Saltar para o conteúdo
Lei Ciber MZ

Pesquisar em todo o portal

Comparação internacional

A lei 13/2026 ao lado da Directiva NIS2.

A referência europeia mais recente em segurança de redes e sistemas, linha a linha ao lado da lei moçambicana.

A lei 13/2026 de Moçambique e a Directiva NIS2 da União Europeia partilham a mesma lógica: identificar as entidades cujos serviços são críticos para a sociedade, impor-lhes medidas mínimas de gestão de risco e obrigá-las a notificar incidentes relevantes a uma autoridade nacional. A NIS2, publicada em Dezembro de 2022 e transposta pelos Estados-Membros até Outubro de 2024, é o instrumento europeu mais recente e serve de termo de comparação natural. As diferenças estão na granularidade das obrigações, nos prazos de notificação e na dimensão das sanções.

DimensãoLei 13/2026 (Moçambique)Directiva (UE) 2022/2555 (NIS2)
Instrumento e naturezaLei 13/2026, lei nacional de aplicação directa, em vigor a 29 de Setembro de 2026.Directiva (UE) 2022/2555, que carece de transposição para o direito interno de cada Estado-Membro.A directiva fixa mínimos; cada país pode ser mais exigente na transposição.
Âmbito sectorialNove categorias de operadores e provedores, além da administração pública e do sector privado em geral.Dezoito sectores: onze de alta criticidade (Anexo I) e sete de criticidade elevada (Anexo II).A NIS2 delimita os sectores por anexos; a lei 13 usa categorias funcionais mais amplas.
Classificação das entidadesCategorias de entidades (operadores de infra-estrutura crítica, serviços essenciais, provedores digitais, etc.), sem distinção formal por regime sancionatório.Duas classes: entidades essenciais e entidades importantes, com supervisão e coimas diferenciadas.A NIS2 gradua a fiscalização conforme a classe; a lei 13 não faz essa distinção binária.
Registo perante a autoridadeRegisto obrigatório na Autoridade Nacional de Segurança Cibernética (ANSC).Registo junto da autoridade competente ou do CSIRT nacional; registo centralizado na ENISA para certos provedores digitais.
Medidas de gestão de riscoDez requisitos mínimos do artigo 48 (política de segurança, gestão de risco, notificação, backups, auditoria, formação, responsável de segurança, equipa de resposta, entre outros).Dez medidas de gestão de risco do artigo 21 (análise de risco, tratamento de incidentes, continuidade de negócio, segurança da cadeia de fornecimento, cifra, higiene básica, formação, entre outras).Ambos adoptam uma abordagem all-hazards e listam dez categorias de medidas mínimas.
Segurança da cadeia de fornecimentoNão autonomizada como requisito específico; diluída na gestão de risco geral.Expressamente exigida no artigo 21, incluindo a relação com fornecedores directos e prestadores de serviços.É uma das inovações centrais da NIS2 face à sua antecessora, a NIS1.
Responsabilidade da gestãoExige responsável de segurança e equipa de resposta (CSIRT institucional), sem regime específico de responsabilização dos órgãos de administração.Os órgãos de administração aprovam as medidas, supervisionam a sua execução e podem ser responsabilizados pessoalmente (artigo 20).A NIS2 leva a responsabilidade ao topo da organização de forma expressa.
Notificação de incidentesNotificação dos incidentes com impacto significativo; prazos concretos a fixar em regulamentação (prevista até 28 de Dezembro de 2026).Notificação faseada do artigo 23: alerta precoce em 24 horas, notificação em 72 horas e relatório final até um mês.A NIS2 já tem prazos fixos e faseados; a lei 13 remete os prazos para regulamentação.
Critério de significânciaImpacto significativo medido por número de utilizadores afectados, duração, área geográfica, gravidade e impacto económico-social (artigo 57).Incidente significativo quando causa perturbação operacional grave, perdas financeiras ou afecta terceiros com danos materiais ou imateriais (artigo 23).Os critérios são convergentes na substância.
Retenção de dadosRetenção de dados de tráfego e de assinante por um ano.A NIS2 não impõe retenção generalizada de dados; a matéria é regida por outros instrumentos (RGPD, ePrivacy) e limitada pela jurisprudência do TJUE.Divergência relevante: a lei 13 estabelece retenção que na UE seria juridicamente controversa.
Autoridade e cooperaçãoANSC como autoridade nacional; CSIRT nacional (nCSIRT.MZ) para incidentes.Autoridades competentes nacionais, CSIRTs, rede de CSIRTs, Grupo de Cooperação e EU-CyCLONe para gestão de crises transfronteiriças.A NIS2 assenta numa arquitectura de cooperação europeia que não tem equivalente regional em Moçambique.
SançõesMultas até 160 salários mínimos da função pública (requisitos de segurança) e 80 a 100 pela falha de notificação.Coimas até 10 milhões de euros ou 2% do volume de negócios mundial (entidades essenciais) e 7 milhões ou 1,4% (entidades importantes).A NIS2 indexa a coima ao volume de negócios; a lei 13 indexa ao salário mínimo, o que gera tectos muito inferiores.
Certificação e supervisão proactivaAuditoria e fiscalização pela ANSC; sem esquemas de certificação próprios.Possibilidade de exigir certificação europeia de cibersegurança e supervisão ex ante das entidades essenciais.

Semelhanças principais

  • Ambos identificam entidades críticas por sector e função e impõem-lhes um dever geral de segurança.
  • Ambos listam cerca de dez medidas mínimas de gestão de risco, numa abordagem que cobre todos os tipos de ameaça.
  • Ambos criam uma autoridade nacional e uma estrutura de resposta a incidentes (CSIRT).
  • Ambos exigem a notificação dos incidentes com impacto ou significado relevante, com relatório de seguimento.
  • Ambos prevêem auditoria, supervisão e um regime sancionatório para o incumprimento.

Diferenças principais

  • A NIS2 fixa prazos de notificação faseados e concretos (24h, 72h, 1 mês); a lei 13 remete os prazos para regulamentação futura.
  • A NIS2 gradua entidades essenciais e importantes com regimes de supervisão distintos; a lei 13 não faz essa distinção.
  • As coimas da NIS2 são indexadas ao volume de negócios mundial (até 10M€ ou 2%); as multas da lei 13 são indexadas ao salário mínimo, resultando em tectos muito inferiores.
  • A lei 13 impõe retenção de dados por um ano; a NIS2 não prevê retenção generalizada, matéria limitada na UE pela jurisprudência do TJUE.
  • A NIS2 autonomiza a segurança da cadeia de fornecimento e a responsabilização pessoal dos órgãos de gestão; a lei 13 não o faz de forma expressa.