R

Administração Pública — RJC art. 7.º

NIS 2 / RJC para a Administração Pública portuguesa

Portugal cria, no art. 7.º do Regime Jurídico da Cibersegurança (DL n.º 125/2025), uma categoria nacional que estende a NIS 2 para além do sector privado: entidades públicas relevantes, divididas em Grupo A e Grupo B. Municípios, hospitais públicos, universidades públicas e algumas IPSS estão obrigadas a registar-se no MyCiber, cumprir as medidas mínimas do art. 27.º e notificar incidentes ao CNCS — exactamente como as grandes empresas privadas essenciais.

Esta extensão é PT-específica. A Diretiva NIS 2 (UE) 2022/2555 abrange administração pública central / regional apenas; o RJC português alarga ao poder local e a entidades de utilidade pública (Grupo B) — escolha legislativa nacional que outras transposições europeias não fizeram.

Grupo A vs Grupo B — o que muda?

O Grupo A agrega entidades de maior dimensão e criticidade: administração central directa e indirecta, autarquias acima de um limiar de dimensão a fixar por Regulamento CNCS, hospitais públicos, universidades públicas estruturantes. Equiparadas a Entidades Essenciais em termos de obrigações (art. 27.º RJC) e supervisão (ex ante).

O Grupo B agrega entidades menores ou de função pública delegada: autarquias menores, algumas IPSS relevantes, fundações com utilidade pública. Sujeitas às mesmas medidas do art. 27.º mas com supervisão ex post (menos intensa) e proporcionalidade reforçada na aplicação dos controlos.

Aguarda Regulamento CNCS: a tabela definitiva de critérios para classificação Grupo A vs Grupo B ainda aguarda publicação. Até lá, a Reglyze faz a auto-qualificação provisória através do diagnóstico — útil para o registo MyCiber e para alinhar a equipa interna.

Quem está abrangido?

  • Municípios e câmaras municipais

    Autarquias locais. Sujeitas a registo MyCiber e cumprimento do art. 27.º RJC. A classificação Grupo A vs Grupo B depende da dimensão da população e dos serviços que prestam digitalmente.

    • Câmaras municipais (308 em Portugal continental + 11 nas Regiões Autónomas)
    • Juntas de freguesia com presença digital significativa
    • Comunidades intermunicipais (CIM) e áreas metropolitanas

  • Hospitais públicos e SNS

    Saúde tem dupla classificação — anexo I do RJC (sector essencial) E entidades públicas relevantes (art. 7.º). Os hospitais públicos cumulam obrigações privadas (essencial) com obrigações públicas (transparência, prestação de contas).

    • Hospitais EPE e ULS — Unidades Locais de Saúde
    • ACES — Agrupamentos de Centros de Saúde
    • Institutos públicos do MS — INSA, Infarmed, INEM

  • Universidades e politécnicos públicos

    Instituições de ensino superior públicas — universidades e politécnicos. Quando prestam serviços de investigação relevantes para sectores essenciais (saúde, energia, defesa), podem acumular classificação ao abrigo do anexo II.

    • Universidades públicas (UL, UP, UC, UNL, UM, UA, UE, UTAD, UÉ, etc.)
    • Politécnicos públicos (IPL, IPP, IPC, IPCB, IPCA, etc.)
    • Institutos públicos de investigação — LIP, IST/INESC, FCT-UNL

  • IPSS e entidades de utilidade pública

    Algumas IPSS e entidades de utilidade pública (Misericórdias, associações mutualistas relevantes, fundações) podem cair no Grupo B conforme tabela do CNCS. Critério: dimensão, dependência do orçamento de Estado, função pública prestada.

    • Santa Casa da Misericórdia (algumas, conforme dimensão)
    • Mutualistas com função pública delegada
    • Fundações públicas e privadas com utilidade pública

Obrigações operacionais

Independentemente do Grupo A ou B, as entidades públicas relevantes têm as mesmas obrigações concretas que as entidades essenciais e importantes do sector privado:

  1. 1. Registo na plataforma MyCiber — em 20 dias úteis a partir do enquadramento (art. 8.º n.º 5 RJC). O ponto de contacto operacional permanente e o responsável de cibersegurança devem ser designados (art. 8.º n.º 6).
  2. 2. Medidas mínimas do art. 27.º RJC — políticas de segurança, gestão de incidentes, continuidade, segurança da cadeia de fornecimento, criptografia, controlo de acessos, formação, governação. Aplicadas com proporcionalidade à dimensão da entidade.
  3. 3. Notificação de incidentes ao CNCS — 24 h / 72 h / 30 dias úteis após fim de impacto (arts. 42.º a 44.º RJC). Para municípios e hospitais, articula com a Provedoria quando houver impacto em direitos dos cidadãos.
  4. 4. Avaliação periódica de eficácia (art. 39.º RJC) — exercício anual de tabletop é a forma mais prática e barata de gerar evidência auditável.
  5. 5. Formação do órgão de direção — Vereador com pelouro, Direcção Clínica, Conselho de Reitoria. O art. 21.º (NIS 2 art. 20.º) impõe formação específica e responsabilidade pessoal.

Concursos públicos — exigências de cibersegurança

Uma das alavancas mais práticas do RJC para a Administração Pública é a passagem das exigências para os concursos públicos. Quando a entidade adjudicante compra serviços TIC ou contrata fornecedores cuja indisponibilidade afecta serviços críticos, as peças do concurso passam a exigir comprovação de cibersegurança ao fornecedor:

  • Certificação ISO/IEC 27001 ou alinhamento demonstrável com NIST CSF 2.0 / QNRCS;
  • Cláusulas de notificação de incidentes ao adjudicatário dentro de 24 h;
  • Demonstração de plano de continuidade e RTO/RPO compatível com o serviço público;
  • Auditoria por terceiro independente quando o impacto for considerável.

O contrato resultante do concurso público é a evidência preferencial para o controlo do art. 27.º al. d) RJC (segurança da cadeia de fornecimento). A Reglyze tem um campo dedicado "contrato resultante de concurso público" no módulo de fornecedores — adequado à realidade documental da Administração Pública.

Como a Reglyze adapta o produto à Administração Pública

A Reglyze inclui um modo Administração Pública activado automaticamente para entidades que se classificam como entidade pública relevante no diagnóstico. Adaptações:

  • Atributos próprios da AP — tipo de entidade (município / hospital / IPSS / universidade), papel signatário (Presidente de Câmara / Direcção Clínica / Reitoria), entidade de fiscalização (Tribunal de Contas / Inspecção-Geral de Finanças / IGAS / Inspecção-Geral de Ensino Superior).
  • Pistas de evidência específicas — campos pré-preenchidos para anexar contratos resultantes de concursos públicos no módulo de fornecedores; lembrete da anuidade da publicidade no portal BASE.gov.pt.
  • Relatórios para o órgão político — relatório trimestral pronto para ser apresentado em sessão de Câmara, Conselho de Administração ou Conselho de Reitoria, com linguagem alinhada às expectativas do escalão político.
  • Capa institucional — relatórios e certificados gerados em formato adequado ao arquivo público, com referência ao Sistema de Gestão Documental se exportados.

Recursos relacionados

Diagnóstico para entidades públicas relevantes

O diagnóstico Reglyze reconhece a categoria Administração Pública e devolve um veredicto adaptado ao art. 7.º RJC. Confirme em 2 minutos se a sua entidade está enquadrada como Grupo A ou B.