O quadro nacional que torna a NIS 2 mensurável em Portugal é o QNRCS — Quadro Nacional de Referência para a Cibersegurança. O QNRCS é o quadro de referência do CNCS que apoia as organizações na gestão do risco de cibersegurança, estabelecendo requisitos mínimos e boas práticas para uma abordagem sistemática e progressiva.
Estado do quadro: Disponível; esquema de certificação de conformidade EC QNRCS com três níveis (Básico, Substancial, Avançado).
Decreto-Lei n.º 125/2025 — Regime Jurídico da Cibersegurança (RJC)
Em vigor desde: 2026-04-03
Centro Nacional de Cibersegurança (CNCS)
https://www.cncs.gov.ptQNRCS — Quadro Nacional de Referência para a Cibersegurança
Cinco funções essenciais — Identificar, Proteger, Detetar, Responder, Recuperar — e três níveis de certificação cumulativos (Básico, Substancial, Avançado).
Grandes organizações em setores de elevada criticidade (Anexo I) e operadores de serviços essenciais. Supervisão reforçada pelo CNCS.
Organizações de média dimensão nos setores do Anexo I e organizações dos setores do Anexo II.
Regime anterior: SRSI / Lei n.º 46/2018 (NIS 1). O CNCS não publica um número total fixo de entidades abrangidas; o universo é determinado pela autoidentificação no MyCiber.
2025-12-04
Publicação do Decreto-Lei n.º 125/2025 no Diário da República.
2026-04-03
Entrada em vigor do RJC — 120 dias após a publicação. O CNCS é a autoridade nacional de cibersegurança e o ponto de contacto único.
2026-05-04
Prazo para as entidades já em atividade designarem e comunicarem ao CNCS o responsável pela cibersegurança e o ponto de contacto permanente (20 dias úteis após a entrada em vigor — arts. 31.º n.º 4 e 32.º n.º 4 do RJC). Obrigação distinta do registo MyCiber.
2026-06-22
Publicação do Regulamento n.º 756/2026 do CNCS (DR 2.ª série, n.º 118; em vigor a 23 de junho): disponibiliza a plataforma MyCiber e publica o QNRCS v2 (Anexo I, alinhado com o NIST CSF 2.0), a matriz de risco (Anexo II) e as medidas mínimas por nível básico/substancial/elevado (Anexos III e IV).
2026-08-21
Fecho da janela de registo MyCiber para entidades já em atividade a 3 de abril de 2026: 60 dias a contar da disponibilização da plataforma (Regulamento n.º 756/2026, art. 8.º n.º 1), em leitura prudente de dias de calendário. Novas entidades: 30 dias a contar do início de atividade.
2028-06-22
As obrigações dos arts. 27.º a 30.º e 33.º do RJC (medidas de segurança, cadeia de fornecimento, risco residual, relatório anual) e as coimas correspondentes produzem efeitos 24 meses após o Regulamento de execução (Regulamento n.º 756/2026, art. 10.º n.º 2).
Notificação de incidentes: 24 h (alerta precoce) / 72 h (notificação) / 1 mês (relatório final), ao CERT.PT (CNCS).
A administração pública central e local está claramente abrangida pelo RJC. Os municípios e organismos que prestam serviços aos cidadãos registam-se no MyCiber e designam um responsável pela cibersegurança notificado ao CNCS.
Os operadores de serviços essenciais — energia, água, transportes, saúde — integram o nível de entidades essenciais do RJC, frequentemente apoiando-se no esquema de certificação QNRCS (Básico, Substancial, Avançado).
Fornecedores de cloud, centros de dados, prestadores de serviços geridos e operadores de serviços digitais estão abrangidos, muitas vezes independentemente da dimensão para os serviços de categoria especial.
Última verificação: 2026-07-01 · próxima reverificação prevista após 2026-10-01.