No final de 2025 foi publicado o Decreto-Lei n.º 125/2025, que transpõe a Diretiva (UE) 2022/2555 (NIS2), aprova o novo Regime Jurídico da Cibersegurança (RJC) e implementa o quadro nacional de certificação da cibersegurança das TIC, em execução do Regulamento (UE) 2019/881.
O diploma entra em vigor em 3 de abril de 2026, revogando o regime da segurança do ciberespaço de 2018 e a regulamentação de 2021, passando a vigorar um quadro normativo único e sistematizado em matéria de prevenção, gestão de riscos e resposta a incidentes de cibersegurança.
O RJC define o quadro jurídico da prevenção e gestão dos riscos, do tratamento de incidentes e do regime sancionatório, reforçando as exigências impostas às entidades abrangidas e consolidando o papel do CNCS enquanto autoridade nacional competente.
O regime adota um âmbito de aplicação amplo, aplicando-se a entidades públicas e privadas, independentemente da sua natureza ou dimensão, sempre que prestem serviços ou exerçam atividades nos setores abrangidos, aplicando-se:
- A serviços de comunicações eletrónicas, serviços de confiança e outros serviços digitais;
- A setores de importância crítica, como energia, banca, mercados financeiros, saúde, água e saneamento, transportes, infraestruturas digitais, serviços TIC e espaço;
- A outros setores críticos, incluindo serviços postais, gestão de resíduos, indústrias química e transformadora, produção e distribuição alimentar, serviços digitais, investigação e instituições de ensino superior;
- À Administração Pública, com exceção das matérias de segurança nacional, segurança pública, defesa e serviços de informações.
O regime é aplicável sempre que exista estabelecimento em Portugal ou prestação de serviços no território nacional. Mesmo sem estabelecimento ou representação em Portugal, podem ser aplicadas medidas corretivas ou restritivas, incluindo a suspensão da prestação do serviço, quando necessário para prevenir ou mitigar ciberameaças significativas.
Alterações legislativas conexas: apesar de se manterem em vigor os regulamentos e atos da ANACOM compatíveis com o novo regime, o diploma altera:
- A Lei do Cibercrime, densificando o conceito de “vulnerabilidade” e prevendo atos não puníveis por interesse público de cibersegurança;
- A Lei de Segurança Interna, prevendo a criação de um Gabinete de Crise;
- A Lei das Comunicações Eletrónicas, revogando matérias relativas à segurança, incidentes, auditorias, inspeções, prestação de informações e regime sancionatório.
Classificação das entidades e modelo de supervisão
O RJC distingue entre entidades essenciais e entidades importantes, prevendo um modelo de supervisão diferenciado em função do nível de risco de cibersegurança. Será publicada regulamentação específica, com efeitos 24 meses após a publicação, relativa, nomeadamente, a (i) medidas de cibersegurança e medidas corretivas; (ii) segurança da cadeia de abastecimento e gestão do risco residual; (iii) relatório anual de atividades em matéria de segurança; (iv) medidas aplicáveis às entidades públicas relevantes; entre outros.
Certificação da cibersegurança
- É instituído um quadro nacional de certificação da cibersegurança, permitindo presumir a conformidade das entidades certificadas.
- Nas comunicações eletrónicas, a utilização de equipamentos passa a depender de avaliações de segurança obrigatórias, a realizar pela Comissão de Avaliação de Segurança do Ciberespaço (CASC).
- As decisões anteriormente adotadas pela Comissão de Avaliação de Segurança (CAS) mantêm-se válidas até 30 de setembro de 2026, devendo ser realizadas novas avaliações até essa data
- O Centro Nacional de Cibersegurança (CNCS) é designado autoridade nacional de certificação, competindo-lhe a implementação e fiscalização dos esquemas de certificação.
Regime contraordenacional
O RJC estabelece um regime sancionatório, distinguindo entre contraordenações leves [com coimas entre €875,00 e €45.000,00 (pessoas coletivas) e €250,00 e €3.750,00 (pessoas singulares)], graves e muito graves (as quais podem atingir percentagens do volume de negócios anual a nível mundial). Os prazos de prescrição são de cinco anos (graves e muito graves) e três anos (leves).
Próximos passos
A aplicação do regime é faseada, mantendo-se em vigor, a título transitório, determinados regimes e regulamentação setorial.Contudo, em antecipação, as entidades potencialmente abrangidas devem (i) determinar o enquadramento regulatório; (ii) preparar a identificação na plataforma do CNCS; (iii) realizar uma avaliação de conformidade; (iv) adequar os mecanismos de notificação de incidentes; e (v) avaliar a adaptação contratual com fornecedores e terceiros relevantes.
Aceda ao artigo completo aqui: QuickClick – Novo Regime Jurídico da Cibersegurança.pdf