Reportar um incidente ao CNCS: 24h, 72h, 1 mês.
Quando um incidente significativo acontece, o relógio do regime NIS2 começa a contar, e não espera que a sua equipa recupere o fôlego. Estes são os três prazos do Decreto-Lei n.º 125/2025, o que entregar em cada um, e o que preparar hoje para não improvisar no pior dia.
Resposta rápida
No regime NIS2 português, um incidente significativo obriga a três comunicações à autoridade competente: o alerta precoce nas primeiras 24 horas após o conhecimento, a notificação do incidente em 72 horas, e o relatório final no prazo de um mês. As comunicações fazem-se através da plataforma MyCiber, e a autoridade competente é o CNCS, o GNS ou a ANACOM, consoante o setor.
Atualizado a 13 de julho de 2026.
O relógio das três entregas.
Alerta precoce
Depois de tomar conhecimento do incidente significativo, a entidade emite o alerta inicial: o que se sabe, se há suspeita de ação maliciosa e se pode ter impacto transfronteiriço. Não é preciso ter tudo apurado, é preciso avisar.
Notificação do incidente
A notificação completa: avaliação inicial do incidente, gravidade, impacto e, quando existam, os indicadores de compromisso. É a fotografia formal do que aconteceu.
Relatório final
A história completa: descrição detalhada, causa provável, medidas aplicadas e impacto final. Se o incidente ainda decorrer, apresenta-se um relatório de progresso e o final quando estiver tratado.
Nota importante: os prazos contam a partir do momento em que a entidade toma conhecimento do incidente, não do momento em que ele começou. E falhar o reporte é, por si só, uma infração, mesmo que o incidente tenha sido bem gerido tecnicamente.
O reporte ganha-se antes do incidente.
No dia do incidente, ou já tem isto pronto, ou vai improvisar sob pressão.
É exatamente isto que a N4A Platform automatiza.
O módulo de gestão e notificação de incidentes traz os modelos das comunicações de 24 e 72 horas prontos a preencher, com o relógio dos prazos à vista e o histórico auditável de cada decisão.
Conhecer a N4A PlatformPERGUNTAS FREQUENTES
As dúvidas que ouvimos todos os dias.
Em regra, é o incidente que causou ou pode causar perturbação operacional grave ou perdas financeiras para a entidade, ou que afetou ou pode afetar outras pessoas ou organizações com danos consideráveis. Na dúvida sobre o limiar, o caminho prudente é tratar como significativo e documentar a avaliação.
Depende do setor da entidade. O CNCS é a autoridade nacional de cibersegurança e o ponto central do regime; o GNS e a ANACOM são competentes para setores específicos. As comunicações fazem-se através da plataforma MyCiber, que encaminha para a autoridade certa.
Apresenta um relatório de progresso dentro do prazo e o relatório final no mês seguinte ao tratamento do incidente. O que não pode acontecer é o prazo passar em silêncio.
O incumprimento dos deveres de notificação é infração ao Decreto-Lei n.º 125/2025, com coimas que podem chegar aos 10 milhões de euros ou 2% da faturação anual mundial para entidades essenciais, e aos 7 milhões ou 1,4% para importantes. E os órgãos de gestão respondem pessoalmente, com coimas até 125 000 euros.
Prefere nunca ter de improvisar?
A N4A prepara o seu plano de resposta e os modelos de notificação, e fica ao seu lado se o dia chegar.
Falar com um Auditor Certificado