Perguntas frequentes
As dúvidas de toda a gente, respondidas ao ponto.
Quando é que as leis entram em vigor?→
Ambas entram em vigor 90 dias após a publicação de 1 de Julho de 2026, ou seja, a 29 de Setembro de 2026. As obrigações e as contravenções são exigíveis a partir dessa data, mesmo que a regulamentação (prevista até 28 de Dezembro de 2026) ainda não tenha sido publicada.
A minha empresa é abrangida pela lei de segurança cibernética?→
Muito provavelmente sim. A lei aplica-se à administração pública, ao sector privado em geral e a nove categorias específicas de operadores e provedores, além de pessoas singulares que usam redes de dados. Use a calculadora de classificação para identificar a sua categoria exacta e as obrigações correspondentes.
O que tenho de fazer primeiro para cumprir a lei 13/2026?→
Quatro passos: identificar a categoria da organização; registar-se na Autoridade Nacional de Segurança Cibernética; implementar os dez requisitos mínimos do artigo 48 (política de segurança, gestão de risco, notificação, backups, auditoria, formação, responsável de segurança e equipa de resposta); e preparar o procedimento de notificação de incidentes. O roadmap de conformidade ordena tudo isto em 90 dias.
O que é um CSIRT institucional e quem tem de o criar?→
É a equipa interna de resposta a incidentes de segurança cibernética. Devem criá-lo os operadores de infra-estruturas críticas, os operadores de serviços essenciais, os provedores de serviços digitais, as plataformas, os centros de dados, a nuvem, as comunicações digitais e, em geral, a administração pública e o sector privado (artigo 50). Não precisa de ser um departamento enorme: precisa de mandato formal, responsável, contactos e procedimentos.
Que multas arrisco se não cumprir?→
As mais pesadas: 90 a 160 salários mínimos da função pública por incumprimento dos requisitos de segurança e 80 a 100 por falhar a notificação de incidentes. Operar sem licença custa 64 salários mínimos. As multas acumulam com eventual responsabilidade penal.
Tenho mesmo de notificar todos os incidentes?→
Não todos: apenas os incidentes com impacto significativo, medido pelo número de utilizadores afectados, duração, área geográfica, gravidade e impacto económico-social (artigo 57). Mas atenção: depois da notificação há um relatório mensal de resposta e resolução, e o prazo concreto de notificação será fixado pela autoridade na regulamentação.
Sou programador ou investigador de segurança. Posso testar sistemas e divulgar falhas?→
A divulgação de boa-fé está protegida pelo artigo 66 da lei 13/2026: sem extorsão, com prazo de pelo menos 90 dias para correcção antes de publicar, com precauções e minimização de dano. Mas o acesso ilegítimo continua a ser crime: teste apenas sistemas seus, com autorização escrita, ou dentro de programas de divulgação coordenada. Métodos como DoS, engenharia social e malware fazem perder a protecção.
As VPNs e a encriptação passam a ser proibidas?→
Não há proibição directa. Mas a alínea k) do artigo 75 sanciona o provedor que não adopte as medidas necessárias para permitir a desencriptação de comunicações sob mandado judicial, e o alcance disto (incluindo para cifra ponta-a-ponta) só ficará claro com a regulamentação. É um dos pontos a acompanhar.
O que muda para quem usa a Internet como cidadão comum?→
Três coisas principais: os serviços que usa passam a registar a sua identidade (fim do anonimato prático); os dados de tráfego e localização ficam guardados um ano; e nascem crimes novos que o protegem (burla informática, extorsão, falsidade) e outros que exigem cuidado com o que se publica, como o tipo de terrorismo cibernético do artigo 12.
A lei 14/2026 pune a posse de pornografia infantil?→
Não expressamente: o artigo 15 pune produzir, oferecer, trocar, disponibilizar, transmitir ou publicar, com pena de 6 meses a 1 ano, mas não tipifica a posse nem o aliciamento de menores. É uma das lacunas mais criticáveis do diploma; outros crimes do Código Penal podem, em certos casos, aplicar-se.
A quem denuncio um crime cibernético em Moçambique?→
Ao SERNIC (Serviço Nacional de Investigação Criminal) ou directamente ao Ministério Público. Preserve a prova antes de mais nada: capturas de ecrã com data visível, mensagens originais, cabeçalhos de e-mail e registos. O CSIRT nacional (nCSIRT.MZ) recebe notificações de incidentes de segurança.
Este portal substitui aconselhamento jurídico?→
Não. O conteúdo é informativo e cita sempre os artigos das leis, mas decisões concretas de conformidade ou defesa devem ser validadas com advogados habilitados em Moçambique.