NIS2 Portugal

Notificação de Incidentes NIS2

Procedimentos obrigatórios de reporte de incidentes de cibersegurança

A Diretiva NIS2 e a Decreto-Lei n.º 125/2025 estabelecem requisitos estritos para a notificação de incidentes de cibersegurança. As entidades abrangidas devem cumprir prazos específicos sob pena de sanções significativas.

Prazos obrigatórios de notificação

O Decreto-Lei n.º 125/2025 estabelece cinco etapas obrigatórias para a notificação de incidentes significativos à autoridade competente. O não cumprimento destes prazos pode resultar em sanções.

24 HORAS

Alerta Inicial

Prazo: Dentro de 24 horas após tomar conhecimento do incidente

O que notificar:

  • Informação básica sobre o incidente
  • Natureza do incidente (tipo de ataque ou falha)
  • Avaliação inicial do impacto
  • Hora estimada de início do incidente
  • Indicadores de compromisso conhecidos

Autoridade competente:

CNCS - Centro Nacional de Cibersegurança

A notificação deve ser feita através dos canais oficiais de comunicação do CNCS

72 HORAS

Notificação Detalhada

Prazo: Dentro de 72 horas após verificar a existência do incidente significativo

Informação obrigatória:

  • Análise da causa raiz (se conhecida)
  • Sistemas e serviços afetados
  • Medidas de mitigação implementadas
  • Impacto transfronteiriço (se aplicável)
  • Detalhes técnicos do incidente
  • Número estimado de utilizadores afetados
  • Gravidade e consequências do incidente

Requisitos técnicos:

O relatório deve incluir informação técnica suficiente para permitir à autoridade competente avaliar a gravidade do incidente e o seu potencial impacto noutras entidades ou Estados-Membros.

SEMANAL

Relatório Intercalar

Prazo: Semanalmente, enquanto o incidente estiver em curso

Quando é obrigatório:

  • Quando o incidente significativo ainda está em curso
  • Periodicidade semanal a partir da notificação de 72h
  • Até que o incidente seja considerado resolvido

Conteúdo obrigatório:

  • Atualização do estado do incidente
  • Novas medidas de mitigação implementadas
  • Evolução do impacto nos serviços
  • Previsão de resolução
24 HORAS

Notificação de Fim de Impacto

Prazo: 24 horas após o fim do impacto significativo do incidente

O que notificar:

  • Declaração de que o impacto significativo cessou
  • Data e hora do fim do impacto
  • Resumo das medidas de recuperação aplicadas
  • Estado atual dos serviços afetados

Importância:

Esta notificação inicia a contagem do prazo de 30 dias úteis para entrega do relatório final completo.

30 DIAS ÚTEIS

Relatório Final

Prazo: 30 dias úteis após a notificação de fim de impacto significativo

Conteúdo do relatório:

  • Análise completa e detalhada do incidente
  • Causa raiz definitiva
  • Lições aprendidas
  • Medidas preventivas implementadas
  • Cronologia completa do incidente
  • Impacto total nos serviços
  • Custos estimados (se aplicável)

Documentação completa:

O relatório final deve fornecer uma visão abrangente do incidente, incluindo todas as ações tomadas desde a deteção até à resolução, e as medidas implementadas para prevenir incidentes semelhantes no futuro.

Nota importante: Se durante a investigação do incidente forem descobertos novos factos ou a gravidade do incidente se alterar significativamente, as entidades devem atualizar a notificação sem demora.

Novidade 2026: Single Entry Point (SEP)

A Comissão Europeia propôs em janeiro de 2026 uma plataforma única para simplificar as notificações

🔗

Single Entry Point (SEP) da ENISA

Plataforma única gerida pela ENISA para submissão de notificações de incidentes. Esta solução inovadora visa unificar os requisitos de várias legislações europeias, incluindo NIS2, GDPR, DORA, CER e eIDAS, eliminando a necessidade de notificar múltiplas autoridades separadamente.

O objetivo principal é reduzir significativamente a carga administrativa e os custos de conformidade para as organizações, permitindo uma notificação única que é depois distribuída automaticamente pelas autoridades competentes.

🎯 Um só portal

Notifique uma vez para múltiplas regulamentações

📉 Menos burocracia

Redução de duplicação de esforços

Maior eficiência

Formulários harmonizados e simplificados

🤝 Coordenação melhorada

Comunicação automática entre autoridades

Nota: O Single Entry Point é uma proposta do Digital Omnibus Package de janeiro de 2026 e ainda está sujeita a aprovação. Até à sua implementação, as entidades devem continuar a notificar através dos canais atuais do CNCS.
Saber mais sobre Digital Omnibus 2026 →

O que deve ser notificado

Nem todos os incidentes requerem notificação. Conheça os tipos de incidentes que obrigam a comunicação ao CNCS.

🔒 Incidentes de segurança em redes e sistemas de informação

Qualquer evento que comprometa a disponibilidade, autenticidade, integridade ou confidencialidade de dados armazenados, transmitidos ou processados, ou dos serviços oferecidos por redes e sistemas de informação.

Exemplos:

  • Falhas de segurança que resultem em acesso não autorizado
  • Modificação não autorizada de dados ou sistemas
  • Indisponibilidade prolongada de serviços críticos
  • Comprometimento de sistemas de backup
  • Deteção de malware em sistemas críticos

Ataques cibernéticos (bem-sucedidos ou tentados)

Qualquer ação maliciosa ou tentativa de comprometer a segurança de redes e sistemas de informação, independentemente do seu sucesso.

Tipos de ataques notificáveis:

  • Ransomware: Cifragem de dados com pedido de resgate
  • DDoS: Ataques de negação de serviço distribuído
  • Phishing/Spear-phishing: Que resultem em compromisso
  • APT (Advanced Persistent Threats): Ataques persistentes avançados
  • SQL Injection: Exploração de vulnerabilidades de bases de dados
  • Zero-day exploits: Exploração de vulnerabilidades desconhecidas

🔓 Violações de dados pessoais

Violações de segurança que resultem na destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais.

Atenção: As violações de dados pessoais também devem ser notificadas à CNPD (Comissão Nacional de Proteção de Dados) no prazo de 72 horas, conforme o RGPD.

Informação a incluir:

  • Categorias e número aproximado de titulares afetados
  • Categorias e número aproximado de registos afetados
  • Potenciais consequências da violação
  • Medidas tomadas para mitigar efeitos adversos
  • Contacto do Encarregado de Proteção de Dados (DPO)

⚙️ Interrupções de serviços essenciais

Qualquer interrupção significativa na prestação de serviços essenciais ou importantes, causada por incidentes de cibersegurança.

Critérios de notificação:

  • Duração da interrupção superior ao limite estabelecido
  • Número de utilizadores afetados acima do limiar
  • Impacto significativo nas atividades económicas ou sociais
  • Impossibilidade de prestação de serviços alternativos
  • Consequências para a segurança pública
Nota: Os limiares específicos de notificação podem variar consoante o setor e a classificação da entidade (essencial vs. importante).

🔗 Incidentes na cadeia de abastecimento

Incidentes de cibersegurança que afetem fornecedores diretos ou prestadores de serviços e que tenham impacto nos sistemas ou serviços da entidade.

Situações notificáveis:

  • Comprometimento de fornecedor de serviços cloud crítico
  • Ataque a fornecedor de software que afete sistemas internos
  • Violação de dados em prestador de serviços com acesso a dados sensíveis
  • Interrupção de serviços de fornecedor essencial
  • Descoberta de backdoors em software de terceiros

Responsabilidade: Mesmo que o incidente tenha origem num terceiro, a entidade abrangida pela NIS2 mantém a responsabilidade de notificação se os seus serviços forem afetados.

📞 CNCS - Centro Nacional de Cibersegurança

O CNCS é a autoridade nacional competente para a notificação de incidentes de cibersegurança no âmbito da NIS2.

🌐
Portal de Notificação

www.cncs.gov.pt
Utilize o portal oficial para submeter notificações de incidentes

✉️
Email de Incidentes

incidentes@cncs.gov.pt
Para notificações urgentes e comunicações oficiais

📱
Linha de Emergência (24/7)

+351 210 012 000
Disponível 24 horas por dia, 7 dias por semana

📍
Morada

Rua de São Mamede ao Caldas, 21
1100-533 Lisboa
Portugal

Importante: Mantenha estes contactos sempre acessíveis e incluídos no seu plano de resposta a incidentes. Recomenda-se testar os canais de comunicação regularmente.

Checklist de informação obrigatória

Utilize esta checklist para garantir que a sua notificação de incidente inclui toda a informação necessária.

Informação a incluir na notificação

Lembre-se: Esta informação pode ser atualizada à medida que a investigação progride. É melhor notificar com informação limitada dentro do prazo do que atrasar a notificação para obter informação completa.

⚠️ Penalizações por incumprimento

O não cumprimento das obrigações de notificação de incidentes está sujeito a sanções administrativas significativas.

Entidades Essenciais

Até €10M

ou 2% da faturação global anual (o que for superior)

Entidades Importantes

Até €7M

ou 1,4% da faturação global anual (o que for superior)

Outras consequências:

  • Sanções regulatórias: Advertências, ordens de conformidade, suspensão temporária de atividades
  • Dano reputacional: Perda de confiança de clientes e parceiros
  • Responsabilidade civil: Possíveis ações judiciais de partes afetadas
  • Perda de certificações: Revogação de certificações de conformidade
  • Exclusão de contratos públicos: Impedimento de participar em concursos públicos
Ver todas as penalizações NIS2

Boas práticas de gestão de incidentes

Prepare a sua organização para responder eficazmente a incidentes de cibersegurança.

📋 Plano de resposta a incidentes

Desenvolva e mantenha atualizado um plano detalhado de resposta a incidentes que inclua:

  • Procedimentos de deteção e análise
  • Cadeia de comando e responsabilidades
  • Protocolos de comunicação interna e externa
  • Modelos de notificação pré-preparados

👥 Equipa de resposta dedicada

Constitua uma equipa de resposta a incidentes (CSIRT) com:

  • Membros de diferentes áreas (IT, legal, comunicação)
  • Formação regular em gestão de incidentes
  • Disponibilidade 24/7 ou esquema de rotatividade
  • Autoridade para tomar decisões críticas

📞 Contactos atualizados

Mantenha uma lista sempre atualizada de contactos:

  • CNCS e outras autoridades competentes
  • Fornecedores críticos e prestadores de serviços
  • Equipas de resposta a incidentes internas
  • Consultores externos especializados

📝 Documentação rigorosa

Implemente processos de documentação que garantam:

  • Registo de todos os eventos e ações
  • Preservação de evidências forenses
  • Cronologia detalhada dos acontecimentos
  • Arquivo seguro de documentação para auditorias

🎯 Testes e simulações

Realize exercícios regulares de simulação:

  • Simulações de incidentes (tabletop exercises)
  • Testes de procedimentos de notificação
  • Verificação de canais de comunicação
  • Avaliação de tempos de resposta

🔄 Melhoria contínua

Aprenda com cada incidente através de:

  • Reuniões de post-mortem após incidentes
  • Análise de lições aprendidas
  • Atualização de procedimentos e playbooks
  • Partilha de conhecimento com a equipa
Aceder a templates de resposta a incidentes

Prepare-se para notificar incidentes

A preparação é fundamental. Não espere por um incidente para começar a preparar os seus processos de notificação.

Ver templates de notificação Requisitos de segurança Recursos adicionais