérios de auditoria; e os requisitos de manutenção de uma lista de ativos publicamente acessíveis (IP, software e versões), classificada como informação de grau reservado.
Próximos passos recomendados
Atendendo à entrada em vigor do diploma, sugerimos que cada organização, com a brevidade possível: identifique se está abrangida pelo regime e em que qualidade; proceda ao registo e autoidentificação na plataforma MyCiber; e avalie as implicações ao nível da governação, gestão de risco, conformidade e segurança da informação.
A BITWOCI, enquanto entidade especializada em consultoria de sistemas de informação, cibersegurança, alojamento gerido e conformidade digital, disponibiliza mediante análise prévia e orçamento, apoio técnico e regulatório para avaliar o impacte deste regulamento e preparar a adaptação ao novo regime, incluindo o processo de autoidentificação e registo na plataforma MyCiber.
Referências e consulta
Para consulta dos diplomas aplicáveis:
Regulamento n.º 756/2026, de 22 de junho (regulamento de execução):
https://diariodarepublica.pt/dr/detalhe/regulamento/756-2026-1134399056
Decreto-Lei n.º 125/2025, de 4 de dezembro — Regime Jurídico da Cibersegurança (transposição da Diretiva (UE) 2022/2555 — NIS2):
https://diariodarepublica.pt/dr/detalhe/decreto-lei/125-2025-962603401
Para qualquer esclarecimento adicional, ou para agendar uma análise preliminar do enquadramento da vossa organização, ficamos ao inteiro dispor.
