O Centro Nacional de Cibersegurança (CNCS) passa a coordenar, em Portugal, a cooperação entre entidades públicas e privadas para prevenir e responder a crises de eletricidade de origem cibernética. O diploma, publicado em Diário da República e que entra em vigor já este sábado, designa o CNCS como autoridade competente para aplicar em Portugal as regras europeias sobre cibersegurança associadas aos fluxos transfronteiriços de eletricidade — ou seja, às ligações e trocas de energia entre Estados-membros.
O que estabelece o diploma
A alteração insere-se no âmbito do Regulamento Delegado (UE) 2024/1366, que cria um código de rede europeu para os aspetos de cibersegurança dos fluxos elétricos transfronteiriços. No âmbito deste regulamento, cada Estado-membro deve designar uma autoridade nacional competente que assegure a coordenação entre os intervenientes, a aplicação eficaz do regulamento, a cooperação nas áreas da eletricidade e da cibersegurança, e a prevenção, avaliação e partilha de informação sobre crises elétricas de origem cibernética.
O decreto estabelece ainda um dever de colaboração: todos os “serviços, órgãos e demais entidades públicas e privadas” com competências nos fluxos transfronteiriços de eletricidade devem assegurar “a integral colaboração com o CNCS”. Na elaboração do diploma foram ouvidas a Entidade Reguladora dos Serviços Energéticos (ERSE) e o operador da rede nacional de distribuição (E-Redes), tendo sido promovida ainda a audição do operador da rede nacional de transporte (REN).
O processo legislativo seguiu o seguinte percurso: o diploma foi aprovado em Conselho de Ministros a 14 de maio de 2026, promulgado pelo Presidente da República a 22 de junho, e referendado no dia seguinte, antes da publicação em Diário da República.
Porque é que isto importa
As interligações elétricas entre Estados-membros são infraestruturas críticas cuja disrupção — acidental ou provocada por um ciberataque — pode ter efeitos em cadeia sobre o abastecimento energético de múltiplos países. Ao reforçar o papel do CNCS como autoridade nacional de cibersegurança também neste domínio específico, Portugal alinha-se com um quadro europeu cada vez mais robusto de proteção de infraestruturas energéticas críticas, num contexto em que ataques a redes elétricas têm sido identificados pela ENISA e por outras agências europeias como um vetor de risco geopolítico crescente.
Para a REN, a E-Redes e demais entidades com responsabilidades nos fluxos elétricos transfronteiriços, este diploma soma-se ao já alargado conjunto de obrigações decorrentes do Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025, transposição da NIS2), que já as enquadra como entidades de infraestrutura crítica sujeitas a deveres reforçados de gestão de risco e de notificação de incidentes.
Esta informação tem carácter noticioso e baseia-se em dados divulgados publicamente em Diário da República e em reportagens do Observador e Notícias ao Minuto.
O enquadramento europeu: Regulamento Delegado 2024/1366
A decisão de designar o CNCS como autoridade nacional competente para a cibersegurança das interligações elétricas decorre do Regulamento Delegado europeu 2024/1366, que estabelece um código de rede específico para os aspetos de cibersegurança dos fluxos transfronteiriços de eletricidade. Este regulamento insere-se no esforço europeu de proteger as infraestruturas energéticas críticas de ciberataques — uma preocupação que ganhou urgência após os ataques a infraestruturas energéticas na Europa durante os últimos anos.
O diploma português foi aprovado em Conselho de Ministros a 14 de maio de 2026, promulgado pelo Presidente da República a 22 de junho, e publicado no Diário da República no dia 26 de junho, entrando imediatamente em vigor. Para garantir a implementação eficaz do regulamento, estabelece-se um dever de colaboração obrigatório: todos os “serviços, órgãos e demais entidades públicas e privadas” com competências nos fluxos transfronteiriços de eletricidade devem assegurar “a integral colaboração com o CNCS”. As entidades consultadas no processo incluíram a ERSE (Entidade Reguladora dos Serviços Energéticos), a E-Redes (operador da rede de distribuição) e a REN (Rede Elétrica Nacional, operador da rede de transporte).
Porque a cibersegurança das redes elétricas é crítica
A proteção cibernética das infraestruturas energéticas tornou-se uma prioridade estratégica a nível europeu. Um ciberataque bem-sucedido à rede elétrica pode ter efeitos em cascata: interromper o fornecimento de energia a hospitais, centros de dados, sistemas de telecomunicações e serviços essenciais, com consequências potencialmente graves para a segurança pública e a continuidade económica. Portugal, como membro da rede elétrica ibérica integrada com Espanha e ligado à rede europeia, está exposto a riscos que atravessam fronteiras — o que justifica uma coordenação entre autoridades de diferentes Estados-membros e uma supervisão centralizada ao nível do CNCS.
Esta nova competência do CNCS complementa as suas funções já existentes como autoridade nacional de cibersegurança ao abrigo do Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025, transposição da NIS2), que já classifica o setor da energia como um dos setores de infraestrutura crítica abrangidos pelas obrigações mais exigentes de gestão de risco e notificação de incidentes.
