CNCS Q-Cloud na empresa: guia prático 2026 (RNCS, NIS-2, IA soberana)
Resposta rápida: o que é a CNCS Q-Cloud em 2026?
O programa CNCS Q-Cloud é o sistema português de qualificação dos serviços de cloud destinados à Administração Pública e aos operadores de serviços essenciais. É gerido pelo Centro Nacional de Cibersegurança (CNCS) no quadro da Rede Nacional de Computação Segura (RNCS) e da Estratégia Nacional de Segurança do Ciberespaço (ENSC) 2024-2028. Articula-se com a Autoridade Nacional de Segurança do Ciberespaço (ANSC) para a coordenação das exigências sectoriais.
A qualificação Q-Cloud garante cumulativamente:
- Nível de segurança elevado: requisitos técnicos baseados em ISO 27001, ISO 27017, ISO 27018 e requisitos específicos do CNCS — gestão de identidades reforçada, encriptação, supervisão contínua, plano de continuidade.
- Soberania jurídica documentada: residência dos dados em Portugal ou na União Europeia, análise explícita do risco associado ao US Cloud Act e ao FISA Section 702, imunidade contratual quando aplicável.
- Auditoria periódica do CNCS: revisão técnica regular, evidências contínuas, integração na ENSC 2024-2028.
A quem se destina a CNCS Q-Cloud?
- Obrigatório: Administração Pública central (Ministérios, AMA — Agência para a Modernização Administrativa), Serviço Nacional de Saúde (SPMS — Serviços Partilhados do Ministério da Saúde, hospitais EPE, ARS — Administrações Regionais de Saúde), operadores de serviços essenciais sob o Decreto-Lei 65/2021 (transposição da diretiva NIS), futuras obrigações sob a transposição NIS-2 (esperada via Decreto-Lei 60/2025 ou texto equivalente), Banco de Portugal e instituições financeiras sistémicas, ANACOM e operadores de telecomunicações, ERSE e operadores energéticos.
- Fortemente recomendado: autarquias, fornecedores da AP, banca comercial, seguradoras, fundos de pensões, operadores de transporte críticos.
- Opcional: outras organizações que procuram um sinal de soberania.
Fornecedores qualificados em 2026 (seleção): Claranet Portugal, NOS Cloud, MEO Empresas (Altice Portugal), IP Telecom (CTT Cloud), OVHcloud Lisboa, Adyta. Microsoft Azure, AWS e Google Cloud — declarações de conformidade parciais em regiões próximas (Madrid, Paris, Frankfurt), sem qualificação CNCS Q-Cloud completa.
Sobrecusto: 1,5 a 3 vezes um cloud público padrão.
Para a maioria das organizações B2B portuguesas sem obrigação regulamentar específica, um hyperscaler em região próxima (Madrid, Paris, Frankfurt) com ISO 27001 e cumprimento do RGPD é suficiente e custa menos. A CNCS Q-Cloud permanece reservada para casos em que o acreditamento é exigido explicitamente pela regulamentação ou pelo contrato.
Porque é que a CNCS Q-Cloud é central em 2026
O quadro normativo português sobre cibersegurança e soberania do cloud foi estruturado rapidamente entre 2020 e 2025. Três movimentos colocam a CNCS Q-Cloud no centro da estratégia cloud nacional em 2026:
Movimento 1 — ENSC 2024-2028 e RNCS operacional. A Estratégia Nacional de Segurança do Ciberespaço 2024-2028, aprovada em 2024, fixa objetivos concretos de migração para infraestrutura nacional segura e cria a RNCS como backbone soberano para os dados sensíveis do setor público. A operacionalização da RNCS e a publicação dos primeiros lotes de qualificação Q-Cloud aceleram em 2025-2026.
Movimento 2 — Transposição da NIS-2. A diretiva (UE) 2022/2555 NIS-2 está em fase de transposição em Portugal (texto esperado via Decreto-Lei 60/2025 ou equivalente). A diretiva alarga o perímetro a milhares de entidades essenciais e importantes, com responsabilidade pessoal dos órgãos de gestão. A qualificação CNCS Q-Cloud torna-se ferramenta operacional para demonstrar a adequação das medidas técnicas exigidas.
Movimento 3 — US Cloud Act e FISA Section 702 ativos. As autoridades norte-americanas podem legalmente exigir a entrega de dados a qualquer empresa norte-americana, onde quer que estejam armazenados — incluindo nas regiões da AWS, Azure ou Google em Madrid, Frankfurt ou Paris. Os fornecedores qualificados CNCS com capital português ou europeu (Claranet PT, NOS, MEO, IP Telecom, OVHcloud Lisboa) oferecem imunidade documentada — diferenciador que SPMS, ARS, autarquias e operadores essenciais consideram cada vez mais relevante em 2026.
Os níveis Q-Cloud e como se articulam
O programa Q-Cloud do CNCS, na sua forma 2026, define níveis de qualificação progressivos baseados na sensibilidade dos dados e na criticidade dos serviços. A escala não é tão formalizada como o sistema italiano QC1-QC4, mas distingue na prática:
Nível Base: serviços e dados ordinários, ISO 27001 e ISO 27017/27018, residência UE.
Nível Reforçado: dados sensíveis (saúde, financeiros, AP central), residência Portugal ou UE, análise de risco extraterritorial, auditoria CNCS.
Nível Crítico: dados estratégicos e críticos (Perimetro de Defesa Nacional do Ciberespaço, segurança nacional, infraestruturas críticas), residência Portugal, pessoal com habilitação de segurança nacional, controlo soberano da supply chain.
A acreditação efetiva é granular e depende dos componentes (compute, storage, base de dados, GPU) — um fornecedor pode ter Nível Reforçado em parte do catálogo e Base no resto.
Casos de uso onde a CNCS Q-Cloud se impõe em 2026
Cinco casos em que a organização não tem realmente escolha.
1. Administração Pública central via AMA e CNCS. Ministérios, organismos da Administração Direta e Indireta do Estado, AMA enquanto entidade central de digitalização. O Plano Setorial TIC e a ENSC fixam a qualificação CNCS como critério de admissibilidade nos concursos para serviços cloud da AP central.
2. Serviço Nacional de Saúde — SPMS, hospitais EPE, ARS. Os Serviços Partilhados do Ministério da Saúde (SPMS) gerem o Registo de Saúde Eletrónico, a Plataforma de Dados da Saúde e infraestruturas críticas de TI para o SNS. As ARS e os hospitais EPE alojam dados clínicos sensíveis. CNCS Q-Cloud Reforçado é o referencial padrão.
3. Operadores de serviços essenciais sob Decreto-Lei 65/2021 e futura NIS-2. Energia (REN, EDP), transportes (ANA, IP), saúde (SPMS, ARS, hospitais), telecomunicações (MEO, NOS, Vodafone Portugal), banca (CGD, BCP, Santander Portugal), abastecimento de água. NIS-2 alarga o perímetro a milhares de entidades importantes.
4. Banco de Portugal e instituições financeiras sistémicas. A regulamentação do BdP sobre subcontratação tecnológica e o Aviso 3/2020 sobre risco operacional exigem garantias reforçadas de localização dos dados, continuidade e reversibilidade — alinhadas com a CNCS Q-Cloud para serviços críticos.
5. ANACOM e operadores de telecomunicações; ERSE e operadores energéticos. Os reguladores setoriais incorporam progressivamente requisitos de cloud qualificado nas obrigações dos operadores regulados.
Fornecedores qualificados CNCS em 2026
Claranet Portugal Operador português de referência com data centers em Lisboa e Porto. ISO 27001, qualificação CNCS Q-Cloud em vários níveis. Catálogo completo: compute, storage, Kubernetes, GPU, managed services. Forte presença na Administração Pública central, SNS e banca.
NOS Cloud Filial cloud da NOS, com data centers nacionais e oferta empresarial integrada. Qualificação CNCS Q-Cloud. Posicionamento próximo do tecido empresarial português.
MEO Empresas (Altice Portugal) Oferta cloud da MEO/Altice para o segmento empresarial. Data centers em Portugal, qualificação CNCS Q-Cloud em parte do catálogo.
IP Telecom (CTT Cloud) Subsidiária dos CTT, vocacionada para serviços de cloud e segurança. Data centers em Portugal, qualificação CNCS Q-Cloud para serviços específicos. Presença histórica na AP.
OVHcloud Lisboa Operador francês com data center em Lisboa, certificações internacionais e processo de qualificação CNCS Q-Cloud. Imunidade documentada face ao US Cloud Act via grupo francês. Catálogo Hosted Private Cloud, Bare Metal, GPU H100.
Adyta Operador português especializado em cibersegurança e soberania digital. Qualificações CNCS Q-Cloud em segmentos específicos, posicionamento de nicho em entornos regulados.
Microsoft Azure, AWS, Google Cloud (regiões mais próximas: Madrid, Paris, Frankfurt) Hyperscalers sem região portuguesa em 2026 (Microsoft anunciou intenção; AWS e Google operam a partir de Madrid e Paris). Declarações de conformidade ISO 27001, RGPD e relativas ao Decreto-Lei 65/2021 mas sem qualificação CNCS Q-Cloud completa. Para uma exigência soberana confirmada em 2026, os operadores portugueses ou OVHcloud Lisboa permanecem a escolha verificada.
CNCS Q-Cloud + IA: o tema 2026
A chegada massiva da IA generativa às organizações portuguesas (2024-2026) cria forte procura de stacks de IA em infraestrutura qualificada CNCS. Três arquiteturas consolidam-se:
Arquitetura 1 — IA gerida num fornecedor CNCS Q-Cloud
Claranet Portugal, NOS Cloud e OVHcloud Lisboa estão a desenvolver em 2026 ofertas de IA gerida, frequentemente em parceria com fornecedores europeus de modelos (Mistral, modelos open source ibéricos). Para organizações que não pretendem operar a sua própria infraestrutura GPU, a opção mais simples.
Arquitetura 2 — LLM em instância GPU CNCS Q-Cloud
Alugar uma instância GPU H100 em Claranet Portugal, NOS Cloud ou OVHcloud Lisboa e implantar Mistral via vLLM ou TGI. Mais controlo, mais custo. Ver o nosso guia LLM local em empresa.
Arquitetura 3 — Mistral on-premise sobre infraestrutura interna CNCS-equivalente
Para organizações muito sensíveis, implementação em data centers privados que cumprem os requisitos CNCS por construção. Máximo controlo, máximo custo.
Ver também o nosso guia IA soberana para o enquadramento estratégico.
Custo e trade-off: CNCS Q-Cloud vs hyperscaler em região próxima
Falemos claro: a CNCS Q-Cloud comporta um sobrecusto significativo (1,5x a 3x um cloud público equivalente). Para a maioria das organizações B2B portuguesas sem obrigação regulamentar específica, AWS Madrid, Azure West Europe ou GCP Madrid com configuração adequada já oferecem:
- Residência dos dados na União Europeia
- ISO 27001
- Cumprimento do RGPD
- Catálogo de serviços rico
- Tarifação competitiva
A diferença com a CNCS Q-Cloud: o acreditamento formal, a residência efetiva em Portugal, a imunidade jurídica face a leis extraterritoriais (apenas operadores com capital português/europeu) e o controlo soberano da operação.
Regra de decisão simples:
- AP central / SNS / NIS-2 com dados estratégicos: CNCS Q-Cloud obrigatório
- Banca sistémica sob BdP: CNCS Q-Cloud para componentes críticos
- Concurso público com cláusula CNCS: fornecedor qualificado obrigatório
- B2B padrão com necessidade de soberania: hyperscaler em região europeia próxima é suficiente
- Dados sensíveis não regulados: arbitragem segundo avaliação interna do risco
Como escolher um fornecedor CNCS Q-Cloud em 2026
Cinco critérios de avaliação.
1. Cobertura funcional: compute, storage, base de dados, GPU, IA, contentores, serverless. Claranet Portugal e OVHcloud Lisboa apresentam os catálogos mais amplos; NOS, MEO e IP Telecom cobrem o essencial; Adyta é especializada.
2. Disponibilidade de GPU e IA: para usos de IA, verificar a disponibilidade de H100 ou MI300X e o ecossistema de software (Mistral Inference, vLLM, frameworks).
3. Tarifação: pedir orçamento para uso representativo (não há tarifação pública padronizada equivalente à dos hyperscalers).
4. Compromisso contratual: verificar a cláusula de imunidade jurídica face a leis extraterritoriais, os prazos de notificação em caso de pedidos de autoridades, as condições de reversibilidade, as garantias de residência dos dados.
5. Solidez do operador: estrutura acionista, equipa técnica, habilitação de segurança do pessoal, referências de clientes do setor público, histórico de incidentes publicado.
O que recusamos prometer
Três antiPatterns recorrentes que evitamos na DPLIANCE quando enquadramos um projeto CNCS Q-Cloud.
“Tudo deve passar para CNCS Q-Cloud por princípio.” Falso. CNCS Q-Cloud custa 1,5 a 3 vezes mais do que um cloud público padrão. Para 80% das organizações B2B portuguesas sem obrigação regulamentar (AP central, SNS, operadores essenciais sob NIS-2), um hyperscaler em região europeia próxima com ISO 27001 e cumprimento do RGPD já oferece um nível de soberania razoável a custo competitivo. Sobreinvestir em CNCS quando a necessidade não o justifica degrada o ROI.
“Microsoft Azure Sovereign, AWS European Sovereign Cloud ou Google Sovereign Solutions são CNCS Q-Cloud.” Não no mesmo sentido. As estruturas hyperscaler “sovereign” tentam acreditação através de entidades jurídicas europeias dedicadas e separação operacional. As empresas-mãe permanecem sob jurisdição norte-americana (US Cloud Act, FISA Section 702), o que o CNCS avalia explicitamente como incompatível com os níveis mais elevados de Q-Cloud. Para uma necessidade soberana confirmada em 2026, as opções verificadas são Claranet Portugal, NOS Cloud, MEO Empresas, IP Telecom, OVHcloud Lisboa e Adyta.
“Implementa-se a IA em CNCS Q-Cloud como em hyperscaler.” Não exatamente. O ecossistema de IA em CNCS Q-Cloud é mais reduzido do que em hyperscaler. Sem Bedrock, sem Cosmos DB, frequentemente sem base de dados vetorial gerida. Muitas vezes é necessário montar o próprio stack (Mistral via vLLM + Qdrant self-hosted) sobre instâncias GPU qualificadas — abordagem mais DevOps do que cloud-as-a-service. Contar com expertise interna ou um integrador experiente.
A DPLIANCE é uma editora de software. Quando concebemos uma solução de IA à medida que tem de correr em CNCS Q-Cloud, ocupamo-nos do stack completo: escolha do operador (Claranet PT, NOS Cloud, OVHcloud Lisboa), implantação de Mistral on-premise sobre GPU qualificada, integração RAG, registo auditável, documentação para auditoria CNCS.
FAQ
O que é o programa CNCS Q-Cloud?
O programa Q-Cloud é o sistema de qualificação de serviços de cloud para a Administração Pública e para os operadores de serviços essenciais portugueses, gerido pelo Centro Nacional de Cibersegurança (CNCS) no quadro da Rede Nacional de Computação Segura (RNCS) e da Estratégia Nacional de Segurança do Ciberespaço (ENSC) 2024-2028. Define níveis de exigência crescentes em função do risco dos dados e dos serviços. Os fornecedores acreditados devem demonstrar aderência aos requisitos técnicos, organizacionais e de soberania jurídica do CNCS, com auditoria periódica e prova contínua.
Quem é obrigado a usar uma cloud qualificada CNCS?
Obrigatório para: Administração Pública central (Ministérios, AMA, Agência para a Modernização Administrativa), Serviço Nacional de Saúde (SPMS, hospitais públicos, ARS), operadores de serviços essenciais sob o Decreto-Lei 65/2021 (transposição NIS) e a transposição NIS-2 (Decreto-Lei 60/2025 ou texto equivalente), Banco de Portugal e instituições financeiras sistémicas, ANACOM e operadores de telecomunicações, ERSE e operadores energéticos. Fortemente recomendado para: autarquias, fornecedores da AP, banca comercial, seguradoras.
Quais fornecedores estão qualificados CNCS Q-Cloud em 2026?
Claranet Portugal (data centers em Lisboa e Porto, ISO 27001 + qualificação CNCS), NOS Cloud, MEO Empresas (Altice Portugal), IP Telecom (CTT Cloud), OVHcloud Lisboa, Adyta. As ofertas hyperscaler (Microsoft Azure Portugal, AWS, Google Cloud) dispõem de regiões em proximidade (Madrid, Paris, Frankfurt) e declarações de conformidade parciais, mas a qualificação CNCS Q-Cloud completa com soberania jurídica plena permanece reservada aos operadores com capital português ou europeu sem exposição extraterritorial.
O que é a RNCS (Rede Nacional de Computação Segura)?
A RNCS é a infraestrutura nacional portuguesa para serviços de computação segura, lançada no quadro da ENSC 2024-2028 e gerida em coordenação entre o CNCS, a AMA (Agência para a Modernização Administrativa) e a ANSC (Autoridade Nacional de Segurança do Ciberespaço). Articula data centers nacionais, requisitos de qualificação Q-Cloud para fornecedores e procedimentos de migração para a Administração Pública. Constitui o backbone soberano para os dados sensíveis do setor público e para os operadores de serviços essenciais.
A cloud CNCS Q-Cloud é compatível com IA?
Sim — e a procura cresce rapidamente em 2026. Claranet Portugal, NOS Cloud e OVHcloud Lisboa oferecem instâncias GPU (H100, MI300X) adequadas para alojar Mistral, Llama 3 ou outros LLM open source. Duas opções: (1) alugar instâncias GPU e auto-alojar Mistral via vLLM ou TGI; (2) consumir serviços de IA gerida quando disponíveis. O ecossistema é mais limitado do que o AWS Bedrock mas suficiente para a maioria dos casos de uso empresariais.
Quanto custa uma cloud CNCS qualificada face a um cloud público padrão?
As ofertas CNCS Q-Cloud são tipicamente 1,5 a 3 vezes mais caras do que serviços equivalentes da AWS, Azure ou GCP nas regiões mais próximas (Madrid, Paris). O sobrecusto cobre o nível de segurança, o isolamento, a soberania jurídica, a auditoria periódica do CNCS, o pessoal com habilitação de segurança e um ecossistema mais restrito. Para a maioria dos usos não críticos é difícil justificar — reservado aos casos verdadeiramente sensíveis.
Como escolher entre CNCS Q-Cloud e hyperscaler em região europeia próxima?
Se é Administração Pública central, SNS/SPMS com dados clínicos, operador de serviço essencial sob NIS-2 ou banca sob supervisão do Banco de Portugal: CNCS Q-Cloud obrigatório. Se os dados são sensíveis mas sem obrigação regulamentar específica: AWS Madrid, Azure West Europe ou GCP Madrid com encriptação adequada cobrem 80% dos casos a custo inferior. A CNCS Q-Cloud aporta o acreditamento formal e a imunidade jurídica reforçada, não automaticamente mais segurança operacional do que um hyperscaler bem configurado.
Fontes: Centro Nacional de Cibersegurança (CNCS), programa Q-Cloud e enquadramento RNCS (cncs.gov.pt); Estratégia Nacional de Segurança do Ciberespaço 2024-2028 (ENSC); Decreto-Lei 65/2021 (transposição NIS); transposição NIS-2 (Decreto-Lei 60/2025 ou equivalente); Diretiva (UE) 2022/2555 NIS-2; Aviso 3/2020 do Banco de Portugal sobre risco operacional; documentação pública Claranet Portugal, NOS Cloud, MEO Empresas, IP Telecom, OVHcloud Lisboa, Adyta; relatórios públicos sobre as ofertas hyperscaler “sovereign”.
Para enquadrar um projeto de infraestrutura CNCS Q-Cloud (ou alternativa soberana) — escolha de fornecedor, integração de IA, conformidade — ver o nosso guia IA soberana, o nosso guia LLM local em empresa, o nosso guia cloud soberana em empresa, ou contacte-nos através das nossas soluções de IA à medida.