Saltar para o conteúdo
Lei Ciber MZ

Pesquisar em todo o portal

← Notícias e análises
Guia4 de julho de 2026Equipa Lei Ciber MZ

Cinco passos para começar a conformidade hoje

Um guia accionável para pôr a sua organização em movimento antes de 29 de Setembro: classificar a entidade, nomear responsáveis, aprovar a política, montar o CSIRT e seguir o roadmap. Sem esperar pelo regulamento.

A conformidade com a Lei n.º 13/2026 não se resolve num dia, mas começa num. Entre a publicação, a 1 de Julho de 2026, e a entrada em vigor, a 29 de Setembro de 2026, há pouco mais de dois meses e meio. Este guia divide o trabalho em cinco passos concretos, pela ordem em que fazem sentido. Nenhum deles depende da regulamentação, pelo que todos podem arrancar hoje.

Passo 1: classificar a entidade

Antes de fazer o que quer que seja, é preciso saber se a organização está abrangida e em que categoria. A Lei 13/2026 define nove categorias de entidades, de operadores de infra-estruturas críticas a prestadores de serviços digitais. A categoria determina a intensidade das obrigações e o nível de escrutínio do regulador.

Não presuma. Uma empresa que se julgue fora do âmbito pode descobrir que um dos seus serviços a coloca dentro. Faça o diagnóstico com a ferramenta de classificação de entidades e documente a conclusão, com a fundamentação. Se for entidade abrangida, terá de proceder ao registo junto da Autoridade Nacional de Segurança Cibernética.

Passo 2: nomear o responsável e o auditor

A segurança cibernética precisa de dono. Designe formalmente um responsável de segurança cibernética, com mandato, autoridade e linha directa à gestão de topo. Não tem de ser uma contratação nova; pode ser a atribuição clara de responsabilidade a alguém com competência para o cargo. O que não pode é ficar por atribuir.

Em paralelo, identifique quem fará a auditoria de conformidade. A separação entre quem executa e quem verifica é um princípio elementar de controlo interno e a lei valoriza-a. Ter estes dois papéis definidos desde cedo dá coerência a tudo o que se segue.

Passo 3: aprovar a política de segurança

A política de segurança da informação é o documento de referência que traduz os dez requisitos mínimos do artigo 48 em regras internas. Deve cobrir governação, gestão de risco, controlo de acessos, classificação de informação, gestão de fornecedores e resposta a incidentes, entre outros domínios.

Aprovada ao nível da gestão de topo, a política demonstra compromisso e dá base formal às medidas técnicas e organizativas. Não a construa do zero: parta dos nossos templates, que já reflectem a estrutura exigida pela lei, e adapte-os à realidade da organização.

Passo 4: montar o CSIRT e o procedimento de notificação

A Lei 13/2026 exige um CSIRT institucional, a equipa responsável por detectar, responder e reportar incidentes de segurança, articulada com o nCSIRT.MZ nacional. Constituir o CSIRT significa definir composição, papéis, canais de comunicação e níveis de escalonamento.

Ligado ao CSIRT está o procedimento de notificação de incidentes dos artigos 57 a 65. Desenhe-o para o cenário mais exigente: detecção rápida, avaliação de gravidade, comunicação à autoridade e registo. Mesmo que o regulamento venha a fixar prazos mais folgados, um procedimento rápido cumpre sempre. Consulte o regime de notificação de incidentes para o enquadramento.

Passo 5: correr o roadmap até 29 de Setembro

Os quatro passos anteriores são o núcleo. Falta orquestrá-los no tempo, com responsáveis e prazos internos, e acrescentar as tarefas de suporte: inventário de activos, avaliação de risco, plano de retenção de dados alinhado com os artigos 37 a 42 e preparação da contribuição para o fundo de segurança cibernética.

O nosso roadmap de conformidade sequencia estas tarefas de forma realista até à entrada em vigor. Percorra-o semana a semana, marque o que está feito e concentre esforço no que falta.

Guarde o seu progresso na área reservada

Estes cinco passos geram documentos, decisões e provas de conformidade que importa organizar e conservar. Na área reservada do site pode guardar o estado de cada passo, associar os templates preenchidos e acompanhar o roadmap da sua organização num único lugar. Aceda em app.

Conformidade não é um acto único, é um processo. Mas todo o processo tem um primeiro passo, e o melhor momento para o dar foi ontem. O segundo melhor é hoje.

Conteúdo informativo, não constitui aconselhamento jurídico. Para decisões concretas, confirme sempre no texto integral das leis e com apoio jurídico habilitado.