Saltar para o conteúdo
Lei Ciber MZ

Pesquisar em todo o portal

← Notícias e análises
Prazos4 de julho de 2026Equipa Lei Ciber MZ

As datas que a sua organização não pode falhar

Três marcos definem o calendário da segurança cibernética em Moçambique: a publicação, a entrada em vigor a 29 de Setembro de 2026 e a regulamentação até 28 de Dezembro. Entre eles há um desalinhamento que obriga a agir já.

A Lei n.º 13/2026, de segurança cibernética, e a Lei n.º 14/2026, de crimes cibernéticos, foram publicadas no Boletim da República, I Série, n.º 123, de 1 de Julho de 2026. A partir dessa data começou a correr um calendário rígido que toda a organização com actividade digital em Moçambique tem de conhecer. São três os marcos que estruturam esse calendário e é o intervalo entre eles que cria o principal desafio de conformidade.

Marco 1: publicação, 1 de Julho de 2026

A publicação no Boletim da República não é um mero acto formal. É o momento a partir do qual todos os prazos passam a contar. Não há período de graça anterior à publicação nem interpretação que adie este ponto de partida. Quem só souber da lei mais tarde perde parte do tempo útil de preparação, mas não ganha prazo adicional.

Marco 2: entrada em vigor, 29 de Setembro de 2026

As duas leis entram em vigor 90 dias após a publicação, ou seja, a 29 de Setembro de 2026. Nessa data as obrigações passam a ser exigíveis e as condutas tipificadas na Lei 14/2026 passam a ser puníveis. As nove categorias de entidades abrangidas pela Lei 13/2026 ficam sujeitas ao registo na Autoridade Nacional de Segurança Cibernética, aos dez requisitos mínimos do artigo 48 e ao regime de notificação de incidentes dos artigos 57 a 65.

Noventa dias parece confortável, mas não é. Nomear um responsável de segurança, aprovar uma política interna, montar um CSIRT institucional e desenhar o procedimento de notificação de incidentes são tarefas que envolvem decisão de gestão, orçamento e, muitas vezes, contratação. Feito à pressa, o resultado é formal mas não funcional.

Marco 3: regulamentação, 28 de Dezembro de 2026

O Conselho de Ministros tem 180 dias a contar da publicação para aprovar a regulamentação, ou seja, até 28 de Dezembro de 2026. É este regulamento que deverá concretizar aspectos que a lei deixou em aberto: os prazos exactos de notificação de incidentes, os requisitos técnicos detalhados, o funcionamento do fundo de segurança cibernética e o valor das contribuições.

O desalinhamento que ninguém pode ignorar

Aqui está o ponto crítico. A lei entra em vigor a 29 de Setembro, mas a regulamentação só é obrigatória até 28 de Dezembro. Existe, portanto, uma janela de cerca de três meses em que as obrigações já são exigíveis mas as regras de execução ainda podem não estar publicadas. E nada garante que o Governo esgote o prazo máximo ou que o regulamento cubra todas as lacunas de imediato.

Este desalinhamento não é desculpa para adiar. As obrigações estruturais da lei não dependem do regulamento para serem cumpridas. O registo, a nomeação de responsáveis, a política de segurança e a capacidade de responder a incidentes resultam directamente do texto legal. Esperar pelo regulamento é arriscar chegar a 29 de Setembro sem nada feito e sem argumento válido perante o regulador.

O que fazer já

  • Classificar a entidade. Determine se e em que categoria a sua organização se enquadra nas nove categorias da Lei 13/2026. Use a ferramenta de classificação de entidades para um primeiro diagnóstico.
  • Nomear responsáveis. Designe já o responsável de segurança cibernética e o auditor, mesmo antes de o regulamento detalhar as suas funções.
  • Aprovar a política de segurança. Não precisa do regulamento para adoptar uma política interna alinhada com os requisitos mínimos do artigo 48.
  • Preparar a notificação de incidentes. Desenhe o procedimento interno de detecção e comunicação, pronto a ajustar-se aos prazos que o regulamento vier a fixar. Consulte o regime de notificação.
  • Seguir o roadmap. O nosso roadmap de conformidade organiza estas tarefas numa sequência realista até 29 de Setembro.

O calendário está definido e não recua. As organizações que tratarem estes três marcos como um único projecto, começado agora, chegam à entrada em vigor preparadas. As que esperarem pela clareza total do regulamento arriscam-se a descobrir, em Dezembro, que já estavam em incumprimento desde Setembro.

Conteúdo informativo, não constitui aconselhamento jurídico. Para decisões concretas, confirme sempre no texto integral das leis e com apoio jurídico habilitado.