Ir para Conteúdo

Somos a bandeira de Portugal na internet

Registar DomínioÁrea Reservada

Blog

.PT Legal & Corporate Affairs
10-03-2026
.PT prepara implementação do novo Regime Jurídico da Cibersegurança: um trabalho colaborativo
A cibersegurança é hoje um dos maiores desafios das organizações que asseguram serviços digitais críticos. A crescente sofisticação das ameaças e a importância das infraestruturas digitais exigem uma resposta estruturada, exigente e alinhada com os mais elevados padrões europeus.

Foi neste contexto que, no passado dia 4 de dezembro de 2025, foi publicado o Decreto-Lei n.º 125/2025, que aprova o novo Regime Jurídico da Cibersegurança (RJC) e transpõe para a ordem jurídica portuguesa a Diretiva (UE) 2022/2555 (NIS 2).

O .PT, enquanto entidade responsável pela gestão do domínio de topo nacional, assume este novo enquadramento como uma oportunidade para reforçar, de forma estruturada, práticas que já fazem parte da sua cultura organizacional: rigor, resiliência e aposta contínua na compliance.

Um trabalho em curso há vários meses, tendo o .PT, inclusivamente, participado na consulta pública, lançada em novembro de 2024, sobre o diploma proposto.

A implementação do RJC representa um desafio relevante para todas as entidades abrangidas, em particular para aquelas que, como o .PT, são qualificadas como entidades essenciais do setor das infraestruturas digitais.

Contudo, este é um processo que o .PT vem a preparar há vários meses, através de um trabalho participado e colaborativo, envolvendo os seus stakeholders e, de forma muito especial, os seus Agentes de Registo. A partilha de informação, o alinhamento de procedimentos e a reflexão conjunta têm sido pilares fundamentais desta preparação.

O compromisso é claro: garantir uma transição sólida, responsável e plenamente alinhada com o novo regime.

O que muda com o novo Regime Jurídico da Cibersegurança?

O RJC estabelece um quadro reforçado de regras destinadas a garantir um elevado nível de cibersegurança. Entre os seus principais objetivos destacam-se:
  • Reforço dos requisitos de gestão de risco e de governação;
  • Regras mais exigentes de notificação de incidentes;
  • Mecanismos de supervisão e execução mais robustos;
  • Distinção clara entre entidades essenciais (como o .PT) e entidades importantes.

O diploma clarifica igualmente o papel das autoridades competentes, cabendo ao Centro Nacional de Cibersegurança (CNCS) o papel de autoridade nacional de cibersegurança, em articulação com reguladores setoriais como a ANACOM, o Banco de Portugal, a CMVM e a ASF, entre outras entidades com competências específicas.

O regime estabelecido no RJC será ainda complementado por instrumentos estruturantes como:
  • A Estratégia Nacional de Segurança do Ciberespaço;
  • O Plano Nacional de Resposta a Crises e Incidentes de Cibersegurança em grande escala;
  • O Quadro Nacional de Referência para a Cibersegurança (QNRCS).

O RJC entra em vigor a 3 de abril de 2026, com algumas disposições dependentes de regulamentação específica.

Principais responsabilidades do .PT enquanto entidade essencial


1. Reforço dos requisitos de cibersegurança

O .PT deverá, entre outros aspetos:
  • Proceder ao registo formal enquanto entidade essencial junto do CNCS;
  • Designar e comunicar o responsável pela cibersegurança e um ponto de contacto permanente;
  • Implementar e manter um sistema de gestão de riscos de cibersegurança;
  • Adotar medidas técnicas e organizativas adequadas à prevenção e mitigação de incidentes;
  • Garantir a segurança da cadeia de abastecimento;
  • Realizar análises de risco regulares aos seus ativos críticos;
  • Elaborar políticas e planos de segurança e resposta a incidentes;
  • Manter uma base de dados atualizada relativa ao registo de nomes de domínio e assegurar o acesso legítimo a essa informação nos prazos legalmente previstos;
  • Submeter um relatório anual ao CNCS com informação sobre as atividades desenvolvidas e estatísticas de incidentes.

Estas medidas consolidam uma abordagem já estruturada no .PT, reforçando práticas de monitorização, prevenção e melhoria contínua.

2. Regras mais exigentes de notificação de incidentes

O novo regime estabelece prazos claros e exigentes para a notificação de incidentes significativos de cibersegurança, incluindo:
  • Notificação inicial até 24 horas após deteção;
  • Comunicação do fim do impacto significativo;
  • Relatório final detalhado (e, quando aplicável, relatório intercalar).

Adicionalmente, poderá ser necessária a notificação a outras autoridades competentes, incluindo a CNPD em caso de violação de dados pessoais.

O .PT deverá ainda comunicar, sem demora injustificada, aos destinatários dos seus serviços quaisquer incidentes com impacto significativo, indicando medidas de mitigação e, quando aplicável, a natureza da ciberameaça.

3. Supervisão e medidas de execução

Enquanto entidade essencial, o .PT ficará sujeito a mecanismos de supervisão e execução pelo CNCS, incluindo inspeções, auditorias, pedidos de informação e, muito especificamente no que à atividade do .PT concerne, a:
  • cumprir as ordens ou instruções do CNCS com vista a neutralizar uma ciberameaça, ciberataque ou incidente para as redes e sistemas de informação que resulte da utilização abusiva de nomes de domínio;
  • cumprir as ordens de bloqueio ou redirecionamento de nomes de domínio para um servidor seguro do CNCS.

O RJC prevê um regime sancionatório exigente para o incumprimento dos deveres aí previstos, com coimas que podem atingir valores significativos, como 10.000.000 € ou até 2 % do volume de negócios anual global, consoante o que for mais elevado.

No .PT, a cibersegurança não é apenas uma obrigação legal é um compromisso estrutural com a estabilidade, confiança e resiliência do ecossistema digital português.

A preparação para este novo regime tem sido marcada por empenho, dedicação e uma aposta clara na conformidade e na melhoria contínua. Em estreita articulação com os seus parceiros e Agentes de Registo, o .PT continuará a trabalhar para garantir uma implementação rigorosa, transparente e alinhada com as melhores práticas nacionais e europeias.

Porque num ambiente digital cada vez mais exigente, a confiança constrói-se todos os dias com responsabilidade, cooperação e visão de futuro.




Nota: os artigos deste blog não vinculam a opinião do .PT, mas sim do seu autor.
Voltar aos Posts