Diagnóstico gratuito

O RJC (DL n.º 125/2025) aplica-se à sua organização?

Em 2 minutos descubra a sua classificação: Entidade Essencial, Entidade Importante, Entidade Pública Relevante ou fora do âmbito. Sem registo. Sem cartão. Sem tratamento de dados pessoais — o diagnóstico corre integralmente no seu navegador.

Atenção: a plataforma MyCiber está aberta desde 22 de junho de 2026 e a janela de registo para entidades já em atividade fecha a 21 de agosto de 2026 (leitura prudente do Regulamento n.º 756/2026). Registe-se com folga.

Diagnóstico interactivo

Pergunta 1 de 617%

Qual é o sector primário da sua organização?

Inclui a Administração Pública como categoria PT-específica (RJC art. 7).

Como funciona o RJC em Portugal

O Decreto-Lei n.º 125/2025 aprovou o Regime Jurídico da Cibersegurança (RJC) — o regime português que transpõe a Diretiva NIS 2. Entrou em vigor a 3 de abril de 2026, revoga a Lei n.º 46/2018 e o DL n.º 65/2021 e centraliza toda a interacção com o Estado no Centro Nacional de Cibersegurança (CNCS).

O RJC aplica-se com base em três critérios:

  1. Sector: tem de operar num dos sectores do anexo I (alta criticidade), do anexo II (outros sectores críticos) ou enquadrar-se nas entidades públicas relevantes do art. 7.º (extensão PT).
  2. Dimensão: aplica-se geralmente a médias (≥ 50 colaboradores ou > 10 M € de volume de negócios) e grandes empresas. Pequenas empresas estão geralmente isentas, salvo categorias especiais.
  3. Categorias especiais: DNS, TLD, cloud, centros de dados, CDN e prestadores de serviços de confiança qualificados estão abrangidos independentemente da dimensão.

Se está abrangido, é classificado como Entidade Essencial (grandes empresas no anexo I + categorias especiais), Entidade Importante (médias empresas no anexo I e todas no anexo II) ou Entidade Pública Relevante Grupo A ou B (sector público).

Prazos críticos: registo no MyCiber em 20 dias úteis (já decorrido a 23/04/2026); medidas mínimas do art. 27.º implementadas até 3 de abril de 2027 (não-coimas); plena conformidade até 3 de abril de 2028.

Perguntas frequentes

O que é o RJC e quando entra em vigor?
O Regime Jurídico da Cibersegurança transpõe a Diretiva NIS 2 e foi aprovado pelo anexo ao Decreto-Lei n.º 125/2025, em vigor desde 3 de abril de 2026. Substitui a Lei n.º 46/2018 e o DL n.º 65/2021.
Até quando me posso registar no MyCiber?
A plataforma abriu a 22 de junho de 2026. Entidades já em atividade têm 60 dias a contar da disponibilização (Regulamento n.º 756/2026, art. 8.º n.º 1): numa leitura prudente, até 21 de agosto de 2026. O CNCS referiu 60 dias úteis, mas sem data oficial publicada, pelo que não deve contar com essa folga. Registe-se já em myciber.gov.pt e documente o registo. O Reglyze pré-preenche os dados que o MyCiber exige.
Sou pequena empresa mas presto serviços a um hospital público — sou abrangido?
Não directamente. Mas como fornecedor de uma entidade essencial estará sujeito a pressão de conformidade indirecta — questionários, cláusulas contratuais e auditorias. O art. 28.º do RJC obriga os clientes essenciais a gerir o risco da cadeia de fornecimento.
Como difere o RJC da Diretiva NIS 2?
O RJC vai além da NIS 2 em três pontos: (1) cria a categoria PT-específica de "entidades públicas relevantes" Grupo A/B (art. 7.º); (2) centraliza tudo no CNCS (autoridade + CSIRT + autoridade de certificação); (3) prazo de notificação de relatório final é 30 dias úteis pós-impacto (não os 30 dias pós-notificação da Diretiva).
O que é o QNRCS?
O Quadro Nacional de Referência de Cibersegurança é a norma técnica do CNCS prevista no art. 14.º do RJC, com base no NIST CSF 2.0 e a função adicional "Gerir". O regulamento do CNCS ainda está em consulta pública — até à publicação, as medidas do art. 27.º do RJC são o referencial de conformidade.

Comece a avaliação completa em minutos

O diagnóstico diz se está abrangido. A avaliação Reglyze diz exactamente o que tem de fazer para cumprir as 10 medidas do art. 27.º do RJC. Comece gratuitamente.