Há leis que passam despercebidas. Depois há aquelas que parecem distantes até ao dia em que um cliente pergunta, “A empresa já está em conformidade?” É muitas vezes assim que a cibersegurança entra na agenda das PME, não por causa de um ataque informático, mas porque alguém na cadeia de fornecimento começou a exigir garantias.
Foi precisamente esse passo que Portugal deu com a entrada em vigor, esta terça-feira, 23 de junho, do Regulamento n.º 756/2026, publicado na segunda-feira em Diário da República. O diploma vem transformar em regras práticas aquilo que o Decreto-Lei n.º 125/2025, que transpôs a diretiva europeia NIS2, já tinha definido em termos gerais, quem tem obrigações em matéria de cibersegurança, passa agora a saber exatamente como as cumprir.
Na prática, este regulamento é o manual de execução do novo Regime Jurídico da Cibersegurança. Define a plataforma onde tudo será comunicado, estabelece os níveis mínimos de proteção exigidos, explica como devem ser feitas as análises de risco e fixa as regras para comunicar incidentes, responsáveis e relatórios anuais.
Uma das maiores mudanças para as empresas chama-se MyCiber, a plataforma eletrónica gerida pelo Centro Nacional de Cibersegurança (CNCS).
É através deste portal que passam a decorrer praticamente todas as comunicações entre as empresas abrangidas e as autoridades competentes. Em vez de processos dispersos, passa a existir um único ponto de contacto digital.
Na prática, uma empresa abrangida terá de utilizar a plataforma para:
O próprio regulamento prevê ainda um simulador que ajuda as empresas a perceber, de forma indicativa, se estão abrangidas pelo novo regime. Mas há um detalhe importante, o resultado não substitui a análise jurídica nem dispensa o cumprimento das obrigações legais quando estas existam.
Nem todas as empresas terão exatamente as mesmas exigências.
O regulamento cria três níveis de conformidade, Básico, Substancial e Elevado, atribuídos através de uma matriz de risco que cruza fatores como o setor de atividade, a dimensão da empresa e a criticidade dos serviços prestados.
Traduzido para linguagem simples:
Nível Básico significa implementar um conjunto essencial de medidas de proteção das redes, equipamentos e informação.
Nível Substancial acrescenta controlos mais exigentes, documentação mais robusta e mecanismos adicionais de prevenção e deteção.
Nível Elevado aplica-se às entidades com maior exposição ao risco ou maior impacto para o funcionamento do país, exigindo um conjunto significativamente mais abrangente de medidas técnicas e organizacionais.
Há ainda uma regra importante, quem ficar enquadrado num nível superior tem também de cumprir todas as medidas previstas para os níveis inferiores.
Uma pergunta que muitos empresários poderão fazer é simples: “Tenho mesmo de fazer análises de risco?”
Se a empresa for considerada entidade essencial ou importante, a resposta é sim.
O regulamento obriga estas organizações a realizar uma análise de risco pelo menos uma vez por ano. Sempre que o CNCS identificar uma nova ameaça relevante, poderá exigir uma nova avaliação extraordinária.
Mas não basta identificar riscos.
Depois de implementar medidas de segurança, a empresa terá igualmente de avaliar os chamados riscos residuais, ou seja, aquilo que continua vulnerável apesar das medidas adotadas, mantendo esse trabalho devidamente documentado.
Outra novidade pouco falada, mas bastante relevante, é a criação de uma lista obrigatória de ativos públicos.
As entidades abrangidas terão de manter um inventário atualizado de todos os sistemas acessíveis através da Internet e comunicá-lo ao CNCS.
Essa lista deverá incluir, entre outros elementos:
O regulamento determina ainda que esta informação é considerada classificada com grau de reserva, precisamente porque descreve parte da superfície de ataque tecnológica da organização.
A entrada em vigor do regulamento marca também o início da contagem de um prazo importante.
As entidades abrangidas dispõem de 24 meses para implementar as medidas de cibersegurança previstas no novo regime. Esse período aplica-se igualmente ao início da obrigatoriedade do Relatório Anual para as entidades essenciais.
Contudo, isso não significa que as empresas possam simplesmente esperar dois anos.
O próprio regulamento estabelece que, desde já, devem fornecer à autoridade toda a informação que já possa ser determinada com base nos critérios atualmente existentes.
É tentador pensar que este diploma diz apenas respeito às grandes infraestruturas ou aos serviços públicos.
Nem sempre será assim.
Mesmo empresas que não sejam classificadas como entidades essenciais ou importantes podem sentir os seus efeitos de forma indireta. Se forem fornecedoras de uma organização abrangida, é provável que passem a receber pedidos para demonstrar níveis mínimos de cibersegurança, certificações ou procedimentos internos compatíveis com o novo regime.
A lógica é simples, uma cadeia de fornecimento é tão segura quanto o seu elo mais fraco.
Também vale a pena recordar que o incumprimento do Regime Jurídico da Cibersegurança pode dar origem a processos contraordenacionais. Nas entidades essenciais, as coimas podem atingir 10 milhões de euros ou 2% do volume de negócios anual mundial, consoante o que for mais elevado, refletindo a importância que a União Europeia atribui à resiliência digital.
No fundo, este regulamento não surge por acaso. A diretiva NIS2 nasceu num contexto em que os ataques informáticos se tornaram mais frequentes, sofisticados e com impacto crescente sobre empresas, serviços públicos e infraestruturas críticas. O objetivo não é criar burocracia por si só, mas estabelecer um nível mínimo comum de preparação perante um risco que deixou há muito de ser apenas tecnológico.
A minha empresa tem de nomear um Responsável de Cibersegurança?
Se for qualificada como entidade essencial ou importante, sim. A designação é comunicada através da plataforma MyCiber.
Como sei se estou abrangido pelo novo regime?
O CNCS disponibiliza um simulador na plataforma MyCiber. O resultado é apenas indicativo e não substitui a verificação legal.
Tenho dois anos para fazer tudo?
Tem 24 meses para implementar as medidas de cibersegurança previstas no regulamento, mas algumas informações já têm de ser disponibilizadas às autoridades desde a entrada em vigor.
Se a minha empresa não estiver abrangida, posso ignorar estas regras?
Não necessariamente. Muitas PME poderão ser chamadas a demonstrar níveis mínimos de cibersegurança por exigência dos seus clientes, sobretudo quando trabalham com entidades essenciais ou importantes.
Talvez a maior mudança deste regulamento não esteja nas obrigações legais, mas na forma como passa a olhar para a cibersegurança, deixa de ser um assunto exclusivo do departamento informático para se tornar uma responsabilidade de gestão. A pergunta deixa de ser “será que vou ser atacado?” e passa a ser “estou preparado quando isso acontecer?”.
E a sua empresa, já sabe se faz parte deste novo regime ou continua a acreditar que a cibersegurança é um problema dos outros? Porque, como tantas vezes acontece na nossa história comum, as fronteiras mudam primeiro nos mapas, e só depois percebemos que também atravessaram o nosso quotidiano.
Explore o poder do cPanel com nosso guia definitivo! Descubra como esta ferramenta intuitiva pode transformar a gestão do seu alojamento web, simplificando tarefas complexas e melhorando a eficiência. Ideal para PMEs e qualquer utilizador.
Como Criar um Site para Escolas
Nos dias de hoje, ter um site para uma escola não é apenas uma opção, mas uma necessidade. Estudos indicam que mais de 90% dos pais e alunos pesquisam informações online antes de escolher uma instituição de ensino, tornando a presença digital um fator decisivo.
Como Criar um Site para Advogados
Um site bem estruturado é essencial para advogados que desejam atrair novos clientes e fortalecer a sua credibilidade. Com o aumento da procura por serviços jurídicos online, o site para advogados frequentemente serve como o primeiro ponto de contacto entre o escritório e potenciais clientes.
O Google Search Console (GSC) representa uma ferramenta indispensável no arsenal de qualquer profissional de SEO, proprietário de website ou gestor de marketing digital que procure maximizar a visibilidade e a performance do seu site nos resultados de pesquisa do Google.
Como Criar um Website Profissional para a Sua Empresa
O mundo ligado à Internet exige que as empresas tenham uma presença online forte. Um website profissional é a pedra angular para estabelecer a sua identidade de marca, comunicar com os clientes e vender produtos e / ou serviços online.
As Melhores Ferramentas de Gestão de Tempo para Aumentar a Produtividade
As ferramentas de gestão de tempo surgem como soluções tecnológicas que visam racionalizar o trabalho, automatizar processos repetitivos e oferecer visibilidade clara sobre prioridades e prazos.
Como abrir uma loja virtual em Portugal
Como abrir uma loja virtual em Portugal: tudo o que precisa de saber para iniciar um e-commerce.
Profissionais e Otimizados para Google.
O site que o seu negócio merece. Sem complicações.
Desenvolvemos sites profissionais que vendem, impressionam e crescem consigo. Design + Alojamento + Domínio + SEO + Suporte, tudo tratado por nós. Você cuida do seu negócio. Nós cuidamos da sua presença online.
Pronto para decolar?
Promoção:
Todas as ferramentas essenciais que o seu email e website precisam para alcançar o sucesso.
