← RecursosNIS213 de julho de 2026· Escrito pela equipa N4A, revisto por um Lead Auditor certificado ISO 27001

Regulamento 756/2026: o dia em que a NIS2 começou a andar.

O Decreto-Lei n.º 125/2025 trouxe a lei; o Regulamento n.º 756/2026, publicado pelo CNCS a 22 de junho, trouxe o manual de instruções: a plataforma, os níveis, os formulários e os relógios. É o documento que transforma a NIS2 portuguesa de princípio em prática, e este é o guia completo do que ele estabelece.

Resposta rápida

O Regulamento n.º 756/2026, de 22 de junho, é o regulamento de execução do regime jurídico da cibersegurança (DL 125/2025). Estabelece quatro coisas: o funcionamento da plataforma MyCiber e o registo das entidades, com prazo de 60 dias úteis desde 23 de junho de 2026; o Quadro Nacional de Referência para a Cibersegurança (QNRCS), com os níveis de conformidade básico, substancial e elevado; os prazos de notificação de incidentes (24 horas, 72 horas, relatório final em 30 dias); e a designação do responsável de cibersegurança, com relatórios anuais de cumprimento.

Atualizado a 13 de julho de 2026.

O que o regulamento estabelece, em quatro pilares.

1. A plataforma MyCiber e o registo

O regulamento ativa a MyCiber (myciber.gov.pt) como interface única entre as entidades e as autoridades. As entidades já em atividade tiveram 60 dias úteis para a autoidentificação, contados desde 23 de junho de 2026: preenchem o formulário, nasce um registo provisório, e segue-se a qualificação: a autoridade notifica o projeto de decisão, a entidade tem 10 dias úteis para se pronunciar, e vem a decisão final que a classifica como essencial ou importante.

2. O QNRCS e os três níveis de conformidade

O regulamento aprova o Quadro Nacional de Referência para a Cibersegurança, que organiza os controlos em seis funções: gerir, identificar, proteger, detetar, responder e recuperar. As medidas mínimas aplicam-se por níveis de conformidade, básico, substancial e elevado, atribuídos consoante a criticidade da entidade. O QNRCS alinha com referenciais internacionais: NIST CSF, ISO/IEC 27001 e CIS Controls.

3. Os prazos de notificação de incidentes

O regulamento operacionaliza o relógio dos incidentes significativos: notificação inicial até 24 horas após o conhecimento, atualização até 72 horas, comunicação do fim do impacto significativo em 24 horas, e relatório final até 30 dias. Tudo através da MyCiber, para a autoridade competente do setor: CNCS, GNS ou ANACOM.

4. Responsável de cibersegurança e relatório anual

Cada entidade designa na plataforma o seu responsável de cibersegurança e o ponto de contacto permanente, e passa a submeter relatórios anuais que demonstram o cumprimento das medidas. A conformidade deixa de ser uma declaração: passa a ser um registo vivo, com nome e evidências.

As datas que contam.

3 de abril de 2026O Decreto-Lei n.º 125/2025 entra em vigor: o regime jurídico da cibersegurança começa a valer.
22 de junho de 2026O CNCS publica o Regulamento n.º 756/2026, as regras práticas de execução do regime.
23 de junho de 2026A plataforma MyCiber abre e o prazo de 60 dias úteis para a autoidentificação começa a contar.
15 de setembro de 2026Fim do prazo de registo para as entidades que já estavam em atividade.
Após a qualificaçãoA entidade dispõe de 24 meses para implementar as medidas mínimas do nível de conformidade que lhe for atribuído.

O que a sua empresa deve fazer agora.

1

Confirme o enquadramento

Setor nos anexos? Dimensão média ou grande? Em caso de dúvida, valide antes de declarar, para os dois lados: assumir a mais custa dinheiro, assumir a menos custa coimas.

2

Registe a entidade na MyCiber

Se ainda não o fez, é o passo zero: o prazo termina a 15 de setembro de 2026 e a falta de registo é, por si só, uma infração.

3

Prepare-se para o seu nível QNRCS

Básico, substancial ou elevado: cada nível traz o seu caderno de medidas. Um gap assessment cedo transforma os 24 meses num plano, e não numa corrida.

4

Aproveite o alinhamento com a ISO 27001

O QNRCS bebe da ISO/IEC 27001. Quem implementar a norma cobre grande parte do caminho e ganha um selo internacional pelo mesmo esforço.

O QNRCS fala a língua da ISO 27001.

O próprio regulamento alinha o quadro nacional com a ISO/IEC 27001, o NIST e os CIS Controls. Na prática: implementar a ISO 27001 com quem sabe é cobrir o QNRCS e sair com um selo internacional por cima. Um esforço, duas conformidades.

Ver a implementação ISO 27001 em conformidade com a NIS2

E a N4A Platform já mede pelo QNRCS.

Score de conformidade por nível QNRCS (básico, substancial, elevado) e por domínio, plano de remediação e os modelos de notificação de incidentes prontos. O regulamento definiu as regras do jogo; a plataforma é o marcador.

Conhecer a N4A Platform

PERGUNTAS FREQUENTES

As dúvidas que ouvimos todos os dias.

É o regulamento de execução do regime jurídico da cibersegurança, publicado pelo CNCS a 22 de junho de 2026. Define as regras práticas do DL 125/2025: o funcionamento da plataforma MyCiber, os procedimentos de registo e qualificação das entidades, o QNRCS com os níveis de conformidade, os prazos de notificação de incidentes e as obrigações de reporte anual.

O Quadro Nacional de Referência para a Cibersegurança organiza os controlos em seis funções: gerir, identificar, proteger, detetar, responder e recuperar. Cada entidade fica sujeita a um nível de conformidade, básico, substancial ou elevado, consoante a sua criticidade, e cada nível define o caderno de medidas mínimas a implementar.

Após a autoidentificação na MyCiber, é criado um registo provisório. A autoridade competente notifica depois a entidade do projeto de decisão de qualificação, que a classifica como essencial ou importante; a entidade tem 10 dias úteis para se pronunciar, e segue-se a decisão final.

Após a qualificação, a entidade dispõe de 24 meses para se adaptar às medidas mínimas do nível de conformidade que lhe for atribuído. Parece confortável, mas um programa de segurança sério consome esse prazo depressa; começar pelo gap assessment é o que separa um plano de uma corrida.

Aplica-se às entidades essenciais e importantes dos setores dos anexos do DL 125/2025, e a administração pública tem enquadramento próprio. Em caso de dúvida, confirme o enquadramento antes do registo: temos um diagnóstico rápido no site e uma equipa que valida o caso concreto.

O regulamento pôs o relógio a contar. Nós pomos o plano a andar.

Enquadramento, registo, nível QNRCS e o caminho até à conformidade, com um Consultor e Lead Auditor certificado ISO 27001 a liderar.

Falar com um Auditor Certificado