Saltar para o conteúdo
Lei Ciber MZ

Pesquisar em todo o portal

Boletim da República · I série · n.º 123Lei n.º 13/2026, de 1 de Julho · Lei de Segurança Cibernética
Páginas desta lei

Artigos 47 a 56

Dez requisitos mínimos, obrigatórios para todos.

O artigo 48 define os requisitos mínimos de segurança e declara-os decumprimento obrigatório por todas as entidades abrangidas pela lei. Não é uma recomendação: o incumprimento é contravenção punível com multa de 90 a 160 salários mínimos art. 75 art. 76.

  1. Política de segurança de informação

    Documento aprovado pela gestão que define objectivos, âmbito, papéis e regras de segurança da informação da organização.

    Template disponível →
  2. Metodologia de gestão do risco cibernético

    Processo formal para identificar, avaliar, tratar e rever riscos cibernéticos, com responsáveis e periodicidade definidos.

    Template disponível →
  3. Procedimentos de notificação de incidentes

    Procedimento interno que garante a notificação ao CSIRT sectorial e nacional dentro do prazo definido pela autoridade.

    Template disponível →
  4. Mecanismos de prevenção, correcção e mitigação

    Controlos técnicos e organizacionais que previnem, corrigem ou reduzem o risco cibernético identificado na avaliação.

  5. Infra-estrutura de cópias de segurança e reposição

    Backups testados e um processo de reposição que garanta a recuperação rápida após um incidente.

    Template disponível →
  6. Auditoria interna de segurança e supervisão

    Mecanismos de auditoria interna e supervisão contínua da eficácia das medidas de segurança.

  7. Conformidade com a legislação e normas do sector

    Verificação regular do cumprimento da legislação e das normas técnicas aplicáveis ao sector de actividade.

  8. Capacitação e consciencialização permanentes

    Programa contínuo de formação e sensibilização dos colaboradores em segurança cibernética.

  9. Responsável pela segurança de informação

    Nomeação formal de um responsável com autoridade para garantir o cumprimento das medidas de segurança. O artigo 50 acrescenta a nomeação de um auditor interno.

    Template disponível →
  10. Equipa de detecção e resposta a incidentes

    Equipa especializada na detecção e resposta a incidentes: o CSIRT institucional exigido em vários artigos da lei.

    Template disponível →

Requisitos reforçados por categoria

Além do artigo 48, os artigos 50 a 56 detalham requisitos por tipo de entidade: a administração pública e o sector privado devem nomear responsável e auditor interno e criar política institucional art. 50; os operadores de infra-estruturas críticas art. 51 e de serviços essenciais art. 52 devem gerir o risco segundo os progressos técnicos mais recentes; os provedores de serviços digitais e intermediários devem cobrir segurança de sistemas e instalações, tratamento de incidentes, continuidade, auditoria e conformidade com normas internacionais art. 53 art. 54; centros de dados e nuvem respondem pela integridade, confidencialidade e disponibilidade dos dados armazenados art. 55 art. 56.