Saltar para o conteúdo
Lei Ciber MZ

Pesquisar em todo o portal

Boletim da República · I série · n.º 123Lei n.º 13/2026, de 1 de Julho · Lei de Segurança Cibernética
Páginas desta lei

Artigos 57 a 65

Teve um incidente? A lei diz a quem tem de o contar.

Todas as entidades abrangidas têm de notificar os incidentes com impacto significativo e submeter depois um relatório mensal de resposta e resolução. A notificação não agrava a responsabilidade de quem notifica art. 58, e há um regime de notificação voluntária protegida art. 65.

O que é um incidente com impacto significativo

O artigo 57 considera significativo o incidente que cumpra pelo menos uma destas condições: classificação como grave na avaliação de risco; interrupção do serviço essencial para lá do tempo máximo admissível; interrupção da continuidade de outro prestador de serviço essencial; necessidade de medidas extraordinárias de reposição; ou danos, efectivos ou potenciais, para os serviços da infra-estrutura crítica, outros provedores ou utilizadores.

Para medir a relevância do impacto contam estes parâmetros art. 59:

  • o número de utilizadores afectados, em particular os que dependem do serviço para prestar os seus próprios serviços;
  • a duração do incidente;
  • a distribuição geográfica da zona afectada;
  • o nível de gravidade da perturbação do funcionamento do serviço;
  • a extensão do impacto nas actividades económicas e sociais.
Fluxo de notificação de incidentesPASSO 1 · DETECÇÃOIncidente detectadoo CSIRT institucional avaliao impacto (art. 57)PASSO 2 · NOTIFICAÇÃOCSIRT sectoriale, em simultâneo,o CSIRT nacional (nCSIRT.MZ)PASSO 3 · SEGUIMENTORelatório mensalcausas, tempo de resolução,medidas aplicadas e impactoCASOS ESPECIAIScentros de dados e nuvem notificam também os assinantes

Quem notifica o quê

EntidadeNotificaBase legal
Administração pública e sector privadoCSIRT sectorial + CSIRT nacional; relatório mensal também ao CSIRT do Governoart. 58
Operadores de infra-estruturas críticasCSIRT sectorial + CSIRT nacionalart. 59
Operadores de serviços essenciaisCSIRT sectorial + CSIRT nacional, incluindo impactos causados por terceiros prestadoresart. 60
Provedores de serviços digitaisCSIRT sectorial + CSIRT nacionalart. 61
Provedores intermediários de serviçosAutoridade Nacional de Segurança Cibernéticaart. 62
Operadores de centros de dadosANSC + assinantes afectados + CSIRT nacional (incluindo fugas de dados)art. 63
Operadores de computação em nuvemANSC + assinantes afectados + CSIRT nacional, de imediatoart. 64

O relatório mensal

Depois da notificação, praticamente todas as categorias ficam obrigadas a submeter um relatório mensal da resposta e da resolução do incidente, com as causas, o tempo gasto na resolução, as medidas aplicadas e o respectivo impacto. É uma exigência invulgar face aos padrões internacionais, que normalmente pedem um relatório final por incidente, e um encargo administrativo real para as equipas.

Protecções para quem notifica

  • A notificação não acarreta responsabilidades acrescidas para o notificante.
  • A notificação voluntária não pode gerar obrigações que a entidade não teria se não tivesse notificado art. 65.
  • A autoridade deve salvaguardar a confidencialidade e os interesses do notificante ao divulgar incidentes de interesse público art. 60.