Conformidade NIS 2 / RJC — QNRCS

QNRCS — Quadro Nacional de Referência para a Cibersegurança

O QNRCS é o quadro nacional português alinhado com o NIST Cybersecurity Framework 2.0, previsto no art. 14.º do RJC (Decreto-Lei n.º 125/2025) como instrumento operacional para a identificação e gestão de risco em cibersegurança. O Regulamento n.º 756/2026 (22 de junho de 2026) aprovou a versão oficial: esta página explica os 6 objetivos, as 22 categorias, os 107 controlos e os níveis de conformidade.

✓ Referencial oficial de 22 de junho de 2026

O Regulamento n.º 756/2026 (Diário da República, 2.ª série, n.º 118) aprovou a 2.ª versão do QNRCS no seu Anexo I: 6 objetivos, 22 categorias e 107 controlos, com as medidas mínimas por nível de conformidade no Anexo III. O catálogo completo já está ativo na Reglyze. Texto oficial em diariodarepublica.pt.

O que é o QNRCS?

O Quadro Nacional de Referência para a Cibersegurança (QNRCS) foi originalmente lançado em 2018 como instrumento de referência do CNCS para o sector público português. Com a entrada em vigor do Regime Jurídico da Cibersegurança (DL n.º 125/2025, em vigor a 3 de abril de 2026), o QNRCS passou a ter base legal expressa: o art. 14.º do RJC designa-o como o quadro nacional que as entidades essenciais e importantes devem ter em conta na implementação das medidas técnicas e organizacionais do art. 27.º.

A 2.ª versão do QNRCS deriva estruturalmente do NIST Cybersecurity Framework 2.0, mas com identidade nacional: os identificadores são portugueses (GR para Gerir, não o GV do NIST) e cada controlo publica o enunciado, a descrição e as referências cruzadas oficiais (NIST CSF 2.0, CyFun 2025, ISO/IEC 27001/27002, CIS v8.1, SP 800-53). O objetivo Gerir absorve a extensão nacional que a v1 antecipava.

O QNRCS não é uma norma de certificação: é um quadro de referência. A conformidade oficial é aferida pelo Anexo III do Regulamento n.º 756/2026: medidas mínimas obrigatórias por nível de conformidade (básico, substancial, elevado), cumulativas por força do art. 30.º n.º 2, cada uma com o seu Critério de Verificação. O nível de cada entidade resulta da matriz de risco do Anexo II (valores produzidos pelo CNCS). Para empresas portuguesas multi-jurisdicionais, as referências cruzadas oficiais articulam o QNRCS com auditorias ISO ou SOC 2 já em curso.

Os 6 objetivos do QNRCS

Estrutura oficial do Anexo I do Regulamento n.º 756/2026: 6 objetivos (Gerir / Identificar / Proteger / Detetar / Responder / Recuperar), 22 categorias e 107 controlos com enunciado e descrição oficiais.

  • GRGovern

    Gerir

    Contexto organizacional, estratégia de gestão do risco, funções e responsabilidades, políticas, supervisão e cadeia de abastecimento (categorias GR.CO a GR.CA, 31 controlos).

  • IDIdentify

    Identificar

    Inventário de activos, avaliação de risco, gestão da cadeia de fornecimento. Alinha com art. 27.º al. a) e art. 28.º do RJC.

  • PRProtect

    Proteger

    Controlo de acessos, encriptação, formação, segurança de dados. Cobre art. 27.º al. c), d), g), h), i), j) do RJC.

  • DEDetect

    Detetar

    Monitorização contínua, deteção de anomalias, processos de identificação de incidentes. Alinha com art. 27.º al. e) do RJC.

  • RSRespond

    Responder

    Plano de resposta a incidentes, comunicações, análise de causa-raiz. Cobre art. 27.º al. b) e os deveres de notificação dos arts. 42.º-44.º do RJC.

  • RCRecover

    Recuperar

    Plano de recuperação, restauro de backups, comunicações pós-incidente. Cobre art. 27.º al. c) do RJC.

O catálogo oficial na Reglyze

A Reglyze carrega o Anexo I do Regulamento n.º 756/2026 na íntegra e verbatim: os 107 controlos, com o enunciado e a descrição oficiais em português e as referências cruzadas publicadas (NIST CSF 2.0, CyFun 2025, ISO/IEC 27001/27002, CIS v8.1, SP 800-53). A avaliação pontua controlo a controlo, com agregação por categoria e por objetivo.

O veredicto segue a semântica oficial: a entidade declara o seu nível de conformidade (básico, substancial ou elevado, conforme a matriz de risco do CNCS consultável no MyCiber) e a Reglyze mostra quantas das medidas obrigatórias do nível têm evidência. CONFORME exige a totalidade das medidas do nível (art. 30.º do Regulamento); a percentagem serve apenas como indicador de progresso.

O dashboard QNRCS surge automaticamente para organizações portuguesas. O scoring é feito por controlo, organizado pelos 6 objetivos oficiais (GR / ID / PR / DE / RS / RC). As avaliações iniciadas antes de 22 de junho de 2026 permanecem legíveis no referencial provisório anterior, claramente identificado.

Perguntas frequentes

O QNRCS já é obrigatório?
Sim. O art. 14.º n.º 3 do RJC determina que as entidades essenciais e importantes têm em conta o QNRCS, e o Regulamento n.º 756/2026 (22 de junho de 2026) aprovou a 2.ª versão oficial (Anexo I) com as medidas mínimas obrigatórias por nível de conformidade (Anexo III), cumulativas por força do art. 30.º n.º 2.
Quantas funções tem o QNRCS?
Seis objetivos oficiais com identificadores portugueses: Gerir (GR), Identificar (ID), Proteger (PR), Detetar (DE), Responder (RS), Recuperar (RC), organizados em 22 categorias e 107 controlos (Anexo I do Regulamento n.º 756/2026).
Quem aprova o QNRCS?
O CNCS — Centro Nacional de Cibersegurança — através de Regulamento próprio, com possibilidade de complementos sectoriais das autoridades sectoriais (art. 14.º n.º 4 RJC).
O QNRCS substitui o ISO/IEC 27001?
Não. O QNRCS é um quadro de referência nacional; entidades certificadas em ISO/IEC 27001 ou alinhadas com NIST CSF 2.0 poderão demonstrar conformidade equivalente, sujeito à interpretação do CNCS no Regulamento.
E para o sector público (Administração Pública)?
As entidades públicas relevantes do art. 7.º do RJC (autarquias, hospitais públicos, universidades públicas, IPSS) estão também sujeitas a ter em conta o QNRCS — ver página dedicada à Administração Pública.

Diagnóstico NIS 2 / RJC em 2 minutos

Descubra a sua classificação ( Entidade Essencial, Entidade Importante, Entidade Pública Relevante ou fora do âmbito), depois explore o dashboard QNRCS oficial. Sem cartão de crédito.