Introdução
O novo Regime Jurídico da Cibersegurança, aprovado pelo Decreto-Lei n.º 125/2025, de 4 de dezembro (RJC), entrou em vigor em 3 de abril de 2026, marcando uma nova etapa na implementação, em Portugal, da Diretiva (UE) 2022/2555, de 14 de dezembro de 2022 (NIS 2).
Este quadro é complementado pelo Projeto de Regulamento do RJC, colocado em consulta pública pelo Centro Nacional de Cibersegurança em 10 de março de 2026, com prazo para apresentação de contributos até 22 de abril de 2026.
Neste contexto, a determinação do âmbito de aplicação subjetivo do RJC assume especial importância, porquanto permite identificar que entidades ficam sujeitas ao novo regime e por que via jurídica essa sujeição se verifica.
A Diretiva NIS 2 estabelece, a nível europeu, os objetivos e resultados que os Estados-Membros devem assegurar para garantir um elevado nível comum de cibersegurança na União. O RJC concretiza esse quadro no ordenamento jurídico português, definindo, entre outros aspetos, as entidades abrangidas, a arquitetura institucional relevante, as categorias de entidades sujeitas ao regime e os deveres de identificação, registo, comunicação e cumprimento. Já o Projeto de Regulamento densifica a aplicação prática do regime, designadamente quanto ao funcionamento da plataforma eletrónica, às medidas mínimas de cibersegurança, aos níveis de conformidade e aos procedimentos de notificação.
A sujeição ao regime não depende apenas do setor de atividade ou da localização da entidade, exigindo antes uma análise articulada dos critérios legais aplicáveis às entidades privadas e públicas, incluindo o respetivo enquadramento setorial ou orgânico-funcional, os elementos de conexão territorial, a dimensão da entidade, a sua criticidade e a qualificação final como entidade essencial, importante ou entidade pública relevante. O presente estudo analisa o âmbito de aplicação subjetivo do novo regime e o percurso de qualificação das entidades privadas e públicas potencialmente abrangidas pelo RJC.
QUE ENTIDADES ESTÃO ABRANGIDAS pelo RJC?
Entidades Privadas
A entidade corresponde a um tipo do Anexo I ou Anexo II do RJC?
Se não
→ em princípio, fora do âmbito subjetivo
Se sim
→ passar à territorialidade
Há conexão territorial com Portugal?
Se não
→ não fica sujeita ao regime português
Se sim
→ passar ao critério material
Se não
→ em princípio, fora do âmbito subjetivo
Se sim
→ passar à territorialidade
Presta serviços ou exerce atividades na União Europeia?
Se não
→ não entra pela via-regra
Se sim
→ passar à dimensão
Se não
→ testar os critérios especiais
Mesmo sem essa dimensão, verifica-se algum critério especial?
Se sim
→ entidade abrangida
Se não
→ em princípio, fora do âmbito subjetivo
Se é entidade abrangida, é entidade essencial ou entidade importante?
Há conexão territorial com portugal?
- A entidade: tem estabelecimento em Portugal
- Disponibiliza serviços em Portugal, quando aplicável
- Tem estabelecimento principal em Portugal ou
- Não tendo estabelecimento na UE, tem representante em Portugal
ALCANCE EXTRATERRITORIAL
- O CNCS pode adotar medidas corretivas ou restritivas, incluindo suspensão do serviço em Portugal, perante prestadores sem estabelecimento ou representação no território nacional que não adotem medidas adequadas de cibersegurança
- Em regra, há fundamentação preliminar e prazo de resposta não inferior a 10 dias
- Prevê-se ainda assistência mútua com outros Estados-Membros em relação a entidades com conexão relevante com Portugal
Como se determina o “estabelecimento principal”
A sujeição ao regime não depende apenas de sede em Portugal; pode resultar da forma como o serviço é oferecido, de onde se decidem as medidas de risco e, em certos casos, da necessidade de proteção do território nacional.
Mesmo sem dimensão, verifica-se algum critério especial?
Mesmo sem cumprir o critério da dimensão, a entidade pode ficar abrangida se, sendo de um tipo dos Anexos I ou II:
- Prestar serviços especialmente sensíveis (ex.: DNS ou serviços de confiança)
- For o único prestador de um serviço essencial (ex.: infraestrutura crítica local)
- A falha do serviço puder afetar segurança, proteção ou saúde públicas (ex.: hospital ou emergência)
- A falha do serviço puder gerar riscos sistémicos (ex.: operador com clientes críticos ou impacto transfronteiriço) ou
- Tiver importância crítica nacional ou regional (ex.: entidade-chave num setor essencial)
Se é entidade abrangida, é entidade essencial ou entidade importante?
Entidades Essenciais
Entidades dos tipos constantes do Anexo I que excedam os limiares da média empresas
Certos prestadores especialmente sensíveis, independentemente da dimensão
(ex.: prestador qualificado de serviços de confiança, operador de tld ou prestador de dns)
Certas empresas de comunicações eletrónicas
Entidades críticas
Outras entidades dos Anexos I ou II, referidas no artigo 3.º, n.º 2, alíneas b) a e), quando tal se justifique pela exposição ao risco, dimensão e impacto potencial dos incidentes
Entidades Importantes
Regra residual: entidades dos tipos constantes dos Anexos I e II que estejam abrangidas pelo regime e não sejam qualificadas como entidades essenciais
Também podem ser qualificadas como importantes as entidades referidas no artigo 3.º, n.º 2, alíneas b) a e), quando tal se justifique em função da exposição ao risco, dimensão da entidade, probabilidade de ocorrência de incidentes e gravidade do respetivo impacto social e económico
Entidades Públicas
Entidades Públicas: percurso de análise
A entidade está abrangida por alguma das categorias dos n.ºs 3 a 6 do artigo 3.º do RJC?
Se não
→ em princípio, fora do âmbito subjetivo
Se sim
→ verificar exclusões
Aplica-se alguma exclusão do artigo 3.º, n.º 7 do RJC?
Se não
→ entidade abrangida
Se sim
→ fora do regime, nessa parte
Se estiver abrangida, é entidade essencial, entidade importante ou entidade pública relevante?
Se é entidade pública relevante, é do grupo a ou grupo b?
Se é entidade abrangida, é entidade essencial, importante ou relevante?
Entidades Essenciais
Entidades dos tipos constantes do Anexo I que excedam os limiares da média empresa (ex.: grande operador de energia, transportes ou saúde).
Certos prestadores especialmente sensíveis, independentemente da dimensão (ex.: prestador qualificado de serviços de confiança, operador de TLD ou prestador de DNS).
Certas empresas de comunicações eletrónicas e certas entidades da Administração Pública.
Entidades críticas ao abrigo da Diretiva (UE) 2022/2557.
Outras entidades dos Anexos I ou II, referidas no artigo 3.º, n.º 2, alíneas b) a e), quando tal se justifique pela exposição ao risco, dimensão e impacto potencial dos incidentes
Entidades Importantes
Regra residual: são entidades importantes as entidades dos tipos constantes dos Anexos I e II que estejam abrangidas pelo regime e não sejam qualificadas como entidades essenciais.
Também podem ser qualificadas como importantes as entidades referidas no artigo 3.º, n.º 2, alíneas b) a e), quando tal se justifique em função da exposição ao risco, dimensão da entidade, probabilidade de ocorrência de incidentes e gravidade do respetivo impacto social e económico
Entidades pública relevantes
Categoria própria de certas entidades públicas abrangidas que não sejam qualificadas como essenciais ou importantes
Se é entidade pública relevante, é do grupo a ou grupo b?
Grupo A
Entidades públicas de maior dimensão ou relevância institucional
Administração direta do Estado com 250 ou mais trabalhadores
Administração indireta do Estado e administração autónoma, com mais de 250 trabalhadores
Entidades públicas empresariais que excedam os limiares da média empresa,
Entidades administrativas independentes, conselho económico e social, provedoria de justiça e certos serviços da PR, AR, Tribunais, conselhos superiores
Grupo B
Entidades públicas de dimensão intermédia
Administração direta com 75 a 249 trabalhadores
Administração indireta e administração autónoma com 75 a 249 trabalhadores
Entidades públicas empresariais qualificadas como médias empresas