Como sei se a minha entidade é essencial ou importante?

Cruzamento de dois critérios: (1) sector — pertencer ao anexo I (alta criticidade) ou anexo II (outros sectores críticos) do RJC; (2) dimensão — Entidade Essencial requer ≥ 250 colaboradores OU ≥ 50 M€ de volume de negócios; Entidade Importante cai no escalão médio (50-249 colaboradores ou 10-50 M€). Algumas entidades são essenciais por designação independentemente da dimensão (ex. registos de TLD, prestadores DNS).

A minha PME está fora do âmbito do RJC?

Pequenas empresas (< 50 colaboradores E < 10 M€) tipicamente não caem no âmbito directo do RJC. Mas se prestam serviços a uma entidade essencial, o art. 28.º obriga essa entidade a fazer gestão de risco da cadeia de fornecimento — pelo que recebem cláusulas contratuais e questionários de segurança. A pressão é indirecta mas concreta.

Os hospitais públicos são essenciais ou públicos relevantes?

Ambos. A saúde está no anexo I (essencial) e os hospitais públicos integram simultaneamente a categoria PT-específica de entidade pública relevante (art. 7.º). Acumulam as obrigações privadas com as obrigações de transparência e prestação de contas próprias do sector público.

Os municípios estão no âmbito do RJC?

Sim — através da categoria PT-específica de entidade pública relevante (art. 7.º RJC), Grupo A ou Grupo B conforme dimensão. As câmaras municipais devem registar-se no MyCiber, cumprir as medidas do art. 27.º e notificar incidentes ao CNCS.

O que significa entidade essencial por designação?

Algumas categorias do anexo I são essenciais independentemente da dimensão da empresa: prestadores de serviços fiduciários qualificados, registos de nomes de TLD, prestadores DNS, fornecedores de redes públicas de comunicações electrónicas, entidades da administração pública central — entre outras. O art. 4.º do RJC enumera os casos.

Reglyze

Âmbito do RJC — art. 4.º + art. 7.º

Entidades Essenciais, Importantes e Públicas Relevantes

Q: A minha PME está fora do âmbito do RJC?

Pequenas empresas (< 50 colaboradores E < 10 M€) tipicamente não caem no âmbito directo do RJC. Mas se prestam serviços a uma entidade essencial, o art. 28.º obriga essa entidade a fazer gestão de risco da cadeia de fornecimento — pelo que recebem cláusulas contratuais e questionários de segurança. A pressão é indirecta mas concreta.

Q: Os hospitais públicos são essenciais ou públicos relevantes?

Ambos. A saúde está no anexo I (essencial) e os hospitais públicos integram simultaneamente a categoria PT-específica de entidade pública relevante (art. 7.º). Acumulam as obrigações privadas com as obrigações de transparência e prestação de contas próprias do sector público.

Q: Os municípios estão no âmbito do RJC?

Sim — através da categoria PT-específica de entidade pública relevante (art. 7.º RJC), Grupo A ou Grupo B conforme dimensão. As câmaras municipais devem registar-se no MyCiber, cumprir as medidas do art. 27.º e notificar incidentes ao CNCS.

Q: O que significa entidade essencial por designação?

Algumas categorias do anexo I são essenciais independentemente da dimensão da empresa: prestadores de serviços fiduciários qualificados, registos de nomes de TLD, prestadores DNS, fornecedores de redes públicas de comunicações electrónicas, entidades da administração pública central — entre outras. O art. 4.º do RJC enumera os casos.

A primeira pergunta de qualquer operador português: "estou abrangido pelo Regime Jurídico da Cibersegurança"? O cruzamento do sector (anexo I ou II do RJC) com a dimensão da entidade determina a classificação — Essencial, Importante, Pública Relevante ou fora do âmbito. Esta página explica os critérios e mostra como o diagnóstico Reglyze devolve a sua categoria em 2 minutos.

As três categorias do RJC

Entidade Essencial
Grandes empresas (≥ 250 colaboradores OU ≥ 50 M€ de volume de negócios) em sectores do anexo I do RJC. Os arts. 27.º e 39.º aplicam-se na sua versão mais exigente, com supervisão ex ante reforçada.
Coima máxima
Até 10 M€ ou 2 % do volume de negócios mundial
Supervisão
Ex ante (proactiva — CNCS pode auditar a qualquer momento)
art. 4.º n.º 1 al. a) RJC + Diretiva NIS 2 art. 3.º
Exemplos
- Distribuidoras de energia eléctrica
- Operadores de transporte ferroviário
- Bancos universais
- Hospitais privados de grandes grupos
- Companhias de águas urbanas (ex. Águas de Portugal)
- Operadores de telecomunicações
Entidade Importante
Médias empresas (50-249 colaboradores OU 10-50 M€) em sectores do anexo I ou II, e grandes empresas em sectores do anexo II. Mesmas medidas mínimas do art. 27.º mas supervisão menos intensa.
Coima máxima
Até 7 M€ ou 1,4 % do volume de negócios mundial
Supervisão
Ex post (reactiva — após incidente ou alerta)
art. 4.º n.º 1 al. b) RJC + Diretiva NIS 2 art. 3.º n.º 2
Exemplos
- PMEs em sectores essenciais (água, saúde, energia)
- Operadores de centro de dados independentes
- Indústria química
- Fabricantes de dispositivos médicos
- Plataformas digitais não-essenciais
- Empresas de gestão de resíduos
Entidade Pública Relevante
Categoria PT-específica do art. 7.º RJC. Inclui municípios, hospitais públicos, IPSS relevantes, universidades públicas — divididos em Grupos A (maior dimensão) e B (menor dimensão). Mesmas obrigações operacionais que entidades essenciais / importantes.
Coima máxima
Sanções administrativas conforme tabela CNCS
Supervisão
Grupo A: ex ante · Grupo B: ex post
art. 7.º RJC (extensão nacional — não previsto na Diretiva)
Exemplos
- Câmaras municipais (308 + 11 nas Regiões Autónomas)
- Hospitais EPE e ULS — Unidades Locais de Saúde
- Universidades públicas (UL, UP, UC, UNL, UM, UA…)
- Politécnicos públicos
- Santas Casas da Misericórdia relevantes
- Institutos públicos da administração indirecta

Critérios de dimensão

A Recomendação 2003/361/CE define as três categorias usadas pelo RJC. Cumpra um dos limiares para enquadrar na categoria correspondente:

Categoria	Colaboradores	Volume de negócios OU balanço
Grande empresa	≥ 250	> 50 M€ OU balanço > 43 M€
Média empresa	50-249	≤ 50 M€ OU balanço ≤ 43 M€
Pequena empresa	10-49	≤ 10 M€ OU balanço ≤ 10 M€
Microempresa	< 10	< 2 M€ OU balanço < 2 M€

Regra prática: Grande empresa em anexo I → essencial. Média empresa em anexo I/II → importante. Grande empresa em anexo II → importante. Pequena ou microempresa em qualquer anexo → fora do âmbito directo (mas potencialmente sujeita a pressão indirecta — ver secção abaixo).

Sectores — anexo I vs anexo II do RJC

Anexo I — Alta criticidade

11 sectores

· Energia (eléctrica, gás, petróleo, hidrogénio, aquecimento urbano)
· Transportes (aéreo, ferroviário, fluvial, rodoviário)
· Banca
· Infra-estruturas dos mercados financeiros
· Saúde (hospitais, fabricantes de dispositivos médicos)
· Água potável
· Águas residuais
· Infra-estruturas digitais (DNS, IXP, data centers, cloud)
· Gestão de serviços TIC B2B (MSP, MSSP)
· Administração pública (central e regional)
· Espaço

Anexo II — Outros sectores críticos

7 sectores

· Serviços postais e de correios
· Gestão de resíduos
· Fabrico, produção e distribuição de produtos químicos
· Produção, transformação e distribuição de alimentos
· Indústria (manufactura)
· Prestadores de serviços digitais (motores de pesquisa, redes sociais, mercados em linha)
· Investigação

Extensão PT-específica: além dos dois anexos, o RJC cria uma terceira categoria de entidade pública relevante (art. 7.º) que abrange municípios, hospitais públicos, universidades públicas e algumas IPSS — ver página dedicada à Administração Pública.

Está fora do âmbito? Talvez não.

Mesmo que a sua entidade não caia directamente no âmbito do RJC (microempresa ou pequena empresa que não preste serviços essenciais), pode estar sujeita a pressão indirecta através da cadeia de fornecimento.

Fornecedor relevante de uma entidade essencial (art. 28.º RJC)

O art. 28.º do RJC obriga as entidades essenciais a fazer gestão de risco da cadeia de fornecimento. Se presta serviços TIC ou outros serviços críticos a um banco, um hospital ou uma utility portuguesa, vai receber:

· Questionários de segurança da informação para preencher periodicamente;
· Cláusulas contratuais obrigatórias de cibersegurança;
· Pedidos de auditoria de terceiros independentes;
· Obrigações de notificação de incidentes ao cliente em 24 h.

Isto significa que a postura de segurança não-formal aceitável até 2025 deixa de ser uma opção viável para empresas que vendam B2B ao sector regulado em Portugal.

Resumo — fluxo de decisão

1. O sector da minha entidade está no anexo I ou II do RJC?
- Não → potencialmente fora do âmbito directo; vá para o passo 4.
- Sim → continue.
2. Cumpro os critérios de média ou grande empresa (≥ 50 colaboradores OU ≥ 10 M€)?
- Não → pequena ou microempresa, tipicamente fora do âmbito directo.
- Sim → continue.
3. Sector no anexo I + grande empresa → Entidade Essencial. Sector no anexo II ou média empresa → Entidade Importante.
4. Sou entidade pública? Sim → ver categoria entidade pública relevante (art. 7.º RJC, Grupos A ou B).
5. Presto serviços críticos a uma entidade essencial portuguesa? Sim → fornecedor relevante (pressão indirecta via art. 28.º).

Deixe a Reglyze fazer o cruzamento por si. O diagnóstico interactivo faz as 6 perguntas certas e devolve a sua classificação em 2 minutos, com a base legal explícita.

Perguntas frequentes

Como sei se a minha entidade é essencial ou importante?: Cruzamento de dois critérios: (1) sector — pertencer ao anexo I ou anexo II do RJC; (2) dimensão — Entidade Essencial requer ≥ 250 colaboradores OU ≥ 50 M€ de volume de negócios; Entidade Importante cai no escalão médio (50-249 colaboradores ou 10-50 M€). Algumas entidades são essenciais por designação independentemente da dimensão (registos de TLD, prestadores DNS).
A minha PME está fora do âmbito do RJC?: Pequenas empresas (< 50 colaboradores E < 10 M€) tipicamente não caem no âmbito directo do RJC. Mas se prestam serviços a uma entidade essencial, o art. 28.º obriga essa entidade a fazer gestão de risco da cadeia de fornecimento — pelo que recebem cláusulas contratuais e questionários de segurança. A pressão é indirecta mas concreta.
Os hospitais públicos são essenciais ou públicos relevantes?: Ambos. A saúde está no anexo I (essencial) e os hospitais públicos integram simultaneamente a categoria PT-específica de entidade pública relevante (art. 7.º). Acumulam as obrigações privadas com as obrigações de transparência e prestação de contas próprias do sector público.
Os municípios estão no âmbito do RJC?: Sim — através da categoria PT-específica de entidade pública relevante (art. 7.º RJC), Grupo A ou Grupo B conforme dimensão. As câmaras municipais devem registar-se no MyCiber, cumprir as medidas do art. 27.º e notificar incidentes ao CNCS.
O que significa "entidade essencial por designação"?: Algumas categorias do anexo I são essenciais independentemente da dimensão da empresa: prestadores de serviços fiduciários qualificados, registos de nomes de TLD, prestadores DNS, fornecedores de redes públicas de comunicações electrónicas, entidades da administração pública central — entre outras. O art. 4.º do RJC enumera os casos.

Recursos relacionados

Descubra a sua categoria em 2 minutos

O diagnóstico Reglyze faz as 6 perguntas certas (sector, dimensão, classificação especial, status MyCiber, fornecedor relevante) e devolve a sua categoria com a base legal explícita. Sem cartão de crédito.