CNCS reforçado como Autoridade Nacional de Cibersegurança
Com a entrada em vigor do Decreto-Lei n.º 125/2025, que aprova o novo Regime Jurídico da Cibersegurança (RJC), o Centro Nacional de Cibersegurança (CNCS) verá reforçadas as suas atribuições e competências enquanto Autoridade Nacional de Cibersegurança, que consolidam a sua missão de garantir que Portugal alcança e mantém um nível elevado de cibersegurança.
Nos termos do diploma, e particularmente dos artigos 19.º e 20.º, o CNCS assume a responsabilidade de promoção da melhoria contínua da cibersegurança nacional, assegurando a antecipação, deteção, reação e recuperação perante incidentes que possam comprometer o interesse nacional, o funcionamento de entidades essenciais, importantes e entidades públicas relevantes.
O CNCS é, ainda, designado como ponto de contacto único para a cooperação em matéria de cibersegurança no contexto da União Europeia e internacional, atuando em estreita articulação com as congéneres europeias, a Comissão Europeia, a ENISA e outras organizações e redes, incluindo o Grupo de Cooperação, a Rede Europeia de CSIRTs e a UE-CyCLONe.
O diploma estabelece que o CNCS continua a integrar na sua estrutura o CERT.PT - equipa nacional de resposta a incidentes de cibersegurança -, reforçando as capacidades e competências relativas à prevenção, monitorização, deteção e resposta a ciberataques e ciberameaças. Em particular, o CERT.PT é designado coordenador para efeitos da divulgação coordenada de vulnerabilidades, desempenhando um papel de intermediário de confiança entre os investigadores de vulnerabilidades e as entidades que se encontram potencialmente vulneráveis.
Enquanto autoridade nacional de certificação de cibersegurança, o CNCS assume competências específicas ao abrigo do Regulamento (UE) 2019/881 (conhecido como Cybersecurity Act) promovendo a criação, avaliação e implementação de esquemas de certificação nacionais e europeus, garantindo que organismos e entidades cumprem os requisitos legais aplicáveis.
Destacam-se como competências do CNCS
No âmbito da supervisão:
- Inspeções no local e supervisão remota;
- Auditorias de segurança, regulares ou direcionadas;
- Auditorias ad hoc com fundamento na verificação de incidente;
- Verificações de segurança com base em critérios de avaliação dos riscos objetivos;
- Pedidos de informações para avaliar o cumprimento das medidas de cibersegurança;
- Pedidos de acesso a dados, documentos e informações;
- Pedidos de apresentação das provas demonstrativas da aplicação das políticas e procedimentos de cibersegurança.
No âmbito das medidas de execução:
- Emitir advertências sobre infrações ao RJC;
- Exigir a correção de deficiências detetadas ou infrações ao RJC por parte das entidades;
- Determinar que as entidades cessem condutas que infrinjam o RJC;
- Determinar a adoção de medidas de gestão dos riscos de cibersegurança;
- Determinar que as entidades informem potenciais afetados por ciberameaças;
- Determinar que as entidades apliquem recomendações, resultado de auditoria;
- Aplicar coimas.
O CNCS, como Autoridade Nacional de Cibersegurança, é a instituição pública portuguesa que tem por missão contribuir para que os cidadãos e as organizações nacionais usem o ciberespaço de uma forma livre, confiável e segura, atuando em sete áreas distintas e complementares:
- Formação e Treino;
- Desenvolvimento de Capacidades;
- Sensibilização;
- Conhecimento situacional;
- Resposta a Incidentes;
- Divulgação coordenada de vulnerabilidades;
- Regulação, Supervisão e Certificação.
Com o novo Regime Jurídico da Cibersegurança, o CNCS reforça o seu papel central na proteção do ciberespaço nacional, no apoio às entidades públicas e privadas e defesa dos interesses estratégicos do Estado português, com vista à promoção de uma cultura de cibersegurança e de um ecossistema +Resiliente.