NOVO REGIME JURÍDICO DE CIBERSEGURANÇA

Conforme noticiámos em janeiro, o Decreto-Lei n.º 125/2025 entra em vigor no próximo dia 3 de abril de 2026, revogando o regime da segurança do ciberespaço de 2018 e a respetiva regulamentação de 2021.

O novo Regime Jurídico da Cibersegurança (RJC) transpõe a Diretiva NIS2 (Diretiva (UE) 2022/2555) e implementa o quadro nacional de certificação da cibersegurança das TIC, em execução do Regulamento (UE) 2019/881.

Aproveitamos a proximidade da data de entrada em vigor para partilhar duas novidades relevantes.

  1.  Prazos Críticos de Identificação e Designação

As entidades abrangidas pelo RJC ficam sujeitas a deveres de reporte imediatos perante o Centro Nacional de Cibersegurança (CNCS):

  • Identificação na Plataforma Eletrónica: As entidades já em atividade devem proceder à sua identificação e inscrição na plataforma do CNCS até ao dia 2 de junho de 2026. Para novas entidades, o prazo é de 30 dias após o início da atividade.
  • Designação do Responsável de Cibersegurança: De acordo com o regime transitório, as entidades devem comunicar ao CNCS a identidade do seu Responsável de Cibersegurança no prazo de 20 dias úteis a contar da entrada em vigor do diploma (3 de abril).
  • Ponto de Contacto Permanente: Deve ser igualmente indicada a pessoa ou equipa que assegura as funções de ponto de contacto permanente para efeitos de gestão de incidentes.
  1. Âmbito de Aplicação e Classificação de PME

O regime aplica-se a 17 setores e à Administração Pública, independentemente da natureza da entidade (incluindo atividades artesanais, individuais ou familiares que exerçam atividade económica). Para efeitos de classificação e obrigações, o RJC adota os seguintes critérios:

  • Média empresa: Menos de 250 pessoas e volume de negócios até €50M ou balanço total até €43M.
  • Pequena empresa: Menos de 50 pessoas e volume de negócios ou balanço total até €10M.
  • Microempresa: Menos de 10 pessoas e volume de negócios ou balanço total até €2M.

As entidades são classificadas como essenciais ou importantes, o que determina o nível de supervisão e a gravidade das sanções aplicáveis.

  1. Projeto de Regulamento em Consulta Pública

Em 10 de março de 2026, foi publicado o Aviso n.º 5146/2026/2, que submete a consulta pública o projeto de regulamento que densifica as obrigações operacionais do RJC. Este regulamento é fundamental, pois antecipa a aplicação de medidas que anteriormente se previam apenas para um horizonte de 24 meses.

O projeto de regulamento define, entre outros aspetos:

  • As medidas de cibersegurança mínimas e os níveis de conformidade (básico, substancial e elevado) baseados no Quadro Nacional de Referência para a Cibersegurança.
  • matriz de risco, que estabelece valores de risco por setor e subsetor de atividade.
  • Os termos da gestão do risco residual e a estrutura do relatório anual de atividades de segurança.
  • Os procedimentos para as notificações obrigatórias de incidentes e as comunicações eletrónicas entre as entidades e as autoridades competentes.
  1. Alterações Legislativas Conexas

O novo regime introduz alterações em diplomas fundamentais:

  • Lei do Cibercrime: Nova definição de “vulnerabilidade” (fragilidade passível de exploração por ciberameaça) e previsão de atos não puníveis por interesse público, despenalizando factos que poderiam constituir crimes de acesso ou interceção ilegítima em contexto de segurança.
  • Lei de Segurança Interna: Criação de um Gabinete de Crise com representantes da PJ, SIS, SIED, CNCS e Ciberdefesa.
  • Lei das Comunicações Eletrónicas: Revogação de normas sobre segurança e incidentes, mantendo-se os regulamentos da ANACOM em vigor apenas até serem substituídos ou se não forem incompatíveis com o novo RJC.
  • Regime Contraordenacional e Coimas

O incumprimento dos deveres previstos no RJC constitui contraordenação, com molduras sancionatórias significativamente elevadas, calculadas em função da categoria da entidade e do seu volume de negócios:

A. Contraordenações Muito Graves:

  • Entidades Essenciais: Coimas entre €2.000,00 e €10.000.000,00, ou até 2% do volume de negócios anual mundial (consoante o que for mais elevado).
  • Entidades Importantes: Coimas entre €1.250,00 e €7.000.000,00, ou até 1,4% do volume de negócios anual mundial (consoante o que for mais elevado).
  • Entidades Públicas Relevantes — Grupo A: Coimas entre €16.000,00 e €4.000.000,00.
  • Entidades Públicas Relevantes — Grupo B: Coimas entre €8.000,00 e €350.000,00.

B. Contraordenações Graves:

  • Entidades Essenciais: Coimas entre €1.250,00 e €5.000.000,00, ou até 1% do volume de negócios anual mundial.
  • Entidades Importantes: Coimas entre €875,00 e €3.500.000,00, ou até 0,7% do volume de negócios anual mundial.
  • Entidades Públicas Relevantes — Grupo A: Coimas entre €10.000,00 e €2.500.000,00.
  • Entidades Públicas Relevantes — Grupo B: Coimas entre €5.000,00 e €225.000,00.

C. Contraordenações Leves:

  • Aplicáveis a infrações como a utilização indevida de marcas de certificação ou omissão de informação, com coimas entre €875,00 e €45.000,00 para pessoas coletivas e entre €250,00 e €3.750,00 para pessoas singulares.

Os prazos de prescrição do procedimento contraordenacional são de cinco anos para infrações graves e muito graves, e de três anos para as leves (Art.º 69.º). Os prazos de prescrição da coima são de três anos para infrações graves e muito graves, e de dois anos para as leves (Art.º 70.º).

VI. Regime de Transição e Dispensa de Coimas O RJC, no seu artigo 65.º, prevê um regime de especial benevolência para as entidades que demonstrem um esforço ativo de conformidade. Durante os primeiros 12 meses após a entrada em vigor (até abril de 2027), o CNCS pode determinar a dispensa da aplicação de coimas, desde que a entidade:

  • Demonstre ter iniciado um procedimento interno de adaptação às novas exigências;
  • Tenha procedido à identificação e designação do Responsável de Cibersegurança nos prazos legais;
  • Colabore ativamente com as autoridades na mitigação de eventuais riscos detetados.

Próximos Passos Recomendados

Face à iminência da entrada em vigor e ao curto prazo para a designação de responsáveis, recomendamos que as entidades:

  • Procedam à nomeação formal do Responsável de Cibersegurança e preparem a respetiva comunicação ao CNCS.
  • Validem o seu enquadramento setorial (17 setores abrangidos) e a classificação como entidade essencial ou importante.
  • Analise o Projeto de Regulamento e os seus anexos técnicos para avaliar o hiato de conformidade (gap analysis) face às medidas mínimas de segurança agora propostas.
  • Revejam os contratos com fornecedores de serviços TIC, garantindo que as obrigações de segurança da cadeia de abastecimento estão devidamente acauteladas.

Aceda ao artigo completo aqui.