Notificacao de incidentes ao CNCS
Prazos, criterios e articulacao com o RGPD
Cenario de abertura
Sao 18h00 de uma sexta-feira. A equipa de seguranca detetou um acesso nao autorizado a servidores de producao. Ha evidencias de exfiltracao de dados de clientes. O gestor de IT pergunta: «Quando e como notificamos o CNCS?» O contador ja comeou a contar.
24 horas: o alerta precoce (Art. 42.o)
O Art. 42.o do DL 125/2025 estabelece que, no prazo de 24 horas apos a entidade tomar conhecimento de um incidente significativo, deve ser submetido um alerta precoce ao CNCS. Este alerta nao precisa de ser exaustivo, mas deve incluir: identificacao da entidade e ponto de contacto, descricao inicial do incidente (natureza, impacto aparente), se ha indicacao de que o incidente pode ter origem em ato doloso ou malicioso, e se ha indicacao de impacto transfronteirico (outros estados-membros afetados). O objetivo e dar ao CNCS visibilidade imediata, nao um relatorio completo.
72 horas: notificacao atualizada
No prazo de 72 horas apos a tomada de conhecimento, a entidade deve submeter uma notificacao mais completa. Esta deve incluir: avaliacao preliminar de gravidade e impacto, indicadores de compromisso (IoCs) se identificados, medidas de contencao e mitigacao ja implementadas, e atualizacao sobre o ponto de contacto. As 72 horas coincidem com o prazo RGPD para notificacao de violacoes de dados pessoais a CNPD, o que significa que, em muitos incidentes, ambas as notificacoes devem ser feitas em simultaneo. E recomendavel coordenar DPO e responsavel de ciberseguranca desde as primeiras horas.
30 dias: relatorio final (Art. 44.o)
O Art. 44.o exige que, no prazo de 30 dias apos o primeiro alerta, seja submetido um relatorio final detalhado. Este deve incluir: descricao completa do incidente (cronologia, vetores de ataque, sistemas afetados), analise de causa-raiz documentada, impacto final (operacional, financeiro, sobre terceiros), medidas de mitigacao e remediacao implementadas, e medidas para prevencao de recorrencia. Este relatorio serve como base para a avaliacao do CNCS e pode influenciar decisoes de supervisao posteriores.
O que e um incidente significativo
Nem todos os incidentes obrigam a notificacao. O DL 125/2025 define incidente significativo como aquele que: cause ou possa causar uma disrupao operacional grave dos servicos prestados; implique ou possa implicar perdas financeiras elevadas para a entidade afetada; cause ou possa causar danos materiais ou imateriais consideraveis a outras pessoas ou entidades. O limiar e propositadamente flexivel para incluir situacoes de potencial impacto grave, mesmo que o impacto final seja mitigado. E sempre preferivel notificar em caso de duvida.
Sancoes por atraso ou ausencia de notificacao
A ausencia ou atraso injustificado na notificacao de incidentes significativos constitui contraordenacao muito grave (para OE) ou grave (para OI), passivel de coima ate 10 milhoes de euros ou 2% do volume de negocio anual para OE. Alem da coima, o CNCS pode publicitar a sancao, o que tem um impacto reputacional significativo. A notificacao atempada e de boa fe, mesmo que o incidente nao se confirme como significativo, e sempre vantajosa: demonstra diligencia e cooperacao.
Timeline de notificacao de incidentes
Caso real
Articulacao NIS2 + RGPD: dois relogios, um incidenteUm incidente de ransomware com exfiltracao de dados de clientes aciona simultaneamente o prazo NIS2 (24h CNCS) e o prazo RGPD (72h CNPD). Organizacoes sem coordenacao previa entre o CISO e o DPO chegam aos 72 horas sem saber a que autoridade notificar primeiro e com que conteudo. A solucao e um procedimento conjunto pre-definido que inclua ambos os canais de notificacao, escalamento identico e um modelo de notificacao unico com campos especificos para cada autoridade.
Quiz do modulo 6
Responda a 5 perguntas sobre o conteudo deste modulo. E necessario obter 70% ou mais para avancar.