Contexto: da lei ao regulamento

O DL 125/2025 estabelece o quadro legal obrigatório, mas delega ao CNCS a definição de vários aspetos operacionais através de regulamentação própria, conforme previsto no Art. 14.º sobre o portal eletrónico e noutras normas habilitantes. A consulta pública é o mecanismo legal que permite à autoridade recolher contributos de entidades abrangidas, setor privado e organizações da sociedade civil antes de finalizar o texto regulatório.

A consulta foi lançada 8 dias após a entrada em vigor do diploma (3 de abril de 2026), mas já estava em preparação desde o período de vacatio legis. O calendário prevê publicação do regulamento definitivo em meados de 2026.

Importância para as entidades: O regulamento definirá os campos obrigatórios do portal de registo, os formatos exatos das notificações de incidentes (alerta 24h, notificação 72h, relatório final 30d) e os critérios de significância de incidentes. Participar na consulta é uma oportunidade de influenciar requisitos que afetarão diretamente a operação.

Principais temas do Projeto de Regulamento

1. Portal eletrónico de registo e notificação (Art. 14.º)

O regulamento define a arquitetura funcional do portal onde as entidades deverão:

  • Registar-se como entidade essencial ou importante.
  • Submeter o registo de autoidentificação com dados da organização, setor, dimensão e serviços prestados.
  • Notificar incidentes significativos nos prazos legais.
  • Aceder a comunicações do CNCS relativas à supervisão.

2. Formato das notificações de incidentes

O projeto de regulamento detalha os campos obrigatórios de cada fase:

  • Alerta precoce (24 horas): Descrição sumária do incidente, sistemas afetados, impacto estimado na prestação do serviço, indicação se suspeita de atividade ilícita ou interesse transfronteiriço.
  • Notificação completa (72 horas): Análise preliminar da causa, medidas mitigadoras em curso, potencial impacto em outros Estados-Membros, dados de contacto do responsável de segurança.
  • Relatório final (30 dias): Análise técnica completa, causa raiz, lições aprendidas, medidas permanentes implementadas, avaliação do impacto real.

3. Templates CNCS obrigatórios

O regulamento prevê a publicação pelo CNCS de templates standardizados para as notificações. As organizações podem usar os seus próprios sistemas (como o Simulador CNCS da NIS2 Portugal), desde que cubram os campos obrigatórios definidos.

4. Articulação com o QNRCS (Art. 14.º DL 125/2025)

O Quadro Nacional de Referência para a Cibersegurança (QNRCS) será atualizado para alinhar com os requisitos do DL 125/2025. O regulamento define como as certificações e avaliações ao abrigo do QNRCS contribuem para demonstrar conformidade com o Art. 21.º.

Prazo para contributos: O período de consulta pública encerra aproximadamente no final de abril de 2026. As entidades e associações setoriais devem submeter os seus comentários diretamente ao CNCS através do portal de participação pública.

Implicações práticas para organizações NIS2

Enquanto o regulamento não é publicado, as entidades devem:

  1. Acompanhar o processo de consulta pública em cncs.gov.pt.
  2. Preparar os dados necessários para o registo (NIPC, setor, dimensão, serviços NIS2, responsável de segurança).
  3. Desenvolver internamente os processos de notificação de incidentes usando os templates disponíveis na plataforma NIS2 Portugal como referência.
  4. Considerar participar na consulta pública, especialmente setores com especificidades operacionais que devem ser refletidas nos formatos de notificação.