O Regulamento n.º 756/2026 concretiza o Regime Jurídico da Cibersegurança aprovado pelo Decreto-Lei n.º 125/2025, estabelecendo as regras operacionais necessárias à aplicação do novo quadro nacional de cibersegurança.
Entre as principais novidades destacam-se (i) a criação de uma plataforma eletrónica obrigatória para registo e comunicações com as autoridades competentes, (ii) a definição de níveis de conformidade e medidas mínimas de cibersegurança, bem como (iii) novos deveres de notificação de incidentes e de gestão do risco.
O Regulamento introduz ainda o novo Quadro Nacional de Referência para a Cibersegurança (QNRCS), reforçando as exigências de governação, supervisão e resiliência digital aplicáveis a um universo alargado de entidades públicas e privadas.
REGULAMENTO DA CIBERSEGURANÇA: UM NOVO MODELO DE SUPERVISÃO E RESILIÊNCIA DIGITAL
O Regulamento n.º 756/2026, publicado em 22 de junho de 2026, estabelece as regras de execução do Regime Jurídico da Cibersegurança (“RJC”), aprovado pelo Decreto-Lei n.º 125/2025, de 4 de dezembro, que transpôs para a ordem jurídica nacional a Diretiva (UE) 2022/2555 (Diretiva NIS 2). O Regulamento entra em vigor em 23 de junho de 2026, sucedendo ao RJC, que entrou em vigor em 3 de abril de 2026. O novo regulamento visa assegurar uma aplicação uniforme das obrigações de cibersegurança impostas às entidades essenciais, importantes e públicas relevantes, reforçando simultaneamente os mecanismos de supervisão e coordenação conduzidos pelo Centro Nacional de Cibersegurança (CNCS).
Entre os instrumentos do novo regime destaca-se (i) a plataforma eletrónica gerida pelo CNCS, através da qual passam a ser efetuados os procedimentos de autoidentificação e qualificação das entidades abrangidas, (ii) a comunicação do responsável de cibersegurança e do ponto de contacto permanente, (iii) a submissão dos relatórios anuais, bem como (iv) a notificação obrigatória de incidentes de cibersegurança. O Regulamento prevê igualmente um sistema estruturado de notificações eletrónicas e mecanismos de interoperabilidade com outras autoridades competentes.
Uma das alterações mais relevantes consiste na introdução de níveis de conformidade – básico, substancial e elevado – determinados através de uma matriz de risco que considera o setor e subsetor de atividade, a dimensão da entidade e a importância do setor ou subsetor. A cada nível correspondem medidas mínimas de cibersegurança cuja implementação se torna obrigatória para as entidades qualificadas como essenciais ou importantes.
O Regulamento aprova ainda o novo Quadro Nacional de Referência para a Cibersegurança (QNRCS), concebido como o principal referencial nacional em matéria de gestão da cibersegurança. O QNRCS organiza os controlos de segurança em torno de seis objetivos fundamentais – gerir, identificar, proteger, detetar, responder e recuperar – alinhando-se com referenciais internacionais como o NIST Cybersecurity Framework, a ISO/IEC 27001 e os CIS Critical Security Controls.
As entidades abrangidas passam igualmente a estar sujeitas a requisitos mais exigentes de gestão do risco, incluindo a realização periódica de análises de risco e de risco residual, a manutenção de inventários de ativos diretamente acessíveis publicamente através da Internet, a definição de estratégias de continuidade de negócio e a adoção de procedimentos formais de resposta e recuperação perante incidentes.
Para determinar se uma organização está sujeita ao RJC e qual a respetiva qualificação, deverá ser efetuada uma análise casuística dos critérios previstos no diploma. Sobre esta matéria, poderá consultar-se o nosso estudo “Âmbito de aplicação da NIS 2 em Portugal”, onde são analisados os setores, categorias de entidades e critérios de qualificação previstos na nova legislação.
O novo enquadramento representa uma mudança na forma como a cibersegurança é tratada pelas organizações, deixando de constituir uma questão predominantemente tecnológica para assumir uma dimensão estratégica e de governação. As entidades abrangidas deverão avaliar, com urgência, o seu grau de preparação para cumprir as novas exigências regulamentares, uma vez que o regime reforça substancialmente os deveres de prevenção, reporte e demonstração de conformidade perante as autoridades de supervisão.
O Regulamento n.º 756/2026 densifica significativamente o quadro normativo nacional em matéria de cibersegurança, reforçando os mecanismos de prevenção, supervisão e resposta a incidentes. A sua eficácia dependerá, todavia, da capacidade das organizações para integrar estas exigências na sua governação e nos seus processos de gestão do risco.