R

Notificação de incidente — RJC arts. 42.º a 44.º

Notificação de incidente ao CNCS

Em caso de incidente significativo, o Regime Jurídico da Cibersegurança (DL n.º 125/2025) impõe uma linha temporal estrita às entidades essenciais, importantes e públicas relevantes: notificação inicial em 24 horas, notificação detalhada em 72 horas, e relatório final em 30 dias úteis contados a partir do fim do impacto significativo. Esta página resume cada fase, cita a base legal e explica como a Reglyze prepara o pacote sem substituir o seu acto de submissão.

Atenção — deviação PT importante: o relatório final é devido 30 dias úteis após a notificação de fim de impacto significativo (art. 44.º n.º 1 RJC), e não "1 mês após a notificação inicial" como a Diretiva NIS 2 lê literalmente. Esta diferença pode dar semanas extras a equipas com incidentes longos — mas exige documentação rigorosa do momento exacto em que o impacto cessa.

Linha temporal completa

  1. 1

    Notificação inicial

    24 horas após tomada de conhecimento

    Comunicação imediata ao CNCS de que está em curso um incidente significativo. Deve indicar a natureza preliminar do incidente, se há suspeita de causa maliciosa e o impacto inicial estimado.

    art. 42.º n.º 1 al. a) RJC + art. 23.º n.º 4 al. a) NIS 2

  2. 2

    Notificação detalhada

    72 horas após tomada de conhecimento

    Actualização da notificação inicial com avaliação do incidente, severidade, impacto efectivo e, quando possível, indicadores de compromisso. Pode incluir pedido de assistência ao CSIRT Nacional.

    art. 42.º n.º 1 al. b) RJC + art. 23.º n.º 4 al. b) NIS 2

  3. 3

    Notificação de fim de impacto significativo

    Sem prazo numérico (ancora o relatório final)

    Quando o impacto significativo termina, a entidade notifica o CNCS desse facto. Esta notificação é o ponto-de-partida do clock dos 30 dias úteis para o relatório final.

    art. 42.º n.º 1 al. c) RJC

  4. 4

    Relatório final

    30 dias úteis após notificação de fim de impacto

    Análise pós-incidente: descrição detalhada, severidade, impacto, vector de ataque, medidas adoptadas e em curso. Quando o incidente continua para além dos 30 dias úteis após notificação de fim de impacto, é apresentado um relatório de progresso e um relatório final no prazo de um mês a contar do tratamento do incidente.

    art. 44.º n.º 1 RJC (deviação PT vs. art. 23.º n.º 4 al. d) NIS 2)

O que conta como "incidente significativo"?

O art. 41.º do RJC + as orientações do CNCS definem o limiar. Em geral, um incidente é significativo quando:

  • Tenha causado, ou seja susceptível de causar, perturbação operacional grave dos serviços ou prejuízo financeiro à entidade;
  • Tenha afectado, ou seja susceptível de afectar, outras pessoas singulares ou colectivas, causando danos materiais ou morais consideráveis;
  • Envolva dados pessoais protegidos (caso em que a notificação dupla à CNPD também se aplica nos termos do art. 33.º do RGPD — ver secção dedicada abaixo).

Incidentes menores (impacto contido, recuperados sem perturbação grave) não exigem notificação à CNCS, mas devem ser registados internamente como evidência da gestão de risco prevista no art. 27.º al. e) do RJC.

Articulação com o CSIRT Nacional

O CSIRT Nacional integrado no CNCS pode ser accionado para apoio técnico e coordenação operacional. A notificação ao CNCS através da plataforma electrónica (art. 8.º n.º 7 RJC) é o canal único para incidentes; a equipa do CSIRT é envolvida automaticamente em incidentes que afectem infra-estruturas críticas ou que possam ter dimensão transfronteiriça.

Em situações de impacto operacional ou de evidência preservada em equipamentos comprometidos, a entidade pode ainda submeter queixa-crime junto da Polícia Judiciária (Lei do Cibercrime — Lei n.º 109/2009), o que activa a vertente criminal sem dispensar a notificação NIS 2 ao CNCS.

Notificação dupla — RGPD + RJC

Quando o incidente envolver violação de dados pessoais (o caso mais frequente para ransomware, fuga de credenciais, exfiltração de bases de dados), aplicam-se duas notificações independentes:

  • CNCS em 24 horas (notificação inicial) — base legal: art. 42.º RJC.
  • CNPD em 72 horas a partir do conhecimento da violação — base legal: art. 33.º RGPD.

O CNCS e a CNPD coordenam-se quando ambas as autoridades têm competência (art. 35.º RJC). Mas a obrigação operacional é da entidade — a notificação não-feita a uma delas não é compensada pela outra.

Como a Reglyze ajuda — sem submeter no seu nome

A Reglyze inclui um módulo de incidentes que acompanha cada incidente significativo do início ao fim: alerta sobre os prazos das três fases, gera drafts com IA para a notificação ao CNCS (24 h e 72 h), permite anexar evidência, e produz o relatório final em formato pronto a copiar para a plataforma electrónica do CNCS.

A Reglyze nunca submete ao CNCS em seu nome. Por contrato (ADR 0017), a submissão é sempre acto do operador na plataforma do CNCS — é o operador que confirma o ID do ticket após a submissão, e é o registo da plataforma do CNCS que vale para efeitos de prova de cumprimento. A Reglyze acelera a preparação; o controlo do envio fica sempre do seu lado.

Disponível a partir do plano Pro €499/ano. O módulo de incidentes inclui formação Article 20 do conselho (responsabilidade dos órgãos de direção) e os modelos de relatório final em PT-PT alinhados com a estrutura esperada pelo CNCS.

Recursos relacionados

Esteja pronto antes do próximo incidente

Diagnóstico gratuito em 2 minutos diz-lhe se está abrangido pelo dever de notificação. O plano gratuito inclui a avaliação inicial; o módulo de incidentes está incluído no Pro €499/ano.