Saltar para o conteúdo
Lei Ciber MZ

Pesquisar em todo o portal

Boletim da República · I série · n.º 123Lei n.º 13/2026, de 1 de Julho · Lei de Segurança Cibernética
Páginas desta lei

Artigos 16 a 33

Nove categorias de entidades, nove pacotes de obrigações.

A lei regula nove categorias de operadores e provedores, além do regime geral aplicável a toda a administração pública e sector privado. Todas as categorias têm de se registar na Autoridade Nacional de Segurança Cibernética antes de exercer a actividade. Se a sua organização couber em mais de uma categoria, aplica-se o regime mais exigente art. 2.

Operador de infra-estruturas críticasnatureza: art. 16 · obrigações: art. 17

Entidade pública ou privada responsável por assegurar o funcionamento contínuo de infra-estruturas críticas (energia, transportes, água, comunicações, entre outras).

Exemplos típicos

EDM · operadores de aeroportos e portos · empresas de abastecimento de água

Obrigações

  • Estabelecer o CSIRT institucional
  • Aplicar medidas e técnicas de segurança e protecção dos activos essenciais
  • Adoptar uma abordagem de gestão de riscos
  • Dispor de procedimentos sólidos de recuperação de incidentes
  • Manter em sigilo as comunicações dos utilizadores
  • Fornecer comunicações com conteúdo criminoso ou contra a segurança do Estado mediante decisão judicial ou administrativa fundamentada
  • Aplicar medidas de gestão e processos de supervisão eficazes
  • Registar-se na Autoridade Nacional de Segurança Cibernética
  • Notificar incidentes com impacto significativo e submeter relatório mensal
registo na ANSC: obrigatórioCSIRT institucional: obrigatórioregisto de utilizadores: não exigidoentrega de dados: decisão judicial ou administrativa
Provedor intermediário de serviços electrónicosnatureza: art. 18 · obrigações: art. 19

Entidade que, em representação de outra pessoa, envia, recebe ou armazena mensagens de dados, presta acesso à rede ou serviços a partir dela (provedores de acesso, conteúdos, aplicações e hospedagem).

Exemplos típicos

ISPs · empresas de hosting · provedores de acesso

Obrigações

  • Registar os utilizadores dos seus serviços
  • Aplicar medidas de governação, identificação e protecção do risco cibernético
  • Garantir o acesso e assegurar a comunicação de informação transmitida pelos utilizadores
  • Implementar medidas de segurança conformes com padrões e normas
  • Manter em sigilo as comunicações dos utilizadores
  • Fornecer comunicações com conteúdo criminoso ou contra a segurança do Estado mediante decisão judicial ou administrativa fundamentada
  • Colaborar com as autoridades competentes
  • Registar-se na Autoridade Nacional de Segurança Cibernética
  • Notificar incidentes com impacto substancial e submeter relatório mensal
registo na ANSC: obrigatórioCSIRT institucional: não exigido expressamenteregisto de utilizadores: obrigatórioentrega de dados: decisão judicial ou administrativa
Operador de serviços essenciaisnatureza: art. 20 · obrigações: art. 21

Entidade pública ou privada que presta um serviço primário para a manutenção de actividades sociais ou económicas cruciais, dependente de redes e sistemas de informação. A lista consta do anexo II da lei.

Exemplos típicos

bancos · hospitais · operadoras de telecomunicações · sector eléctrico

Obrigações

  • Estabelecer o CSIRT institucional
  • Aplicar medidas de governação, identificação e protecção do risco cibernético
  • Dispor de procedimentos sólidos de recuperação de incidentes
  • Manter em sigilo as comunicações dos utilizadores
  • Fornecer comunicações com conteúdo criminoso ou contra a segurança do Estado mediante decisão judicial ou administrativa fundamentada
  • Registar-se na Autoridade Nacional de Segurança Cibernética e comunicar ao CSIRT nacional
  • Notificar incidentes com impacto significativo e submeter relatório mensal
registo na ANSC: obrigatórioCSIRT institucional: obrigatórioregisto de utilizadores: não exigidoentrega de dados: decisão judicial ou administrativa
Provedor de serviços digitaisnatureza: art. 22 · obrigações: art. 23

Pessoa colectiva pública ou privada que presta serviços por meios electrónicos, em que toda a informação é transmitida e acedida através de uma rede de dados.

Exemplos típicos

lojas online · software como serviço · portais de serviços electrónicos

Obrigações

  • Registar os utilizadores dos seus serviços
  • Estabelecer o CSIRT institucional
  • Aplicar medidas de governação, identificação e protecção do risco cibernético
  • Dispor de procedimentos sólidos de recuperação de incidentes
  • Manter em sigilo as comunicações dos utilizadores
  • Fornecer dados dos utilizadores apenas com despacho de juiz de instrução criminal
  • Colaborar com as autoridades competentes
  • Registar-se na Autoridade Nacional de Segurança Cibernética
  • Notificar incidentes e submeter relatório mensal
registo na ANSC: obrigatórioCSIRT institucional: obrigatórioregisto de utilizadores: obrigatórioentrega de dados: despacho de juiz de instrução criminal
Operador de plataformas digitaisnatureza: art. 24 · obrigações: art. 25

Pessoa colectiva provedora de aplicações da Internet que explora profissionalmente e com fins económicos plataformas digitais que ligam fornecedores a clientes finais.

Exemplos típicos

marketplaces · plataformas de transporte e entregas · redes sociais

Obrigações

  • Registar os utilizadores das suas plataformas
  • Estabelecer o CSIRT institucional
  • Aplicar medidas de governação, identificação e protecção do risco cibernético
  • Manter em sigilo as comunicações dos utilizadores
  • Fornecer dados dos utilizadores apenas com despacho de juiz de instrução criminal
  • Colaborar com as autoridades competentes
  • Registar-se na Autoridade Nacional de Segurança Cibernética
  • Sujeição a regulamentação específica quando presta serviços ao Estado
registo na ANSC: obrigatórioCSIRT institucional: obrigatórioregisto de utilizadores: obrigatórioentrega de dados: despacho de juiz de instrução criminal
Operador de centros de dadosnatureza: art. 26 · obrigações: art. 27

Entidade que presta serviços de armazenamento, tratamento e transmissão de dados em estruturas destinadas ao alojamento, interligação e operação centralizada de equipamento de redes e TI.

Exemplos típicos

datacenters comerciais · infra-estruturas de colocation

Obrigações

  • Registar os seus utilizadores
  • Estabelecer o CSIRT institucional
  • Garantir aos dados conservados a mesma protecção dos dados em trânsito
  • Adoptar medidas contra destruição, perda, alteração ou divulgação não autorizada
  • Adoptar medidas de prevenção e minimização de impacto de incidentes
  • Fornecer dados dos utilizadores apenas com despacho de juiz de instrução criminal
  • Registar-se na Autoridade Nacional de Segurança Cibernética
  • Notificar a ANSC, os assinantes e o CSIRT nacional de incidentes e fugas de dados
  • Adoptar regras internas de continuidade de negócio e recuperação de desastres
registo na ANSC: obrigatórioCSIRT institucional: obrigatórioregisto de utilizadores: obrigatórioentrega de dados: despacho de juiz de instrução criminal
Operador de plataformas de computação em nuvemnatureza: art. 28 · obrigações: art. 29

Pessoa singular ou colectiva que fornece, directa ou indirectamente, um conjunto de recursos flexíveis, escaláveis, físicos ou virtuais, compartilháveis.

Exemplos típicos

provedores de nuvem pública ou privada · revendedores de serviços cloud

Obrigações

  • Estabelecer o CSIRT institucional
  • Registar os seus utilizadores
  • Garantir aos dados conservados a mesma protecção dos dados em trânsito
  • Adoptar medidas contra destruição, perda, alteração ou divulgação não autorizada
  • Adoptar medidas de antecipação, detecção, reacção e recuperação de incidentes
  • Registar-se na Autoridade Nacional de Segurança Cibernética
  • Notificar a ANSC, os assinantes e o CSIRT nacional de incidentes e fugas de dados
  • Sujeição a regulamentação específica quando presta serviços ao Estado
registo na ANSC: obrigatórioCSIRT institucional: obrigatórioregisto de utilizadores: obrigatórioentrega de dados: não especificado na lei
Provedor de serviços de segurança cibernéticanatureza: art. 30 · obrigações: art. 31

Pessoa singular ou colectiva licenciada para prestar serviços de segurança cibernética: tratamento de incidentes, gestão de vulnerabilidades, testes de penetração, forense digital, governação, risco, conformidade e formação.

Exemplos típicos

consultoras de segurança · SOCs comerciais · laboratórios de forense digital

Obrigações

  • Obter licença da Autoridade Nacional de Segurança Cibernética
  • Descrever os serviços oferecidos e os processos técnicos envolvidos
  • Manter em sigilo as comunicações dos utilizadores
  • Adoptar medidas de antecipação, detecção, reacção e recuperação de incidentes
  • Adoptar uma abordagem de gestão de riscos
  • Registar-se na ANSC e comunicar ao CSIRT nacional o exercício da actividade
  • Contribuir com 1% da receita bruta anual para o fundo de segurança cibernética
registo na ANSC: obrigatórioCSIRT institucional: não exigido expressamenteregisto de utilizadores: não exigidoentrega de dados: não especificado na lei
Operador de comunicações digitaisnatureza: art. 32 · obrigações: art. 33

Entidade que fornece um serviço que permite a vários utilizadores enviar mensagens ou documentos, ou interagir em tempo real por voz e vídeo.

Exemplos típicos

aplicações de mensagens · plataformas de videoconferência · e-mail

Obrigações

  • Registar os seus utilizadores
  • Estabelecer o CSIRT institucional
  • Garantir aos dados conservados a mesma protecção dos dados na rede
  • Adoptar medidas contra destruição, perda, alteração ou divulgação não autorizada
  • Descrever os serviços oferecidos e os processos técnicos envolvidos
  • Manter em sigilo as comunicações dos utilizadores
  • Registar-se na Autoridade Nacional de Segurança Cibernética
registo na ANSC: obrigatórioCSIRT institucional: obrigatórioregisto de utilizadores: obrigatórioentrega de dados: não especificado na lei

Administração pública e sector privado (regime geral)

Mesmo quem não cabe em nenhuma categoria específica continua abrangido: os artigos 50 e 58 impõem à administração pública e ao sector privado em geral estas obrigações:

  • Tomar medidas técnicas e organizacionais adequadas ao risco
  • Nomear o responsável e o auditor interno de segurança cibernética
  • Criar uma política de segurança de informação institucional
  • Estabelecer um CSIRT institucional
  • Notificar incidentes com impacto significativo ao CSIRT sectorial e nacional
  • Submeter relatório mensal de resposta e resolução de incidentes