Contactar

Obrigações de Compliance em Cibersegurança

Relatórios de Cibersegurança

Obrigações de reporte ao Centro Nacional de Cibersegurança no âmbito do Regime Jurídico da Segurança do Ciberespaço e da futura legislação de transposição da Diretiva NIS2.

Prazo — 31 de Janeiro de 2026

Termina o prazo para submissão do Relatório Anual de Cibersegurança de 2025 e do Inventário de Ativos Ligados à Rede.

Deveres de Reporte

Obrigações de Reporte ao CNCS

O atual Regime Jurídico da Segurança do Ciberespaço (RJSC) estabelece cinco tipos de deveres de reporte obrigatório ao Centro Nacional de Cibersegurança, nos termos do Decreto-Lei n.º 65/2021, de 30 de julho.

Relatório Anual de Cibersegurança

Obrigação Anual — Prazo: 31 de Janeiro

O Relatório Anual de Cibersegurança constitui a principal obrigação de accountability das entidades obrigadas perante o CNCS. Nos termos do artigo 8.º do Decreto-Lei n.º 65/2021, este documento deve apresentar uma análise abrangente do estado da cibersegurança da organização, incluindo a descrição sumária das principais atividades desenvolvidas, a estatística trimestral de incidentes, a análise agregada dos incidentes com impacto relevante ou substancial, as recomendações de melhoria e os problemas identificados.

Base Legal

Art. 8.º DL 65/2021

Periodicidade

Anual

Prazo 2026

31 Janeiro

Instrução Técnica

Reg. 183/2022

Inventário de Ativos Ligados à Rede

Obrigação Anual — Prazo: 31 de Janeiro

Nos termos do artigo 6.º do Decreto-Lei n.º 65/2021, as entidades devem elaborar e manter atualizado um inventário de todos os ativos essenciais para a prestação dos respetivos serviços. A versão atualizada deve ser comunicada ao CNCS anualmente, em conjunto com o Relatório Anual, contendo a informação definida no Regulamento n.º 183/2022.

Base Legal

Art. 6.º DL 65/2021

Prazo 2026

31 Janeiro

Notificação de Incidentes

Obrigação Contínua — Evento-Dependente

A notificação de incidentes de cibersegurança ao CNCS é obrigatória sempre que ocorram eventos com impacto relevante ou substancial. Os artigos 11.º a 17.º do Decreto-Lei n.º 65/2021 estabelecem os tipos de notificações obrigatórias: notificação inicial (até 2 horas), notificação de fim de impacto e notificação final (até 30 dias úteis).

Base Legal

Arts. 11.º-17.º DL 65/2021

Prazo Inicial

2 horas

Designação do Responsável de Segurança

Obrigação Inicial e de Atualização

Nos termos do artigo 5.º do Decreto-Lei n.º 65/2021, as entidades devem designar um responsável de segurança para a gestão das medidas de cibersegurança e comunicar a designação ao CNCS no prazo de 20 dias úteis, bem como comunicar imediatamente qualquer substituição.

Base Legal

Art. 5.º DL 65/2021

Prazo

20 dias úteis

Designação do Ponto de Contacto Permanente

Obrigação Inicial e de Atualização

O artigo 4.º do Decreto-Lei n.º 65/2021 estabelece que as entidades devem indicar pelo menos um ponto de contacto permanente para assegurar os fluxos de informação com o CNCS, com disponibilidade 24/7 em períodos de ativação, comunicando a designação e qualquer alteração imediatamente.

Base Legal

Art. 4.º DL 65/2021

Disponibilidade

24/7

Evolução Regulatória

RJSC vs NIS2 — Obrigações de Reporte

Análise comparativa das obrigações de reporte no atual RJSC e no futuro regime decorrente da transposição da Diretiva NIS2 (Decreto-Lei n.º 125/2025).

Datas Críticas

Cronograma de Transição Regulatória

Marcos temporais relevantes para a transição do RJSC para o regime NIS2 em Portugal.

04 DEZ 2025
Publicação da Legislação NIS2
Decreto-Lei n.º 125/2025 publicado em Diário da República, transpondo a Diretiva NIS2 para o ordenamento jurídico português.
31 JAN 2026
Prazo de Reporte RJSC
Data limite para submissão do Relatório Anual de Cibersegurança de 2025 (art. 8.º) e do Inventário de Ativos Ligados à Rede (art. 6.º, n.º 3, al. b)).
02 ABR 2026
Último Dia do RJSC
Último dia de vigência do atual Regime Jurídico da Segurança do Ciberespaço baseado na Diretiva NIS1.
03 ABR 2026
Entrada em Aplicação da NIS2
Início da aplicação do novo regime de cibersegurança decorrente da transposição da Diretiva NIS2.
[A definir pelo CNCS]
Prazo de Registo no CNCS
Data limite para as entidades essenciais e importantes procederem ao registo obrigatório na plataforma do CNCS.

Precisa de Apoio no Cumprimento das Obrigações de Reporte?

A nossa equipa de especialistas em compliance de cibersegurança pode ajudar a sua organização a cumprir os prazos regulamentares e a preparar-se para o novo regime NIS2.

Contactar Especialista
Planear Implementação NIS2

Enquadramento Legal

Referências legislativas aplicáveis às obrigações de reporte de cibersegurança em Portugal.

Lei n.º 46/2018

Estabelece o Regime Jurídico da Segurança do Ciberespaço (RJSC), transpondo a Diretiva NIS (2016/1148/UE) para o ordenamento jurídico português.

Decreto-Lei n.º 65/2021

Regulamenta a Lei n.º 46/2018, definindo os requisitos de segurança (arts. 9.º-10.º), obrigações de notificação (arts. 11.º-17.º), ponto de contacto (art. 4.º), responsável de segurança (art. 5.º), inventário (art. 6.º) e relatório anual (art. 8.º).

Regulamento n.º 183/2022

Instrução Técnica do CNCS que define os termos de aplicação do DL 65/2021 quanto a comunicações, formatos e procedimentos de reporte.

Decreto Lei n.º 125/2025

Aprova o regime jurídico da cibersegurança, transpondo a Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, destinada a garantir um elevado nível comum de cibersegurança em toda a União.
Politica de Proteção de Dados

Consoante o seu consentimento, os Cookies neste sítio eletrónico podem ser utilizados (i) para melhorar a sua navegação e desempenho, (ii) para analisar a sua utilização, (iii) para possibilitar a criação de conteúdos de publicidade direcionada ou (iv) para integrar com a gestão de redes sociais.

Por defeito, só os Cookies estritamente necessários se encontram ativos.

Poderá aceitar ou rejeitar todos os Cookies nos botões apresentados ou gerir ou desativar alguns destes Cookies selecionando as opções “Configurar Cookies”.

Para mais informações sobre tratamento de dados, visite, por favor, a [Política de Cookies] ou a [Política de Proteção de Dados].