Saltar para o conteúdo
Lei Ciber MZ

Pesquisar em todo o portal

← Notícias e análises
Regulamentação4 de julho de 2026Equipa Lei Ciber MZ

O que ainda falta saber: a regulamentação que aí vem

A Lei 13/2026 remete para regulamento vários pontos decisivos: prazos de notificação, requisitos técnicos, funcionamento do fundo e valor das contribuições. Explicamos o que ainda está em aberto e porque não vale a pena esperar.

Uma lei-quadro estabelece princípios e obrigações; um regulamento diz como cumpri-los na prática. A Lei n.º 13/2026 é uma lei-quadro. Fixa quem está abrangido, o que é exigido e que sanções se aplicam, mas remete para o Conselho de Ministros a definição de vários pontos operacionais. Esse regulamento é obrigatório até 28 de Dezembro de 2026, 180 dias após a publicação. Convém saber o que ainda está por concretizar e, sobretudo, porque isso não deve travar a preparação.

O que a lei deixou para o regulamento

Prazos de notificação de incidentes

Os artigos 57 a 65 impõem o dever de notificar incidentes de segurança cibernética, mas o detalhe dos prazos concretos, dos formatos de comunicação e dos limiares de gravidade a partir dos quais um incidente tem de ser reportado tende a ficar para o regulamento. A obrigação de notificar já existe na lei; o que o regulamento fará é fixar o cronómetro e o formulário. Enquanto isso não acontece, a organização deve preparar-se para os cenários mais exigentes.

Requisitos técnicos detalhados

O artigo 48 enumera dez requisitos mínimos de segurança. São requisitos de alto nível: governação, gestão de risco, controlo de acessos, resposta a incidentes, entre outros. A tradução destes princípios em normas técnicas concretas, referenciais de controlos e níveis de maturidade exigíveis é matéria natural de regulamentação. Uma organização que já trabalhe sobre referenciais internacionais reconhecidos parte com vantagem, porque o regulamento raramente se afasta muito das boas práticas consolidadas.

Funcionamento do fundo de segurança cibernética

Os artigos 67 a 71 criam um fundo de segurança cibernética, financiado por uma contribuição correspondente a 1% da receita das entidades abrangidas. A lei cria o mecanismo, mas os aspectos práticos, como a base de incidência exacta, a periodicidade dos pagamentos, as regras de gestão e as isenções eventuais, dependem de concretização. Recomendamos acompanhar de perto este ponto, pela sua implicação financeira directa. Veja o detalhe em fundo de segurança cibernética.

Valor e apuramento das contribuições

Ligado ao ponto anterior, o modo como se apura a “receita” relevante para o cálculo do 1% pode ter grande impacto no montante a pagar. Receita bruta, receita líquida, receita da actividade regulada ou receita total são conceitos com resultados muito diferentes. Esta é uma das definições mais aguardadas do regulamento.

Porque não deve esperar pelo regulamento

É tentador concluir que, faltando estas peças, o melhor é aguardar. Seria um erro, por três razões.

Primeira: a lei entra em vigor antes do regulamento. As obrigações passam a ser exigíveis a 29 de Setembro de 2026, mas o regulamento só é obrigatório até 28 de Dezembro. Existe uma janela em que a organização já pode estar em incumprimento sem que o regulamento a tenha ainda ajudado. Quem espera arrisca começar tarde.

Segunda: a maior parte do trabalho não depende do regulamento. Classificar a entidade, nomear o responsável de segurança e o auditor, aprovar a política interna, constituir o CSIRT institucional e desenhar o procedimento de resposta a incidentes são tarefas que resultam directamente da lei. O regulamento afina prazos e requisitos técnicos, mas não cria estas obrigações do zero.

Terceira: preparar-se para o cenário mais exigente é sempre seguro. Se desenhar o seu procedimento de notificação para responder depressa, cumprirá qualquer prazo que o regulamento venha a fixar. Se dimensionar os seus controlos por referenciais reconhecidos, dificilmente ficará aquém do que o regulamento exigir.

Uma estratégia sem arrependimentos

A abordagem racional é avançar já com tudo o que não depende do regulamento e deixar preparados os pontos que dele dependem, prontos a ajustar. Construa a política, o CSIRT e o procedimento de notificação sobre a base da lei; parametrize depois os prazos e os montantes quando o regulamento sair. Assim, a 28 de Dezembro estará apenas a afinar, não a começar.

Comece pelo roadmap de conformidade e pelos templates que já reflectem as obrigações da lei. O regulamento virá; quem esperou por ele para começar chegará atrasado.

Conteúdo informativo, não constitui aconselhamento jurídico. Para decisões concretas, confirme sempre no texto integral das leis e com apoio jurídico habilitado.