Conformidade NIS 2 / RJC — QNRCS
O QNRCS é o quadro nacional português alinhado com o NIST Cybersecurity Framework 2.0, previsto no art. 14.º do RJC (Decreto-Lei n.º 125/2025) como instrumento operacional para a identificação e gestão de risco em cibersegurança. O Regulamento n.º 756/2026 (22 de junho de 2026) aprovou a versão oficial: esta página explica os 6 objetivos, as 22 categorias, os 107 controlos e os níveis de conformidade.
✓ Referencial oficial de 22 de junho de 2026
O Regulamento n.º 756/2026 (Diário da República, 2.ª série, n.º 118) aprovou a 2.ª versão do QNRCS no seu Anexo I: 6 objetivos, 22 categorias e 107 controlos, com as medidas mínimas por nível de conformidade no Anexo III. O catálogo completo já está ativo na Reglyze. Texto oficial em diariodarepublica.pt.
O Quadro Nacional de Referência para a Cibersegurança (QNRCS) foi originalmente lançado em 2018 como instrumento de referência do CNCS para o sector público português. Com a entrada em vigor do Regime Jurídico da Cibersegurança (DL n.º 125/2025, em vigor a 3 de abril de 2026), o QNRCS passou a ter base legal expressa: o art. 14.º do RJC designa-o como o quadro nacional que as entidades essenciais e importantes devem ter em conta na implementação das medidas técnicas e organizacionais do art. 27.º.
A 2.ª versão do QNRCS deriva estruturalmente do NIST Cybersecurity Framework 2.0, mas com identidade nacional: os identificadores são portugueses (GR para Gerir, não o GV do NIST) e cada controlo publica o enunciado, a descrição e as referências cruzadas oficiais (NIST CSF 2.0, CyFun 2025, ISO/IEC 27001/27002, CIS v8.1, SP 800-53). O objetivo Gerir absorve a extensão nacional que a v1 antecipava.
O QNRCS não é uma norma de certificação: é um quadro de referência. A conformidade oficial é aferida pelo Anexo III do Regulamento n.º 756/2026: medidas mínimas obrigatórias por nível de conformidade (básico, substancial, elevado), cumulativas por força do art. 30.º n.º 2, cada uma com o seu Critério de Verificação. O nível de cada entidade resulta da matriz de risco do Anexo II (valores produzidos pelo CNCS). Para empresas portuguesas multi-jurisdicionais, as referências cruzadas oficiais articulam o QNRCS com auditorias ISO ou SOC 2 já em curso.
Estrutura oficial do Anexo I do Regulamento n.º 756/2026: 6 objetivos (Gerir / Identificar / Proteger / Detetar / Responder / Recuperar), 22 categorias e 107 controlos com enunciado e descrição oficiais.
GR — Govern
Contexto organizacional, estratégia de gestão do risco, funções e responsabilidades, políticas, supervisão e cadeia de abastecimento (categorias GR.CO a GR.CA, 31 controlos).
ID — Identify
Inventário de activos, avaliação de risco, gestão da cadeia de fornecimento. Alinha com art. 27.º al. a) e art. 28.º do RJC.
PR — Protect
Controlo de acessos, encriptação, formação, segurança de dados. Cobre art. 27.º al. c), d), g), h), i), j) do RJC.
DE — Detect
Monitorização contínua, deteção de anomalias, processos de identificação de incidentes. Alinha com art. 27.º al. e) do RJC.
RS — Respond
Plano de resposta a incidentes, comunicações, análise de causa-raiz. Cobre art. 27.º al. b) e os deveres de notificação dos arts. 42.º-44.º do RJC.
RC — Recover
Plano de recuperação, restauro de backups, comunicações pós-incidente. Cobre art. 27.º al. c) do RJC.
A Reglyze carrega o Anexo I do Regulamento n.º 756/2026 na íntegra e verbatim: os 107 controlos, com o enunciado e a descrição oficiais em português e as referências cruzadas publicadas (NIST CSF 2.0, CyFun 2025, ISO/IEC 27001/27002, CIS v8.1, SP 800-53). A avaliação pontua controlo a controlo, com agregação por categoria e por objetivo.
O veredicto segue a semântica oficial: a entidade declara o seu nível de conformidade (básico, substancial ou elevado, conforme a matriz de risco do CNCS consultável no MyCiber) e a Reglyze mostra quantas das medidas obrigatórias do nível têm evidência. CONFORME exige a totalidade das medidas do nível (art. 30.º do Regulamento); a percentagem serve apenas como indicador de progresso.
O dashboard QNRCS surge automaticamente para organizações portuguesas. O scoring é feito por controlo, organizado pelos 6 objetivos oficiais (GR / ID / PR / DE / RS / RC). As avaliações iniciadas antes de 22 de junho de 2026 permanecem legíveis no referencial provisório anterior, claramente identificado.
Entidades Essenciais e Importantes
Determine se a sua entidade está abrangida pelo RJC e em qual categoria.
Registo na plataforma MyCiber
Janela aberta desde 22 de junho de 2026: entidades já em atividade registam-se até 21 de agosto de 2026 (Regulamento n.º 756/2026, art. 8.º n.º 1).
Notificação de incidente ao CNCS
Linha temporal 24 h / 72 h / 30 dias úteis (arts. 42.º-44.º RJC).
Exercícios de tabletop NIS 2 / RJC
5 cenários PT-PT para o exercício anual do art. 39.º RJC.