Lei n.º 13/2026, de 1 de Julho
A lei que obriga o país inteiro a levar a segurança cibernética a sério.
A Lei n.º 13/2026 estabelece o regime jurídico da segurança cibernética em Moçambique. É a lei preventiva do par legislativo publicado a 1 de Julho de 2026: enquanto a lei dos crimes cibernéticos pune quem ataca, esta obriga quem opera redes, sistemas e serviços digitais a proteger-se, a registar-se junto do Estado e a reportar incidentes.
As datas que interessam
| Marco | Data | Base legal |
|---|---|---|
| Publicação no Boletim da República | 1 de Julho de 2026 | BR I série, n.º 123 |
| Entrada em vigor (90 dias depois) | 29 de Setembro de 2026 | art. 80 |
| Prazo para o Conselho de Ministros regulamentar | 28 de Dezembro de 2026 | art. 79 |
A quem se aplica
O âmbito é praticamente universal art. 2: administração pública, sector privado, operadores de infra-estruturas críticas, provedores intermediários de serviços, provedores de serviços digitais, operadores de serviços essenciais, provedores de serviços de segurança cibernética, operadores de plataformas digitais, operadores de comunicações electrónicas e até pessoas singulares que utilizam redes de comunicação de dados. Ficam de fora apenas as acções do Estado em matéria de defesa nacional, segurança interna e informação classificada.
Se uma entidade couber em mais de uma categoria ao mesmo tempo, aplica-se sempreo regime mais exigente art. 2. Use a nossa calculadora de classificação para saber onde a sua organização se enquadra e o que isso implica.
O que a lei cria
- Um sistema nacional de segurança cibernética com três órgãos: o Conselho Nacional de Segurança Cibernética presidido pelo Primeiro-Ministro, a Autoridade Nacional de Segurança Cibernética (a entidade reguladora de TIC) e a equipa nacional de resposta a incidentes, nCSIRT.MZ. Ver a estrutura completa.
- Registo obrigatório de nove categorias de entidades na Autoridade Nacional de Segurança Cibernética, cada uma com o seu pacote de obrigações. Ver a matriz de obrigações.
- Dez requisitos mínimos de segurança obrigatórios para todas as entidades abrangidas, da política de segurança da informação à equipa de resposta a incidentes. Ver os requisitos.
- Notificação obrigatória de incidentes com impacto significativo, mais um relatório mensal de resposta e resolução. Ver o fluxo de notificação.
- Retenção de dados de tráfego e localização por um ano e registo obrigatório dos utilizadores de praticamente todos os serviços digitais. Ver as regras de retenção.
- Um porto seguro para investigadores de segurança que divulguem vulnerabilidades de boa-fé, com prazo de 90 dias. Ver as condições.
- Um fundo de segurança cibernética financiado, entre outros, por 1% da receita bruta das entidades licenciadas. Ver o fundo.
- Contravenções com multas até 160 salários mínimos da função pública. Ver as molduras ou calcular uma multa.
Por onde começar
- Confirme a classificação da sua organização com a calculadora de classificação.
- Meça o seu ponto de partida com o quiz de conformidade.
- Siga o roadmap de conformidade e use os templates de documentos para produzir as políticas e os procedimentos exigidos.