Viriatus
Voltar ao blog Compliance

Comunicação de Incidentes ao CNCS segundo a NIS2: Prazos, Obrigações e Procedimentos

Análise técnica do regime de notificação obrigatória de incidentes de cibersegurança ao CNCS no âmbito do DL 125/2025 e da Diretiva NIS2, incluindo prazos, conteúdos obrigatórios e critérios de incidente significativo.

S Sérgio Silva
·
18 de abril de 2026
·
9 min
NIS2CNCSDL 125/2025IncidentesCERT.PTCompliance

Resumo

O Decreto-Lei n.º 125/2025, de 4 de dezembro, transpôs a Diretiva (UE) 2022/2555 (NIS2) para o ordenamento jurídico português, revogando integralmente o anterior DL 65/2021 e a Lei n.º 46/2018. O novo regime jurídico da segurança do ciberespaço introduz obrigações de notificação de incidentes significativamente mais exigentes, com prazos vinculativos de 24 horas, 72 horas e 30 dias. O presente artigo analisa em detalhe o ciclo de notificação ao Centro Nacional de Cibersegurança (CNCS), os critérios de classificação de incidente significativo, os conteúdos obrigatórios de cada fase de reporte, a taxonomia de classificação utilizada pelo CERT.PT, e as consequências do incumprimento. A análise baseia-se na legislação publicada, nas orientações técnicas do CNCS e na Diretiva NIS2 na sua formulação original.

Introdução

A entrada em vigor do DL 125/2025 em 3 de abril de 2026 marca uma transformação estrutural na forma como as organizações portuguesas devem reportar incidentes de cibersegurança. O anterior regime, sustentado no DL 65/2021, estabelecia obrigações genéricas de comunicação ao CNCS sem prazos vinculativos precisos para cada fase do reporte (CNCS, 2022). A transposição da NIS2, através do artigo 23.º da Diretiva (UE) 2022/2555, introduz um sistema faseado com cronogramas rigorosos e conteúdos mínimos obrigatórios para cada etapa de notificação (Parlamento Europeu, 2022).

O âmbito de aplicação expandiu-se significativamente. Estima-se que a NIS2 abranja aproximadamente dez vezes mais entidades do que a NIS1, incluindo administração pública, fornecedores digitais, gestão de resíduos e fabricação de produtos críticos (PwC, 2023). A responsabilização dos órgãos de gestão está explicitamente prevista, com possibilidade de responsabilidade pessoal em caso de negligência grosseira (Parlamento Europeu, 2022, art. 20.º).

Critérios de Incidente Significativo

A obrigação de notificação aplica-se exclusivamente a incidentes significativos, cuja definição consta do artigo 23.º, n.º 3, da Diretiva NIS2. Um incidente é considerado significativo quando: (a) causou ou é suscetível de causar perturbação operacional grave dos serviços ou perdas financeiras para a entidade; ou (b) afetou ou é suscetível de afetar outras pessoas singulares ou coletivas, causando danos materiais ou imateriais consideráveis (Parlamento Europeu, 2022).

Para prestadores de serviços digitais, o Regulamento de Execução (UE) 2024/2690 da Comissão Europeia estabeleceu limiares quantitativos adicionais: prejuízo financeiro direto superior a 500.000 EUR ou 5% do volume de negócios anual (o que for inferior), exfiltração de segredos comerciais, morte de pessoa singular, ou danos consideráveis à saúde (Comissão Europeia, 2024).

CRITÉRIOS DE INCIDENTE SIGNIFICATIVO (Art. 23.º NIS2)CRITÉRIO A — IMPACTO NA ENTIDADE• Perturbação operacional grave• Perdas financeiras significativas• >500.000 EUR ou 5% volume negócios• Exfiltração de segredos comerciais• Indisponibilidade de serviços essenciaisCRITÉRIO B — IMPACTO EM TERCEIROS• Danos materiais consideráveis• Danos imateriais consideráveis• Morte ou danos à saúde• Impacto transfronteiriço• Afetação de cadeia de fornecedoresBASTA UM CRITÉRIO PARA OBRIGATORIEDADE DE NOTIFICAÇÃO

Figura 1: Critérios cumulativos e alternativos para qualificação de incidente significativo segundo o artigo 23.º da NIS2

O momento de início da contagem dos prazos é determinante: o cronómetro inicia quando a organização toma conhecimento de que o incidente preenche os critérios de significância, e não no momento da deteção técnica do evento (ENISA, 2024).

Ciclo de Notificação ao CNCS

O artigo 23.º da Diretiva NIS2, transposto pelo DL 125/2025, estabelece um ciclo de notificação em quatro fases progressivas, cada uma com prazos e conteúdos mínimos distintos.

CICLO DE NOTIFICAÇÃO — ARTIGO 23.º NIS2 / DL 125/2025T+0DETEÇÃOTomada deconhecimentoT+24hALERTA INICIALEarly warningao CNCS/CERT.PTT+72hNOTIFICAÇÃOAvaliação inicialseveridade + IoCsT+30dRELATÓRIO FINALRoot cause analysise medidas aplicadasCONTEÚDO T+24h— Natureza do incidente— Ato malicioso? (S/N)— Impacto transfronteiriço?— Pedido de assistência?NÃO requer análise detalhadaCONTEÚDO T+72h— Avaliação de severidade— Avaliação de impacto— IoCs (IPs, hashes, TTPs)— Sistemas afetadosAtualização do alerta inicialCONTEÚDO T+30d— Descrição detalhada— Root cause analysis— Medidas de mitigação— Impacto transfronteiriçoPode ser prorrogado pelo CNCS

Figura 2: Ciclo de notificação faseado com prazos, conteúdos obrigatórios e relação temporal entre as quatro fases

Fase 1 — Alerta Inicial (T+24h). A entidade deve submeter ao CNCS, sem demora injustificada e num prazo máximo de 24 horas após tomar conhecimento do incidente significativo, um alerta inicial (early warning). Este alerta não exige análise detalhada — destina-se apenas a informar a autoridade competente da ocorrência e deve indicar se o incidente é suspeito de ter origem em atos ilícitos ou maliciosos e se pode ter impacto transfronteiriço (Parlamento Europeu, 2022, art. 23.º, n.º 4, al. a).

Fase 2 — Notificação de Incidente (T+72h). Num prazo de 72 horas, a entidade deve submeter uma notificação que atualiza o alerta inicial e inclui uma avaliação inicial da severidade e impacto do incidente, bem como, quando disponíveis, indicadores de compromisso (IoCs). Os IoCs devem incluir endereços IP, domínios, hashes de ficheiros, regras YARA e TTPs MITRE ATT&CK relevantes (ENISA, 2024).

Fase 3 — Relatório Intercalar. A pedido do CNCS ou do CERT.PT, a entidade pode ser solicitada a fornecer atualizações intercalares sobre o estado do incidente a qualquer momento entre a notificação e o relatório final.

Fase 4 — Relatório Final (T+30d). No prazo máximo de um mês após a submissão da notificação de incidente, deve ser apresentado um relatório final contendo: descrição detalhada do incidente e da sua severidade e impacto; análise da causa raiz provável (root cause analysis); medidas de mitigação aplicadas e em curso; e impacto transfronteiriço, quando aplicável (Parlamento Europeu, 2022, art. 23.º, n.º 4, al. d).

Taxonomia de Classificação do CERT.PT

O CERT.PT, enquanto equipa de resposta a incidentes do CNCS, utiliza uma taxonomia harmonizada para a classificação de incidentes, desenvolvida em articulação com a Rede Nacional de CSIRT (RNCSIRT). Esta taxonomia é fundamental para a uniformização da comunicação entre entidades e a autoridade nacional.

TAXONOMIA DE INCIDENTES — CERT.PT / RNCSIRTCÓDIGO MALICIOSOMalware, Ransomware, WormDISPONIBILIDADEDoS, DDoS, SabotagemINTRUSÃOCompromisso de conta, App, SistemaRECOLHA INFOScanning, Sniffing, PhishingTENT. INTRUSÃOExploit de vuln., Brute-forceSEG. INFORMAÇÃOAcesso não aut., Modif. dadosFRAUDEUso não aut., Direitos autorCONTEÚDO ABUSIVOSpam, Discurso ódioVULNERABILIDADECriptografia fraca, Misc. config.OUTRONão classificávelNÍVEIS DE SEVERIDADECRÍTICAALTAMÉDIABAIXAINFORMACIONALFonte: Taxonomia Comum RNCSIRT v3.3 / CNCS (2024)

Figura 3: Taxonomia de classificação de incidentes do CERT.PT/RNCSIRT com classes principais e níveis de severidade

A classificação correta do incidente na taxonomia CNCS é um requisito fundamental da notificação, pois determina o encaminhamento interno, os procedimentos de coordenação com outros CSIRTs nacionais e europeus, e a eventual articulação com autoridades sectoriais (CNCS, 2024).

Mecanismos de Submissão ao CNCS

A submissão de notificações ao CNCS pode ser efetuada através de três canais (CNCS, 2022):

  1. Plataforma MyCiber — formulário eletrónico disponível no portal do CNCS (www.cncs.gov.pt), na secção “Notificação de Incidentes”. Este é o canal preferencial e permite o acompanhamento do estado da notificação.

  2. API programática — interface disponibilizada pelo CNCS para integração automatizada de plataformas de gestão de incidentes com o sistema de notificação nacional. Esta via permite a submissão estruturada e automatizada, particularmente relevante para organizações com SOCs dedicados.

  3. Canais de contingência — em caso de indisponibilidade temporária da plataforma ou incapacidade operacional da entidade: email para cert@cert.pt, telefone (+351) 210 497 399, ou telefone de emergência (+351) 910 599 284 (disponível 24/7, incluindo fins de semana e feriados).

Regime Sancionatório

O incumprimento das obrigações de notificação está sujeito a coimas diferenciadas consoante a classificação da entidade.

REGIME SANCIONATÓRIO — ARTIGO 34.º NIS2ENTIDADES ESSENCIAIS€10.000.000ou 2% do volume de negóciosglobal anual (o maior)ENTIDADES IMPORTANTES€7.000.000ou 1,4% do volume de negóciosglobal anual (o maior)+ Responsabilidade pessoal dos órgãos de gestão em caso de negligência grosseira (Art. 20.º)

Figura 4: Limites máximos das coimas por incumprimento das obrigações de notificação e gestão de risco

Para além das coimas financeiras, o DL 125/2025 prevê medidas de supervisão adicionais, incluindo auditorias de segurança ad hoc, instruções vinculativas e, em casos extremos, a suspensão temporária de certificações ou autorizações da entidade (Parlamento Europeu, 2022, arts. 32-33).

Implicações Práticas para as Organizações

A implementação eficaz do regime de notificação exige preparação antecipada em múltiplas dimensões. Em primeiro lugar, a designação de um responsável de cibersegurança e de um ponto de contacto permanente junto do CNCS, cujo prazo se fixou em 4 de maio de 2026 (MLGTS, 2025). Em segundo lugar, a definição de procedimentos internos de triagem que permitam, no prazo de 24 horas, avaliar se um evento de segurança preenche os critérios de incidente significativo. Em terceiro lugar, a articulação com equipas jurídicas para garantir que as notificações ao CNCS cumprem os requisitos de conteúdo sem comprometer investigações em curso ou exposição de responsabilidade.

A automatização do ciclo de notificação — desde a deteção à submissão estruturada ao CNCS via API — constitui uma vantagem operacional significativa, reduzindo o risco de incumprimento de prazos e garantindo a rastreabilidade completa do processo.

Conclusão

O regime de notificação de incidentes estabelecido pelo DL 125/2025 e pela Diretiva NIS2 representa um salto qualitativo em relação ao enquadramento anterior. As organizações portuguesas classificadas como essenciais ou importantes devem preparar-se para cumprir prazos rigorosos (24h/72h/30d), submeter conteúdos técnicos detalhados (incluindo IoCs e root cause analysis), e assumir a responsabilidade dos órgãos de gestão pela conformidade. O incumprimento pode resultar em coimas até 10 milhões de euros ou 2% do volume de negócios global, acrescidas de medidas de supervisão e responsabilidade pessoal dos administradores.

A transição do regime anterior para o novo quadro legal exige investimento em processos, tecnologia e formação. As organizações que automatizarem o ciclo de notificação e integrarem a taxonomia CNCS nos seus procedimentos de resposta a incidentes estarão melhor posicionadas para cumprir as novas obrigações e, simultaneamente, melhorar a sua resiliência operacional.

Referências

Comissão Europeia. (2024). Regulamento de Execução (UE) 2024/2690 relativo aos requisitos técnicos e metodológicos e aos incidentes significativos. Jornal Oficial da União Europeia.

CNCS. (2022). Regulamento n.º 183/2022 — Instrução Técnica relativa às comunicações entre as entidades e o Centro Nacional de Cibersegurança. Diário da República.

CNCS. (2024). Relatório Cibersegurança em Portugal — Riscos & Conflitos 2024. Centro Nacional de Cibersegurança.

ENISA. (2024). NIS2 Directive Implementation Guidance. European Union Agency for Cybersecurity.

MLGTS. (2025). Legal Alert: Novo Regime Jurídico de Cibersegurança — Transposição da Diretiva NIS2. Morais Leitão, Galvão Teles, Soares da Silva & Associados.

Parlamento Europeu. (2022). Diretiva (UE) 2022/2555 relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União. Jornal Oficial da União Europeia, L 333/80.

PwC. (2023). De NIS a NIS2 — A evolução da legislação europeia de cibersegurança. PricewaterhouseCoopers Portugal.

RNCSIRT. (2024). Taxonomia Comum da Rede Nacional de CSIRT, versão 3.3. Rede Nacional de CSIRT.

Sérgio Silva
Sobre o Autor
Sérgio Silva
CEO — CyberS3C

Fundador da CyberS3C e CEO do Viriatus. Formado pela NOVA, com mais de 20 anos de experiência em administração pública, perito da Comissão Europeia e CISO da APDP.

Artigos Relacionados

Compliance · 04/2026

DL 125/2025: Guia Prático de Implementação para o Responsável de Cibersegurança

Ler Compliance · 03/2026

NIS2: O Que Muda Para as Organizações Portuguesas

Ler Cibersegurança · 04/2026

Mais-Valia dos Modelos de Treino para Agentes Autónomos de Pentesting: Por Que Um Modelo Nacional Supera Um Modelo Internacional

Ler