O Decreto-Lei n.º 125/2025 impõe prazos de notificação muito curtos para incidentes significativos — 24 horas para o alerta inicial, 72 horas para o relatório intermédio e 30 dias para o relatório final ao CNCS. Num contexto de incidente activo, não há tempo para construir um relatório de raiz. É necessário ter templates preparados antes do incidente.
Este artigo fornece três templates de notificação ao CNCS (alerta inicial, relatório intermédio e relatório final) e um template de notificação à CNPD para violação de dados pessoais ao abrigo do RGPD. Todos os templates estão formatados para uso imediato — preenche os campos assinalados com os dados do incidente e envia.
ℹ Importante — plataforma electrónica do CNCS
A plataforma electrónica de notificação de incidentes do CNCS estava em desenvolvimento à data de publicação do DL 125/2025. Enquanto a plataforma não está disponível, a notificação deve ser feita por email para [email protected] ou por telefone 213 303 190. Quando a plataforma for lançada, os campos destes templates correspondem substancialmente ao que será pedido no formulário online.
Neste artigo
- Quando notificar — o que é um incidente significativo
- Prazos e estrutura das três notificações
- Template 1 — Alerta Inicial (24 horas)
- Template 2 — Relatório Intermédio (72 horas)
- Template 3 — Relatório Final (30 dias)
- Template 4 — Notificação à CNPD (violação de dados pessoais)
- Autoridades sectoriais — quando notificar além do CNCS
- Exemplo preenchido — ataque de ransomware
1. Quando notificar — o que é um incidente significativo
Nem todos os incidentes de cibersegurança requerem notificação ao CNCS. O DL 125/2025 define incidente significativo como aquele que:
- Causa ou pode causar perturbações operacionais graves nos serviços da entidade
- Afecta ou pode afectar outras pessoas singulares ou colectivas causando danos materiais ou imateriais consideráveis
- Resulta em perdas financeiras significativas para a entidade
- Afecta a disponibilidade, autenticidade, integridade ou confidencialidade de dados ou sistemas críticos
| Tipo de incidente | Notificação ao CNCS? | Notificação à CNPD? |
|---|---|---|
| Ransomware com cifragem de sistemas críticos | Sim — significativo | Sim — se dados pessoais afectados |
| Exfiltração de dados de clientes ou colaboradores | Sim — significativo | Sim — violação de dados pessoais |
| Comprometimento de contas privilegiadas (Domain Admin) | Sim — significativo | Avaliar caso a caso |
| Indisponibilidade de serviço crítico > 4 horas | Sim — avaliar significância | Não (se sem exposição de dados) |
| Phishing interno detectado e bloqueado sem acesso obtido | Não — incidente não significativo | Não |
| Falha de sistema por erro de configuração (sem comprometimento) | Não | Não |
2. Prazos e estrutura das três notificações
| Notificação | Prazo | O que incluir | Nível de detalhe |
|---|---|---|---|
| Alerta Inicial | 24h após detecção | Identificação da entidade, data/hora de detecção, natureza do incidente, sistemas afectados, impacto preliminar, se há efeito transfronteiriço | Mínimo — melhor esforço; estimativas são aceites |
| Relatório Intermédio | 72h após detecção | Actualização do impacto, vector de ataque (se conhecido), medidas de contenção implementadas, estado dos sistemas, estimativa de tempo de recuperação | Médio — informação disponível naquele momento |
| Relatório Final | 30 dias após resolução | Análise completa: causa raiz, cronologia, sistemas afectados, dados comprometidos, medidas correctivas, lições aprendidas, medidas preventivas implementadas | Completo — documento de referência para auditoria |
✓ Princípio de “melhor esforço”: O DL 125/2025 aceita notificações baseadas na melhor informação disponível no momento. Não é necessário — nem esperado — ter a investigação completa no alerta das 24 horas. O que é obrigatório é comunicar dentro do prazo, mesmo que com informação incompleta. Actualiza com mais detalhe nas notificações seguintes.
3. Template 1 — Alerta Inicial (24 horas)
Enviar para: [email protected] | Assunto: [ALERTA INCIDENTE NIS2] [Nome da Entidade] — [Data]
ALERTA INICIAL DE INCIDENTE DE CIBERSEGURANÇA — NIS2 / DL 125/2025
1. IDENTIFICAÇÃO DA ENTIDADE
Nome da entidade: [Nome completo da organização]
NIF: [NIF da organização]
Classificação NIS2: [Entidade Essencial / Importante / Pública Relevante]
Sector de actividade: [Sector conforme Anexo I ou II do DL 125/2025]
Responsável de cibersegurança: [Nome, cargo, email, telemóvel]
2. DADOS DO INCIDENTE
Data e hora de detecção: [DD/MM/AAAA HH:MM]
Data e hora estimada de início do incidente: [DD/MM/AAAA HH:MM ou “Desconhecida — investigação em curso”]
Estado actual do incidente: [Em curso / Contido / Resolvido]
Referência interna do incidente: [INC-AAAA-NNN ou referência interna da organização]
3. NATUREZA DO INCIDENTE
Tipo de incidente: [Ransomware / Acesso não autorizado / Exfiltração de dados / DDoS / Outro: especificar]
Variante / grupo de ameaça (se identificado): [Ex: LockBit 5.0 / BlackCat / Desconhecido]
Descrição breve: [2-3 frases descrevendo o que aconteceu, como foi detectado e qual o impacto imediato]
4. SISTEMAS E DADOS AFECTADOS (estimativa)
Sistemas afectados: [Servidores / Workstations / Rede / Email / Aplicações — indicar número estimado]
Dados comprometidos: [Sim / Não / Desconhecido — se sim, indicar tipo: dados pessoais, dados financeiros, propriedade intelectual]
Impacto na prestação de serviços: [Serviços indisponíveis, degradados ou sem impacto — descrever]
5. EFEITO TRANSFRONTEIRIÇO
O incidente afecta outros Estados-Membros da UE ou organizações estrangeiras? [Sim / Não / Desconhecido — se sim, indicar quais]
6. MEDIDAS IMEDIATAS IMPLEMENTADAS
[Descrever brevemente as medidas de contenção já implementadas: isolamento de sistemas, revogação de credenciais, bloqueio de acessos, etc.]
7. CONTACTO PARA ACOMPANHAMENTO
Nome: [Nome do responsável de contacto durante o incidente]
Cargo: [Cargo]
Email: [Email — preferencialmente não o email corporativo se comprometido]
Telemóvel: [Número de telemóvel — disponível 24/7 durante o incidente]
4. Template 2 — Relatório Intermédio (72 horas)
Enviar para: [email protected] | Assunto: [RELATÓRIO INTERMÉDIO NIS2] [Nome da Entidade] — [Referência do Alerta Inicial]
RELATÓRIO INTERMÉDIO DE INCIDENTE DE CIBERSEGURANÇA — NIS2 / DL 125/2025
1. IDENTIFICAÇÃO E REFERÊNCIA
Nome da entidade: [Nome da organização]
Referência interna do incidente: [INC-AAAA-NNN — igual ao alerta inicial]
Data e hora deste relatório: [DD/MM/AAAA HH:MM]
2. ACTUALIZAÇÃO DO ESTADO DO INCIDENTE
Estado actual: [Em curso / Contido / Em recuperação / Resolvido]
Descrição actualizada: [Actualização do que aconteceu desde o alerta inicial — novos desenvolvimentos, sistemas adicionais afectados, progressão do ataque]
3. VECTOR DE ATAQUE (se identificado)
Ponto de entrada identificado: [Phishing / Credencial comprometida / RDP exposto / Vulnerabilidade explorada / Desconhecido]
CVE explorada (se aplicável): [CVE-AAAA-NNNNN ou “Não identificada”]
Indicadores de Comprometimento (IOCs) identificados: [Hashes de ficheiros maliciosos, IPs de C2, domínios, etc. — se disponíveis]
4. ÂMBITO ACTUALIZADO DO IMPACTO
Número de sistemas afectados: [Número actualizado de servidores, workstations, etc.]
Dados comprometidos: [Confirmar / rever estimativa anterior — tipo e volume de dados]
Dados pessoais afectados: [Sim / Não / Volume estimado de titulares afectados]
Impacto financeiro estimado: [Estimativa em euros ou “Em avaliação”]
Impacto na continuidade de serviços: [Serviços ainda indisponíveis, degradados, recuperados — detalhar]
5. MEDIDAS DE CONTENÇÃO E REMEDIAÇÃO IMPLEMENTADAS
[Detalhar todas as medidas implementadas desde o alerta inicial: isolamentos, revogações, patches aplicados, sistemas reconstruídos, etc.]
6. PLANO DE RECUPERAÇÃO E ESTIMATIVA DE RESOLUÇÃO
Tempo estimado para resolução completa: [Data estimada ou “Em avaliação”]
Próximas acções previstas: [Reconstrução de sistemas, restauro de backups, patching, etc.]
Recursos externos envolvidos: [Empresa DFIR, MSP, consultores de segurança — indicar se aplicável]
7. NOTIFICAÇÕES PARALELAS EFECTUADAS
Notificação à CNPD: [Sim — data / Não — justificação / Pendente]
Autoridade sectorial notificada: [Ex: ANACOM, Banco de Portugal — se aplicável]
Denúncia à Polícia Judiciária: [Sim — data e referência / Não / Pendente]
5. Template 3 — Relatório Final (30 dias após resolução)
Enviar para: [email protected] | Assunto: [RELATÓRIO FINAL NIS2] [Nome da Entidade] — [Referência]
RELATÓRIO FINAL DE INCIDENTE DE CIBERSEGURANÇA — NIS2 / DL 125/2025
1. IDENTIFICAÇÃO E REFERÊNCIAS
Nome da entidade: [Nome da organização]
Referência interna: [INC-AAAA-NNN]
Data de detecção: [DD/MM/AAAA]
Data de resolução completa: [DD/MM/AAAA]
Duração total do incidente: [X dias]
2. CRONOLOGIA DO INCIDENTE
[Tabela ou lista com data/hora de cada evento relevante: data provável de comprometimento inicial, data de detecção, data de contenção, data de início de recuperação, data de resolução. Exemplo:]
DD/MM/AAAA ~HH:MM — Comprometimento inicial estimado (credencial phishing)
DD/MM/AAAA HH:MM — Detecção do incidente por [quem / como]
DD/MM/AAAA HH:MM — Isolamento de sistemas comprometidos
DD/MM/AAAA HH:MM — Início de restauro de backups
DD/MM/AAAA HH:MM — Retorno à operação normal
3. CAUSA RAIZ
Causa raiz identificada: [Descrição técnica da causa raiz — ex: credencial de utilizador comprometida via phishing, exploração de CVE-XXXX-XXXX em VPN sem patching, RDP exposto sem MFA]
Factores contributivos: [Factores que agravaram o impacto — ex: ausência de MFA, backups sem isolamento, falta de segmentação de rede]
4. ÂMBITO FINAL DO IMPACTO
Sistemas afectados: [Número e tipo de sistemas — servidores, workstations, NAS, etc.]
Dados afectados: [Volume, tipo e classificação dos dados comprometidos ou inacessíveis]
Dados pessoais afectados: [Número de titulares afectados, categorias de dados, riscos para os titulares]
Impacto financeiro total: [Custo de recuperação, perdas de negócio, custos externos, penalizações — em euros]
Impacto reputacional: [Descrição de eventuais danos reputacionais ou cobertura mediática]
5. MEDIDAS DE REMEDIAÇÃO IMPLEMENTADAS
[Lista completa de todas as acções técnicas e organizacionais implementadas durante e após o incidente: reconstrução de sistemas, reset de credenciais, patching, reconfiguração de rede, actualização de políticas, etc.]
6. MEDIDAS PREVENTIVAS PARA EVITAR RECORRÊNCIA
[Medidas estruturais implementadas ou planeadas para prevenir recorrência: MFA universal, segmentação de rede, backups imutáveis, formação de utilizadores, plano de resposta a incidentes actualizado, etc. Com datas de implementação previstas]
7. LIÇÕES APRENDIDAS
[O que falhou, o que funcionou bem, o que seria feito de forma diferente — resultado da sessão de post-mortem]
8. NOTIFICAÇÕES E ACÇÕES LEGAIS
Notificação CNPD: [Data, referência da notificação, resposta recebida]
Denúncia PJ / Ministério Público: [Data, referência do processo]
Participação a seguradora (cyber seguro): [Data, referência do sinistro]
Notificação a clientes / utilizadores afectados: [Sim / Não / Data — se dados pessoais foram comprometidos]
Autoridade sectorial: [Notificações a ANACOM, Banco de Portugal, etc. se aplicável]
6. Template 4 — Notificação à CNPD (violação de dados pessoais)
Sempre que um incidente de cibersegurança envolva acesso, divulgação, perda, alteração ou destruição não autorizada de dados pessoais, existe obrigação paralela de notificação à CNPD ao abrigo do artigo 33.º do RGPD — no prazo de 72 horas após tomar conhecimento. Esta obrigação é independente e cumulativa com a notificação ao CNCS.
Enviar via: Portal da CNPD em cnpd.pt (formulário electrónico) ou por email para [email protected]
NOTIFICAÇÃO DE VIOLAÇÃO DE DADOS PESSOAIS — ARTIGO 33.º RGPD
1. RESPONSÁVEL PELO TRATAMENTO
Nome da entidade: [Nome da organização]
NIF: [NIF]
Morada: [Morada completa]
Encarregado de Protecção de Dados (DPO): [Nome, email, telemóvel — se a entidade tiver DPO]
Contacto de referência para este incidente: [Nome, cargo, email, telemóvel]
2. DADOS DA VIOLAÇÃO
Data e hora em que a violação ocorreu (estimada): [DD/MM/AAAA HH:MM ou “Entre [data] e [data]”]
Data e hora em que a entidade tomou conhecimento: [DD/MM/AAAA HH:MM]
A violação ainda está em curso? [Sim / Não]
3. NATUREZA DA VIOLAÇÃO
Tipo: [Confidencialidade (acesso não autorizado) / Integridade (alteração) / Disponibilidade (destruição/perda) — pode ser múltiplos]
Descrição: [Como ocorreu a violação e que dados foram afectados]
4. DADOS PESSOAIS AFECTADOS
Categorias de dados afectados: [Nome, email, NIF, dados de saúde, dados financeiros, dados de localização, etc.]
Categorias especiais de dados (artigo 9.º RGPD): [Dados de saúde / Dados biométricos / Dados genéticos / Outros / Não aplicável]
Número estimado de titulares afectados: [Número ou “Desconhecido — investigação em curso”]
Categorias de titulares: [Clientes / Colaboradores / Fornecedores / Candidatos / Outros]
Volume de registos afectados: [Número ou estimativa]
5. RISCOS E CONSEQUÊNCIAS PROVÁVEIS
[Avaliar os riscos para os titulares dos dados: discriminação, dano financeiro, dano reputacional, perda de controlo sobre dados pessoais, roubo de identidade, etc. Classificar como: Improvável / Possível / Provável]
6. MEDIDAS IMPLEMENTADAS
Medidas de contenção: [Acções tomadas para limitar a violação e o seu impacto]
Medidas de mitigação para os titulares: [Notificação a titulares, bloqueio de contas, monitorização de identidade, etc.]
7. NOTIFICAÇÃO AOS TITULARES (artigo 34.º RGPD)
Os titulares foram notificados? [Sim — data e meio / Não / Pendente]
Se não, justificação: [Ex: Risco elevado não se verifica / Medidas tornaram dados ininteligíveis / Notificação implicaria esforço desproporcionado]
7. Autoridades sectoriais — quando notificar além do CNCS
Para além do CNCS (autoridade nacional geral de cibersegurança), o DL 125/2025 criou autoridades sectoriais com competências específicas. Consoante o sector da entidade, pode ser necessário notificar uma autoridade sectorial em vez de — ou para além de — o CNCS:
| Sector | Autoridade sectorial | Contacto |
|---|---|---|
| Comunicações electrónicas / Redes públicas | ANACOM | anacom.pt |
| Banca e infraestruturas financeiras | Banco de Portugal | bportugal.pt |
| Mercados de capitais e seguros | CMVM / ASF | cmvm.pt / asf.com.pt |
| Serviços de confiança (certificados digitais, eIDAS) | GNS (Gabinete Nacional de Segurança) | gns.gov.pt |
| Saúde (hospitais, clínicas, laboratórios) | SNS / CNCS (coordenação) | sns.gov.pt |
| Todas as entidades (violação de dados pessoais) | CNPD | cnpd.pt |
8. Exemplo preenchido — ataque de ransomware
Exemplo de preenchimento do Alerta Inicial para um ataque de ransomware em empresa portuguesa de serviços (entidade importante NIS2):
EXEMPLO — Alerta Inicial (fictício para fins ilustrativos)
Assunto: [ALERTA INCIDENTE NIS2] Serviços Tecnológicos Exemplo Lda — 05/04/2026
Para: [email protected]
1. IDENTIFICAÇÃO DA ENTIDADE
Nome da entidade: Serviços Tecnológicos Exemplo, Lda.
NIF: 509 XXX XXX
Classificação NIS2: Entidade Importante (prestador de serviços geridos de TIC)
Sector: Gestão de serviços TIC (Anexo II, DL 125/2025)
Responsável de ciberseg.: Duarte Spínola, Director IT, [email protected], +351 9XX XXX XXX
2. DADOS DO INCIDENTE
Data e hora de detecção: 05/04/2026, 08:47
Início estimado: 04/04/2026, 23:00 (estimativa baseada em logs de EDR)
Estado actual: Em curso — contenção parcial implementada
Referência interna: INC-2026-012
3. NATUREZA DO INCIDENTE
Tipo: Ransomware
Variante: Desconhecida — ficheiros com extensão .locked7x; nota de resgate “HOW_TO_DECRYPT.txt”
Descrição: Na manhã de 05/04/2026, vários utilizadores reportaram incapacidade de abrir ficheiros. O alerta do Defender for Business confirmou actividade de cifragem em massa originada no servidor FS01. Foram detectados ficheiros cifrados em partilhas de rede. A máquina de origem foi isolada pelas 09:02.
4. SISTEMAS E DADOS AFECTADOS (estimativa)
Sistemas afectados: 1 servidor de ficheiros (FS01), 8 workstations com ficheiros cifrados em partilhas
Dados comprometidos: Desconhecido — investigação em curso
Dados pessoais afectados: Possível — servidor FS01 contém dados de RH e de clientes
Impacto nos serviços: Acesso a ficheiros partilhados indisponível para 35 utilizadores
5. EFEITO TRANSFRONTEIRIÇO
Não identificado. Clientes apenas em Portugal continental.
6. MEDIDAS IMPLEMENTADAS
FS01 isolado da rede às 09:02. Acesso VPN bloqueado no firewall. Sessões M365 de todos os utilizadores revogadas. Passwords de administradores de domínio repostas. Servidor de backup verificado — sem comprometimento aparente. Utilizadores instruídos a não aceder a partilhas de rede.
7. CONTACTO
Nome: Duarte Spínola, Director IT
Telemóvel: +351 9XX XXX XXX (disponível 24/7)
Email alternativo: [email protected] (email corporativo possivelmente comprometido)
Artigos relacionados no kbase.pt
- Plano de Resposta a Ransomware: Guia para Empresas Portuguesas
- Isolamento de Workstation Comprometida: Procedimento Step-by-Step
- Backup com Microsoft Azure: Configurar Retenção e Restore
- Acronis Cyber Protect: Configurar Anti-Ransomware em Ambiente PME
- NIS2 em Portugal: Checklist Técnica para Sysadmins (Decreto-Lei n.º 125/2025)
