Reglyze
← Voltar ao Reglyze
Transposta e aplicável

NIS 2 em Portugal: QNRCS — Quadro Nacional de Referência para a Cibersegurança

O quadro nacional que torna a NIS 2 mensurável em Portugal é o QNRCS — Quadro Nacional de Referência para a Cibersegurança. O QNRCS é o quadro de referência do CNCS que apoia as organizações na gestão do risco de cibersegurança, estabelecendo requisitos mínimos e boas práticas para uma abordagem sistemática e progressiva.

Estado do quadro: Disponível; esquema de certificação de conformidade EC QNRCS com três níveis (Básico, Substancial, Avançado).

O essencial num relance

Lei de transposição

Decreto-Lei n.º 125/2025 — Regime Jurídico da Cibersegurança (RJC)

Em vigor desde: 2026-04-03

Autoridade competente

Centro Nacional de Cibersegurança (CNCS)

https://www.cncs.gov.pt
Quadro nacional

QNRCS — Quadro Nacional de Referência para a Cibersegurança

Cinco funções essenciais — Identificar, Proteger, Detetar, Responder, Recuperar — e três níveis de certificação cumulativos (Básico, Substancial, Avançado).

Coimas
  • entidades essenciais : até 10 M€ ou 2 % do volume de negócios mundial
  • entidades importantes : até 7 M€ ou 1.4 % do volume de negócios mundial

Quem está abrangido?

entidades essenciais

Grandes organizações em setores de elevada criticidade (Anexo I) e operadores de serviços essenciais. Supervisão reforçada pelo CNCS.

entidades importantes

Organizações de média dimensão nos setores do Anexo I e organizações dos setores do Anexo II.

Regime anterior: SRSI / Lei n.º 46/2018 (NIS 1). O CNCS não publica um número total fixo de entidades abrangidas; o universo é determinado pela autoidentificação no MyCiber.

Prazos principais

2025-12-04

Publicação do Decreto-Lei n.º 125/2025 no Diário da República.

2026-04-03

Entrada em vigor do RJC — 120 dias após a publicação. O CNCS é a autoridade nacional de cibersegurança e o ponto de contacto único.

2026-05-04

Prazo para as entidades já em atividade designarem e notificarem ao CNCS o responsável pela cibersegurança (20 dias úteis após a entrada em vigor).

Notificação de incidentes: 24 h (alerta precoce) / 72 h (notificação) / 1 mês (relatório final), ao CERT.PT (CNCS).

Setores prioritários

Administração pública e municípios

A administração pública central e local está claramente abrangida pelo RJC. Os municípios e organismos que prestam serviços aos cidadãos registam-se no MyCiber e designam um responsável pela cibersegurança notificado ao CNCS.

Energia, água e infraestruturas críticas

Os operadores de serviços essenciais — energia, água, transportes, saúde — integram o nível de entidades essenciais do RJC, frequentemente apoiando-se no esquema de certificação QNRCS (Básico, Substancial, Avançado).

Serviços digitais e fornecedores de TIC

Fornecedores de cloud, centros de dados, prestadores de serviços geridos e operadores de serviços digitais estão abrangidos, muitas vezes independentemente da dimensão para os serviços de categoria especial.

Perguntas frequentes

Qual é a lei portuguesa que transpõe a NIS2?
O Decreto-Lei n.º 125/2025, que aprova o Regime Jurídico da Cibersegurança (RJC). Foi publicado em 4 de dezembro de 2025 e está em vigor desde 3 de abril de 2026. O CNCS é a autoridade nacional de cibersegurança e o ponto de contacto único.
Como é que as entidades se registam (MyCiber)?
As entidades identificam-se e registam-se na plataforma MyCiber do CNCS (myciber.gov.pt) — até 30 dias após o início de atividade, ou até 60 dias após a disponibilização da plataforma para entidades já em atividade. As entidades essenciais e importantes já em atividade devem designar e notificar ao CNCS o responsável pela cibersegurança até 4 de maio de 2026.
O que é o QNRCS?
O QNRCS (Quadro Nacional de Referência para a Cibersegurança) é o quadro de referência do CNCS, organizado em cinco funções — Identificar, Proteger, Detetar, Responder, Recuperar — com um esquema de certificação de conformidade (EC QNRCS) nos níveis Básico, Substancial e Avançado. Dá às organizações uma forma estruturada de implementar e demonstrar os requisitos do RJC.
Quais são as coimas do RJC?
O RJC estabelece coimas escalonadas: infrações leves de € 875 a € 45.000 para pessoas coletivas, até tetos de € 10 milhões ou 2 % do volume de negócios mundial para as infrações mais graves. A prescrição é de 3 anos para infrações leves e de 5 anos para infrações graves e muito graves.

Fontes oficiais

Última verificação: 2026-06-01 · próxima reverificação prevista após 2026-09-01.

Pronto para ficar em conformidade com a NIS 2 em Portugal?

O Reglyze usa IA para o tornar conforme de forma simples e rápida — definição de âmbito, análise de lacunas e geração de políticas alinhadas com o QNRCS — Quadro Nacional de Referência para a Cibersegurança.