O Governo aprovou, a 27 de maio de 2026, a Resolução do Conselho de Ministros n.º 102/2026, publicada em Diário da República, que estabelece o Plano Nacional de Nuvem Soberana (PNCS). O objetivo passa por reforçar a soberania digital do Estado português, aumentar a resiliência das infraestruturas críticas e garantir maior controlo sobre os dados e sistemas da Administração Pública.
A resolução enquadra a criação de uma infraestrutura nacional de serviços cloud orientada para segurança, soberania digital e interoperabilidade entre entidades públicas. Embora não imponha imediatamente obrigações específicas às autarquias locais, poderá condicionar futuras políticas de financiamento, contratação tecnológica, alojamento de dados e integração de sistemas municipais com plataformas da Administração Central.
O que é a Nuvem Soberana?
A Nuvem Soberana (ou Sovereign Cloud) é uma infraestrutura de computação em nuvem concebida para garantir que os dados, serviços digitais e sistemas críticos de um país permanecem sob controlo nacional ou regional, respeitando regras locais de segurança, privacidade e soberania digital. A medida surge como um passo decisivo para acelerar a transformação digital da Administração Pública, criando uma infraestrutura comum capaz de alojar, processar e proteger dados críticos do Estado de forma mais eficiente e segura.
Porquê agora?
O Governo destaca que o aumento dos riscos associados ao cibercrime, fenómenos meteorológicos extremos e guerra eletrónica torna essencial assegurar a continuidade operacional do Estado e a proteção da informação estratégica. Este plano insere-se na Estratégia Digital Nacional, que inclui o desenvolvimento de uma cloud soberana para a Administração Pública como Iniciativa 12.3 do Plano de Ação 2025-2026, cuja execução ficou a cargo da ARTE (ex-AMA).
Os quatro níveis de soberania dos dados
Um dos elementos centrais do PNCS é a criação de um modelo de classificação dos processos e dados da Administração Pública em quatro níveis:
- Neutro — dados sem requisitos especiais de soberania
- Corrente — dados operacionais do dia-a-dia
- Crítico — dados sensíveis que requerem proteção reforçada
- Estratégico — dados de segurança nacional e infraestruturas essenciais
Consoante o impacto e a criticidade dos dados, serão aplicados diferentes requisitos de segurança, soberania e controlo operacional. O modelo permitirá identificar quais os sistemas que necessitam de maior proteção e quais podem utilizar soluções cloud mais abertas e flexíveis.
Infraestrutura, IA soberana e catálogo unificado
O plano inclui também o desenvolvimento de uma infraestrutura nacional soberana de cloud, incluindo capacidades de Inteligência Artificial soberana. Além disso, será criado um catálogo unificado de serviços cloud para a Administração Pública, permitindo uma gestão mais centralizada e eficiente dos recursos digitais do Estado.
A nova nuvem governamental não servirá apenas para o armazenamento seguro de documentação pública — o diploma prevê a integração de capacidades de IA que assegurem a independência tecnológica e operacional do país.
Metas de formação e capacitação
- Formar pelo menos 10% dos especialistas de informática da Administração Pública em soberania digital até 2028
- Capacitar mais de 1000 dirigentes e gestores de projeto até 2030
Ainda neste semestre, o Governo comprometeu-se a eliminar barreiras burocráticas no processo de aquisição de soluções em nuvem, abrindo o mercado a um conjunto mais diversificado de fornecedores. Na segunda metade do ano, serão estabelecidos critérios transparentes para que estes serviços possam ser financiados através de fundos europeus e nacionais.
Alinhamento com a estratégia europeia
O Plano Nacional de Nuvem Soberana segue a orientação estratégica da União Europeia em matéria de autonomia tecnológica. A Comissão Europeia publicou em outubro de 2025 o seu Cloud Sovereignty Framework, incentivando os Estados-membros a desenvolver infraestruturas próprias para proteger dados críticos e reduzir dependências externas. Portugal junta-se assim a outros países europeus que reforçam a sua soberania digital num contexto marcado pela crescente importância da inteligência artificial, da cloud computing e da proteção de dados.
Ligação ao novo regime jurídico de cibersegurança (NIS2)
Este plano articula-se diretamente com o Decreto-Lei aprovado em novembro de 2025, que transpôs a Diretiva NIS2 (Diretiva UE 2022/2555) para o direito nacional. A nova legislação de cibersegurança entrou oficialmente em vigor a 3 de abril de 2026, obrigando entidades públicas e privadas a adotar medidas de prevenção contra ciberataques. O Centro Nacional de Cibersegurança (CNCS) tem um papel central na supervisão, podendo aplicar sanções até 10 milhões de euros ou 2% da receita anual global.
Implicações para as autarquias e entidades públicas
Embora o PNCS não imponha imediatamente obrigações específicas às autarquias locais, poderá condicionar futuras políticas de financiamento, contratação tecnológica, alojamento de dados e integração de sistemas municipais com plataformas da Administração Central. As entidades públicas deverão acompanhar de perto a regulamentação complementar que venha a ser publicada.
📄 Fonte: Diário da República — Resolução do Conselho de Ministros n.º 102/2026, de 27 de maio