R

Diagnóstico gratuito

O RJC (DL n.º 125/2025) aplica-se à sua organização?

Em 2 minutos descubra a sua classificação: Entidade Essencial, Entidade Importante, Entidade Pública Relevante ou fora do âmbito. Sem registo. Sem cartão. Sem tratamento de dados pessoais — o diagnóstico corre integralmente no seu navegador.

Atenção: o prazo de registo no MyCiber expirou a 23 de abril de 2026. Entidades abrangidas que ainda não se registaram estão formalmente em incumprimento.

Diagnóstico interactivo

Pergunta 1 de 617%

Qual é o sector primário da sua organização?

Inclui a Administração Pública como categoria PT-específica (RJC art. 7).

Como funciona o RJC em Portugal

O Decreto-Lei n.º 125/2025 aprovou o Regime Jurídico da Cibersegurança (RJC) — o regime português que transpõe a Diretiva NIS 2. Entrou em vigor a 3 de abril de 2026, revoga a Lei n.º 46/2018 e o DL n.º 65/2021 e centraliza toda a interacção com o Estado no Centro Nacional de Cibersegurança (CNCS).

O RJC aplica-se com base em três critérios:

  1. Sector: tem de operar num dos sectores do anexo I (alta criticidade), do anexo II (outros sectores críticos) ou enquadrar-se nas entidades públicas relevantes do art. 7.º (extensão PT).
  2. Dimensão: aplica-se geralmente a médias (≥ 50 colaboradores ou > 10 M € de volume de negócios) e grandes empresas. Pequenas empresas estão geralmente isentas, salvo categorias especiais.
  3. Categorias especiais: DNS, TLD, cloud, centros de dados, CDN e prestadores de serviços de confiança qualificados estão abrangidos independentemente da dimensão.

Se está abrangido, é classificado como Entidade Essencial (grandes empresas no anexo I + categorias especiais), Entidade Importante (médias empresas no anexo I e todas no anexo II) ou Entidade Pública Relevante Grupo A ou B (sector público).

Prazos críticos: registo no MyCiber em 20 dias úteis (já decorrido a 23/04/2026); medidas mínimas do art. 27.º implementadas até 3 de abril de 2027 (não-coimas); plena conformidade até 3 de abril de 2028.

Perguntas frequentes

O que é o RJC e quando entra em vigor?
O Regime Jurídico da Cibersegurança transpõe a Diretiva NIS 2 e foi aprovado pelo anexo ao Decreto-Lei n.º 125/2025, em vigor desde 3 de abril de 2026. Substitui a Lei n.º 46/2018 e o DL n.º 65/2021.
Já passou o prazo de registo no MyCiber — o que faço agora?
O prazo de 20 dias úteis terminou a 23 de abril de 2026. Registe-se imediatamente em myciber.gov.pt e documente o registo. O CNCS tem poderes para aplicar coimas, mas o atraso voluntariamente regularizado é geralmente atenuante. O Reglyze pré-preenche os dados que o MyCiber exige.
Sou pequena empresa mas presto serviços a um hospital público — sou abrangido?
Não directamente. Mas como fornecedor de uma entidade essencial estará sujeito a pressão de conformidade indirecta — questionários, cláusulas contratuais e auditorias. O art. 28.º do RJC obriga os clientes essenciais a gerir o risco da cadeia de fornecimento.
Como difere o RJC da Diretiva NIS 2?
O RJC vai além da NIS 2 em três pontos: (1) cria a categoria PT-específica de "entidades públicas relevantes" Grupo A/B (art. 7.º); (2) centraliza tudo no CNCS (autoridade + CSIRT + autoridade de certificação); (3) prazo de notificação de relatório final é 30 dias úteis pós-impacto (não os 30 dias pós-notificação da Diretiva).
O que é o QNRCS?
O Quadro Nacional de Referência de Cibersegurança é a norma técnica do CNCS prevista no art. 14.º do RJC, com base no NIST CSF 2.0 e a função adicional "Gerir". O regulamento do CNCS ainda está em consulta pública — até à publicação, as medidas do art. 27.º do RJC são o referencial de conformidade.

Comece a avaliação completa em minutos

O diagnóstico diz se está abrangido. A avaliação Reglyze diz exactamente o que tem de fazer para cumprir as 10 medidas do art. 27.º do RJC. Comece gratuitamente.