Foram publicados os Decretos n.os 71/2025 e 72/2025, que aprovam os Regulamentos de Centros de Dados e de Serviços de Computação em Nuvem em Moçambique, criando pela primeira vez um regime jurídico estruturado de registo, licenciamento, classificação técnica, segurança, supervisão e poderes sancionatórios do INTIC, com aplicação alargada – incluindo extraterritorial – a operadores de centros de dados, cloud e serviços conexos; o novo quadro impõe requisitos reforçados de compliance, regras específicas sobre tratamento de dados (incluindo financeiros e informação classificada), obrigações técnicas e de continuidade operacional, prevê instruções complementares do regulador e um período transitório de um ano, consolidando estas infraestruturas como ativos estratégicos sujeitos a regulação e supervisão.
Decretos n.os 71/2025 e 72/2025, de 31 de dezembro
Foram publicados no Boletim da República de Moçambique os Decretos n.os 71/2025 e 72/2025, que aprovam, respetivamente, o Regulamento de Centros de Dados e o Regulamento de Serviços de Computação em Nuvem em Moçambique. Estes regulamentos entram em vigor 90 dias após a sua publicação e estabelecem, pela primeira vez, um quadro jurídico estruturado para o registo, o licenciamento, a operação e a supervisão destas infraestruturas digitais estratégicas no país.
O novo regime tem um âmbito alargado e aplica-se a todos os operadores económicos que exerçam a atividade de exploração de centros de dados, prestação de serviços de computação em nuvem ou prestação de outros serviços conexos, como serviços de colocação (colocation) em Moçambique, independentemente de estarem ou não fisicamente estabelecidos no território nacional (tendo, assim, uma aplicação extraterritorial).
As exclusões ao seu âmbito de aplicação são limitadas e incidem, essencialmente, sobre serviços de computação em nuvem ainda em fase de teste e não comercializados, bem como sobre determinadas prestações realizadas no mesmo grupo de empresas (intragrupo), sem prejuízo da obrigação do cumprimento de regras técnicas e de segurança presentes nos regulamentos e que venham a ser impostas pela autoridade reguladora.
O QUE MUDA?
1. Registo e licenciamento obrigatórios
O regime introduz pela primeira vez em Moçambique um modelo de regulação e de supervisão assente na necessidade de os operadores procederem ao licenciamento e ao registo para a exploração e a operação de centros de dados e para a prestação de serviços de computação em nuvem.
Os operadores económicos que queiram explorar centros de dados, prestar serviços de computação em nuvem ou prestar outros serviços conexos, tal como serviços de colocação (colocation) apenas poderão exercer estas atividades em Moçambique se estiverem devidamente licenciados e registados para o efeito. Esta exigência aplica‑se mesmo quando as infraestruturas se encontrem localizadas no estrangeiro, desde que prestem serviços a entidades sediadas no país.
O processo é centralizado e integralmente tramitado através do Portal do Operador Económico de Novas Tecnologias, sendo a autoridade competente o Instituto Nacional de Tecnologias de Informação e Comunicação, I.P. (INTIC).
O sistema de licenciamento assenta num “Título Único”, que materializa as licenças atribuídas, incluindo a licença de operador de centro de dados, a licença do próprio centro de dados e a licença de provedor de serviços de computação em nuvem. Note-se que os operadores e os provedores estrangeiros ficam ainda obrigados a designar um representante legal em Moçambique, assegurando a existência de um interlocutor responsável perante o regulador.
2. Classificação e categorias
Um dos elementos estruturantes do novo regime é a introdução de um sistema de classificação técnica.
Os centros de dados passam a ser categorizados em função do nível de resiliência e redundância da infraestrutura, variando entre categorias: (i) básica; (ii) limitada; (iii) padrão; e (iv) avançada. Esta classificação determina os requisitos técnicos aplicáveis, os níveis de disponibilidade esperados e o grau de exigência em matéria de segurança e continuidade operacional.
No domínio da computação em nuvem, a classificação é feita com base na sensibilidade dos dados que os provedores estão autorizados a tratar, distinguindo-se as categorias básica, padrão e avançada. Esta segmentação tem implicações diretas na arquitetura tecnológica, nos controlos de segurança e nos sectores que podem recorrer a cada tipo de serviço. Em particular, os dados do setor financeiro apenas podem ser tratados em ambientes classificados como padrão ou avançados, refletindo o carácter crítico e sensível dessa informação.
3. Segurança, continuidade e proteção de dados
Os regulamentos consagram um conjunto robusto de obrigações em matéria de segurança física e tecnológica, gestão de risco e continuidade operacional. Os operadores e provedores passam a estar obrigados a implementar planos formais de segurança, mecanismos de controlo de acessos, monitorização contínua, cifragem de dados, autenticação multifator e testes periódicos de intrusão. A gestão de incidentes, a manutenção de registos técnicos e contratuais e a capacidade de resposta a falhas ou ataques tornam-se elementos centrais do modelo de compliance.
O tratamento de dados pessoais permanece sujeito à legislação nacional aplicável, mas o novo regime reforça a necessidade de integração entre as exigências tecnológicas, regulatórias e contratuais.
4. Informação classificada e soberania digital
Introduzem-se limitações claras quanto ao tratamento de informação classificada e à sua circulação internacional. Este tipo de informação apenas pode ser tratado em nuvens privadas e depende de autorização expressa da autoridade reguladora, sendo igualmente sujeita a autorização qualquer transferência para fora do território nacional.
Estas normas refletem uma preocupação crescente com a soberania digital e com a proteção de infraestruturas estratégicas do Estado.
5. Construção e operação de centros de dados
O Regulamento de Centros de Dados estabelece requisitos técnicos exigentes para a construção, a instalação e a operação destas infraestruturas, incluindo critérios relativos à localização, à resiliência energética, à conectividade, à segurança física, à vigilância, ao controlo de acessos e implementação de planos de continuidade e à recuperação de desastres, sem prejuízo da sua conjugação com a legislação ambiental e urbanística.
6. Impacto para empresas e investidores
O novo enquadramento regulatório representa uma mudança estrutural para o sector tecnológico e para todos os operadores que dependem de infraestruturas digitais. Por um lado, eleva significativamente os requisitos técnicos, regulatórios e de compliance; por outro, cria uma previsibilidade jurídica e institucional para o investimento em centros de dados, cloud e serviços digitais.
As implicações são particularmente relevantes para operadores de telecomunicações, instituições financeiras, fornecedores tecnológicos, entidades públicas, empresas de energia, saúde e educação, bem como para hyperscalers e investidores em infraestruturas digitais.
Num contexto em que o INTIC passa a dispor de poderes sancionatórios associados ao seu papel de supervisão, é expectável um aumento da exposição a responsabilidade regulatória e contratual, bem como uma crescente necessidade de modelos de governance tecnológica estruturados.
7. Próximos passos recomendados
O regime não se esgota nos diplomas agora aprovados. O INTIC terá um papel determinante na densificação técnica das regras, através da emissão de instruções técnicas que irão concretizar parâmetros operacionais, requisitos de segurança e critérios de classificação.
Está igualmente previsto um período transitório de um ano, contado da data de entrada em vigor dos regulamentos, para que operadores e provedores já ativos em Moçambique possam adequar-se ao novo enquadramento.
Neste contexto, torna-se recomendável que as organizações iniciem, desde já, uma avaliação estruturada do seu enquadramento regulatório, incluindo a necessidade de licenciamento, a revisão de contratos, a adequação de políticas de segurança e a implementação de modelos de compliance e de governance tecnológica compatíveis com o novo regime.
O novo quadro normativo confirma a crescente centralidade das infraestruturas digitais na economia moçambicana e sinaliza uma trajetória clara: a computação em nuvem e os centros de dados deixam de ser apenas ativos tecnológicos e passam a ser infraestruturas reguladas, estratégicas e sujeitas a supervisão.
