Portugal: Novo regulamento de cibersegurança define obrigações e ativa a plataforma MyCiber
O novo regulamento que desenvolve o Regime Jurídico da Cibersegurança entrou em vigor a 23 de junho de 2026, estabelecendo as regras de funcionamento da plataforma MyCiber e fixando os procedimentos de registo, qualificação e cumprimento das obrigações pelas entidades abrangidas.
Foi publicado, em 22 de junho de 2026, o Regulamento n.º 756/2026, de 22 de junho, que desenvolve as obrigações previstas no Decreto-Lei n.º 125/2025, de 4 de dezembro, o qual aprova o Regime Jurídico da Cibersegurança (RJC).
O regulamento define as regras de funcionamento da plataforma eletrónica MyCiber, os procedimentos de registo e qualificação das entidades abrangidas, as obrigações de notificação de incidentes, o Quadro Nacional de Referência para a Cibersegurança (QNRCS), as regras relativas à gestão de riscos, ativos e certificação, bem como as medidas de cibersegurança mínimas a adotar pelas entidades abrangidas.
Com a entrada em vigor do Regulamento, a 23 de junho de 2026, a plataforma eletrónica MyCiber, disponibilizada pelo Centro Nacional de Cibersegurança (CNCS), encontra-se operacional para efeitos de registo das entidades abrangidas.
As entidades abrangidas pelo RJC compreendem um universo alargado, conforme detalhado na nota informativa já anteriormente preparado pela equipa de Digital, Proteção de Dados e Cibersegurança.
Funcionamento da plataforma MyCiber
A plataforma MyCiber constitui o canal oficial de comunicação entre as entidades abrangidas e as autoridades de cibersegurança competentes. O acesso à plataforma é efetuado mediante registo pelo representante legal da entidade, através de meios de autenticação segura, designadamente Cartão de Cidadão ou Chave Móvel Digital.
Cada entidade dispõe de uma área reservada onde consulta o estado das suas comunicações, recebe notificações das autoridades e submete os documentos exigidos pelo regime.
Autoidentificação das entidades abrangidas
Após o registo na plataforma MyCiber, as entidades que se encontravam em atividade à data de entrada em vigor do RJC (i.e., 4 de maio de 2026) dispõem de 60 dias, contados da data de disponibilização da plataforma, para cumprir a obrigação de autoidentificação.
A autoidentificação é efetuada mediante o preenchimento de formulário com as informações da entidade na plataforma, sendo nesse momento criado o registo provisório.
Subsequentemente, as entidades serão notificadas pela autoridade de cibersegurança competente para se pronunciarem sobre o projeto de decisão de qualificação, no prazo de 10 dias úteis, findo o qual será proferida a decisão final de qualificação.
Designação do responsável de cibersegurança e do ponto de contacto permanente
Após a notificação da decisão de qualificação pela autoridade competente, as entidades essenciais e importantes que tenham iniciado atividade antes da data de entrada em vigor do RJC dispõem de 20 dias úteis para designar e comunicar ao CNCS o respetivo responsável de cibersegurança e o ponto de contacto permanente, de acordo com o regime jurídico aplicável, sintetizado no quadro seguinte:

Informação a comunicar ao CNCS

Conclusão e recomendações práticas
Com a entrada em vigor do regulamento e o início da contagem dos prazos legais, recomenda-se que as entidades potencialmente abrangidas adotem, desde já, as seguintes medidas:
- Avaliar o enquadramento da entidade no âmbito de aplicação do Regime Jurídico da Cibersegurança;
- Proceder ao registo na plataforma MyCiber no prazo de 60 dias (entidades em atividade à data de entrada em vigor do RJC) ou 30 dias úteis (novas entidades);
- Designar o responsável de cibersegurança e o ponto de contacto permanente, assegurando que reúnem as competências técnicas adequadas;
- Realizar um gap assessment para identificar lacunas face às medidas de cibersegurança mínimas aplicáveis;
- Planear a implementação das medidas de cibersegurança exigidas pelo RJC.
Profissionais de contacto
-
+351 213 821 200
