R

Conformidade NIS 2 / RJC — QNRCS

QNRCS — Quadro Nacional de Referência para a Cibersegurança

O QNRCS é o quadro nacional português alinhado com o NIST Cybersecurity Framework 2.0, previsto no art. 14.º do RJC (Decreto-Lei n.º 125/2025) como instrumento operacional para a identificação e gestão de risco em cibersegurança. Esta página explica o estado actual, as 6 funções macro e o que esperar do Regulamento CNCS que aguarda publicação.

⚠ Aguarda Regulamento CNCS

O catálogo definitivo de controlos QNRCS aguarda publicação do Regulamento CNCS previsto no art. 14.º n.º 3 do RJC. Esta página é actualizada em horas após a publicação no Diário da República. Pode acompanhar em cncs.gov.pt/regulamentos.

O que é o QNRCS?

O Quadro Nacional de Referência para a Cibersegurança (QNRCS) foi originalmente lançado em 2018 como instrumento de referência do CNCS para o sector público português. Com a entrada em vigor do Regime Jurídico da Cibersegurança (DL n.º 125/2025, em vigor a 3 de abril de 2026), o QNRCS passou a ter base legal expressa: o art. 14.º do RJC designa-o como o quadro nacional que as entidades essenciais e importantes devem ter em conta na implementação das medidas técnicas e organizacionais do art. 27.º.

A versão actual do QNRCS deriva estruturalmente do NIST Cybersecurity Framework. Após a publicação do CSF 2.0 pelo NIST em fevereiro de 2024 — que introduziu a nova função GOVERN alinhada com as exigências de governação da NIS 2 — espera-se que o QNRCS v2 absorva integralmente as 6 funções do CSF 2.0, dispensando a extensão nacional "Gerir" que a v1 já antecipava.

O QNRCS não é uma norma de certificação: é um quadro de referência. Entidades certificadas em ISO/IEC 27001 ou alinhadas com NIST CSF 2.0 poderão demonstrar conformidade equivalente, sujeito à interpretação que o CNCS publicará no Regulamento. Para empresas portuguesas multi-jurisdicionais, o QNRCS é a peça que articula obrigações nacionais com auditorias ISO ou SOC 2 já em curso.

As 6 funções macro do QNRCS

Estrutura prevista alinhada com NIST CSF 2.0. Os nomes em português (Gerir / Identificar / Proteger / Detetar / Responder / Recuperar) são as designações canónicas usadas pelo CNCS.

  • GVGovern

    Gerir

    Governação da cibersegurança — políticas, papéis e responsabilidades, supervisão da gestão de topo. Função nova no CSF 2.0; o QNRCS v1 (pré-NIS 2) já tinha uma extensão equivalente.

  • IDIdentify

    Identificar

    Inventário de activos, avaliação de risco, gestão da cadeia de fornecimento. Alinha com art. 27.º al. a) e art. 28.º do RJC.

  • PRProtect

    Proteger

    Controlo de acessos, encriptação, formação, segurança de dados. Cobre art. 27.º al. c), d), g), h), i), j) do RJC.

  • DEDetect

    Detetar

    Monitorização contínua, deteção de anomalias, processos de identificação de incidentes. Alinha com art. 27.º al. e) do RJC.

  • RSRespond

    Responder

    Plano de resposta a incidentes, comunicações, análise de causa-raiz. Cobre art. 27.º al. b) e os deveres de notificação dos arts. 42.º-44.º do RJC.

  • RCRecover

    Recuperar

    Plano de recuperação, restauro de backups, comunicações pós-incidente. Cobre art. 27.º al. c) do RJC.

Como a Reglyze antecipa o catálogo definitivo

Enquanto o Regulamento CNCS não publica o catálogo definitivo de controlos QNRCS, a plataforma Reglyze opera um modo provisório: as 6 funções macro são apresentadas como o esqueleto, e as 10 medidas mínimas do art. 27.º do RJC são mapeadas para a função CSF 2.0 mais próxima. Os relatórios identificam claramente o estado provisório (badge "Aguarda Regulamento CNCS") — adequado para uso interno e alinhamento da equipa, mas com a transparência exigida por auditores.

Quando o Regulamento CNCS for publicado, a Reglyze flipará o estado para definitivo num release, populando o catálogo de sub-controlos QNRCS e o mapeamento NIS 2 → QNRCS sem que os clientes tenham de re-fazer o trabalho já carregado. Esta continuidade é a razão para começar agora — em vez de esperar meses pela publicação.

O dashboard QNRCS surge automaticamente para organizações portuguesas. O scoring é feito por função (GV / ID / PR / DE / RS / RC) e os documentos gerados pela IA carregam a referência QNRCS para alinhar com a estrutura que o Regulamento adoptará.

Perguntas frequentes

O QNRCS já é obrigatório?
O art. 14.º n.º 3 do RJC determina que as entidades essenciais e importantes devem ter em conta o QNRCS na implementação das medidas técnicas e organizacionais do art. 27.º. A aplicação operacional aguarda Regulamento CNCS, ainda não publicado em maio de 2026.
Quantas funções tem o QNRCS?
Seis funções macro alinhadas com o NIST CSF 2.0: Gerir (GV), Identificar (ID), Proteger (PR), Detetar (DE), Responder (RS), Recuperar (RC). A função "Gerir" é a novidade do CSF 2.0 — o QNRCS v1 (pré-NIS 2) já tinha uma extensão equivalente.
Quem aprova o QNRCS?
O CNCS — Centro Nacional de Cibersegurança — através de Regulamento próprio, com possibilidade de complementos sectoriais das autoridades sectoriais (art. 14.º n.º 4 RJC).
O QNRCS substitui o ISO/IEC 27001?
Não. O QNRCS é um quadro de referência nacional; entidades certificadas em ISO/IEC 27001 ou alinhadas com NIST CSF 2.0 poderão demonstrar conformidade equivalente, sujeito à interpretação do CNCS no Regulamento.
E para o sector público (Administração Pública)?
As entidades públicas relevantes do art. 7.º do RJC (autarquias, hospitais públicos, universidades públicas, IPSS) estão também sujeitas a ter em conta o QNRCS — ver página dedicada à Administração Pública.

Recursos relacionados

Diagnóstico NIS 2 / RJC em 2 minutos

Descubra a sua classificação ( Entidade Essencial, Entidade Importante, Entidade Pública Relevante ou fora do âmbito), depois explore o dashboard QNRCS provisório. Sem cartão de crédito.