Ponto Digital

CNCS publica regulamento que concretiza regime jurídico da cibersegurança

Era a peça que faltava no puzzle do novo Regime Jurídico da Cibersegurança, que resultou da transposição da diretiva europeia NIS2.

Portugal deu esta segunda-feira um passo decisivo na aplicação prática da diretiva europeia NIS2 com a publicação do regulamento que concretiza várias das disposições previstas no novo Regime Jurídico da Cibersegurança. O regulamento, aprovado pelo Centro Nacional de Cibersegurança (CNCS), estabelece as regras de funcionamento da futura plataforma eletrónica nacional de cibersegurança, define os níveis de conformidade exigidos às entidades abrangidas e fixa as medidas mínimas de segurança que passarão a ser obrigatórias para organizações consideradas essenciais, importantes ou públicas relevantes. O diploma surge na sequência da entrada em vigor, no início de dezembro de 2025, do Decreto-Lei n.º 125/2025, que transpôs a diretiva europeia conhecida por NIS2, destinada a reforçar a resiliência digital e a proteção de infraestruturas críticas em toda a União Europeia. O regulamento entra em vigor esta terça-feira, 23 de junho, produzindo efeitos imediatos para a generalidade das suas disposições. Contudo, o diploma prevê uma aplicação faseada em determinados domínios: as normas que dependem da emissão de instruções técnicas ou de outros normativos complementares pela autoridade de cibersegurança competente apenas produzem efeitos na data em que esses instrumentos forem publicados. Ainda assim, as entidades abrangidas ficam desde logo obrigadas a fornecer à autoridade competente toda a informação que possa ser determinada ou inferida com base nos critérios já previstos na legislação e regulamentação em vigor, assegurando assim uma transição imediata para o novo regime de cibersegurança. Entre as principais novidades encontra-se a criação de uma plataforma eletrónica centralizada, desenvolvida e gerida pelo CNCS, através da qual serão realizados os procedimentos de identificação, qualificação, comunicação e notificação entre as entidades abrangidas e as autoridades de cibersegurança competentes. A plataforma servirá para o registo das entidades, comunicação de relatórios anuais, designação de responsáveis de cibersegurança, indicação dos pontos de contacto permanentes e notificação de incidentes de cibersegurança. O regulamento determina ainda que todas as entidades abrangidas pelo regime deverão proceder à sua autoidentificação através de um formulário eletrónico, fornecendo informação como a identificação fiscal, setor de atividade, número de trabalhadores, volume de negócios e dados de contacto. Após essa fase, será desencadeado um processo de qualificação conduzido pela autoridade competente, culminando numa decisão formal que poderá determinar não apenas a inclusão da entidade no âmbito da legislação, mas também o respetivo nível de conformidade e as medidas de segurança obrigatórias. Um dos aspetos centrais do diploma é precisamente a introdução de um sistema graduado de conformidade. O regulamento estabelece três níveis, básico, substancial e elevado, que servirão para determinar as exigências de cibersegurança aplicáveis a cada organização. Estes níveis serão definidos através de uma matriz de risco aprovada pelo próprio regulamento, tendo em conta a natureza da entidade, a sua relevância para a economia e para a sociedade e o potencial impacto de um incidente de cibersegurança. De acordo com o texto publicado em Diário da República, a matriz de risco constitui a variável fundamental para a determinação das medidas mínimas obrigatórias, permitindo adaptar as obrigações ao perfil de risco de cada entidade. A decisão de qualificação emitida pela autoridade competente incluirá, quando aplicável, a indicação do nível de conformidade atribuído e das respetivas medidas de segurança a implementar. O regulamento aprova igualmente o Quadro Nacional de Referência para a Cibersegurança (QNRCS), que passa a constituir a principal referência nacional para a definição dos controlos e requisitos técnicos exigidos. É a partir deste quadro que derivam os critérios de conformidade e os mecanismos de verificação previstos para as entidades abrangidas. Outra das novidades relevantes prende-se com a formalização da figura do Responsável de Cibersegurança e do Ponto de Contacto Permanente. As organizações sujeitas ao regime terão de comunicar à autoridade competente a identidade das pessoas responsáveis por estas funções, através da plataforma eletrónica. O objetivo passa por assegurar interlocutores permanentes para a gestão de incidentes, comunicações oficiais e acompanhamento das obrigações legais em matéria de cibersegurança.No domínio da notificação de incidentes, o regulamento estabelece igualmente as bases operacionais para as comunicações obrigatórias e voluntárias previstas no Regime Jurídico da Cibersegurança. A plataforma eletrónica permitirá a notificação simultânea às autoridades competentes e, quando necessário, a outras entidades com responsabilidades em áreas como a investigação criminal ou a proteção de dados pessoais, através de mecanismos de interoperabilidade a definir entre organismos públicos.O diploma dedica ainda uma parte significativa à definição das condições de funcionamento da própria plataforma eletrónica. O sistema deverá garantir elevados padrões de autenticação e segurança, admitindo mecanismos como o Cartão de Cidadão e a Chave Móvel Digital. Ficará igualmente assegurada a rastreabilidade das operações realizadas, permitindo às entidades consultar quem acedeu à sua conta, quais os atos praticados e em que momento ocorreram. Para além da simplificação administrativa, o regulamento procura criar um modelo uniforme de relacionamento entre as entidades abrangidas e as autoridades de cibersegurança. A utilização da plataforma permitirá centralizar processos que anteriormente poderiam estar dispersos por diferentes canais de comunicação, reforçando simultaneamente os mecanismos de supervisão e controlo previstos pela legislação. O texto agora publicado resulta de um processo de consulta pública que decorreu durante este ano e que recolheu 57 contributos de entidades interessadas. Segundo o preâmbulo do regulamento, as observações recebidas conduziram a diversas alterações ao projeto inicialmente apresentado, tendo o relatório de consulta sido disponibilizado pelo CNCS no respetivo portal institucional.