← RecursosIncidentes13 de julho de 2026· Escrito pela equipa N4A, revisto por um Lead Auditor certificado ISO 27001

Reportar um incidente ao CNCS: 24h, 72h, 1 mês.

Quando um incidente significativo acontece, o relógio do regime NIS2 começa a contar, e não espera que a sua equipa recupere o fôlego. Estes são os três prazos do Decreto-Lei n.º 125/2025, o que entregar em cada um, e o que preparar hoje para não improvisar no pior dia.

Resposta rápida

No regime NIS2 português, um incidente significativo obriga a três comunicações à autoridade competente: o alerta precoce nas primeiras 24 horas após o conhecimento, a notificação do incidente em 72 horas, e o relatório final no prazo de um mês. As comunicações fazem-se através da plataforma MyCiber, e a autoridade competente é o CNCS, o GNS ou a ANACOM, consoante o setor.

Atualizado a 13 de julho de 2026.

O relógio das três entregas.

24 horas

Alerta precoce

Depois de tomar conhecimento do incidente significativo, a entidade emite o alerta inicial: o que se sabe, se há suspeita de ação maliciosa e se pode ter impacto transfronteiriço. Não é preciso ter tudo apurado, é preciso avisar.

72 horas

Notificação do incidente

A notificação completa: avaliação inicial do incidente, gravidade, impacto e, quando existam, os indicadores de compromisso. É a fotografia formal do que aconteceu.

1 mês

Relatório final

A história completa: descrição detalhada, causa provável, medidas aplicadas e impacto final. Se o incidente ainda decorrer, apresenta-se um relatório de progresso e o final quando estiver tratado.

Nota importante: os prazos contam a partir do momento em que a entidade toma conhecimento do incidente, não do momento em que ele começou. E falhar o reporte é, por si só, uma infração, mesmo que o incidente tenha sido bem gerido tecnicamente.

O reporte ganha-se antes do incidente.

No dia do incidente, ou já tem isto pronto, ou vai improvisar sob pressão.

Plano de resposta a incidentes aprovado, com papéis e contactos definidos.
Critérios claros do que é um incidente significativo para a sua realidade.
Acesso e credenciais da plataforma MyCiber prontos (não os descubra durante a crise).
Modelos das notificações de 24h e 72h pré-preenchidos com os dados da entidade.
Contactos de apoio técnico e jurídico à distância de uma chamada.
Exercício anual: simular um incidente e cronometrar a resposta.

É exatamente isto que a N4A Platform automatiza.

O módulo de gestão e notificação de incidentes traz os modelos das comunicações de 24 e 72 horas prontos a preencher, com o relógio dos prazos à vista e o histórico auditável de cada decisão.

Conhecer a N4A Platform

PERGUNTAS FREQUENTES

As dúvidas que ouvimos todos os dias.

Em regra, é o incidente que causou ou pode causar perturbação operacional grave ou perdas financeiras para a entidade, ou que afetou ou pode afetar outras pessoas ou organizações com danos consideráveis. Na dúvida sobre o limiar, o caminho prudente é tratar como significativo e documentar a avaliação.

Depende do setor da entidade. O CNCS é a autoridade nacional de cibersegurança e o ponto central do regime; o GNS e a ANACOM são competentes para setores específicos. As comunicações fazem-se através da plataforma MyCiber, que encaminha para a autoridade certa.

Apresenta um relatório de progresso dentro do prazo e o relatório final no mês seguinte ao tratamento do incidente. O que não pode acontecer é o prazo passar em silêncio.

O incumprimento dos deveres de notificação é infração ao Decreto-Lei n.º 125/2025, com coimas que podem chegar aos 10 milhões de euros ou 2% da faturação anual mundial para entidades essenciais, e aos 7 milhões ou 1,4% para importantes. E os órgãos de gestão respondem pessoalmente, com coimas até 125 000 euros.

Prefere nunca ter de improvisar?

A N4A prepara o seu plano de resposta e os modelos de notificação, e fica ao seu lado se o dia chegar.

Falar com um Auditor Certificado