Plataforma do CNCS entra em funcionamento com novo regime de cibersegurança

Entrou em vigor o Regulamento do Regime Jurídico da Cibersegurança, diploma que estabelece as regras de aplicação de várias disposições do novo enquadramento legal e define o funcionamento da plataforma eletrónica MyCiber, disponibilizada pelo Centro Nacional de Cibersegurança (CNCS). A plataforma destina-se ao registo das entidades essenciais, importantes e públicas relevantes abrangidas pelo regime.

A publicação do regulamento surge após um período de consulta pública realizado entre 10 de março e 22 de abril de 2026, durante o qual o CNCS recolheu contributos dos interessados. Os resultados desse processo foram compilados num relatório que inclui as participações recebidas e a fundamentação das decisões adotadas.

Com a entrada em vigor do regulamento inicia-se igualmente a contagem do prazo legal de 24 meses para a implementação das medidas de cibersegurança previstas no Regime Jurídico da Cibersegurança e para a obrigatoriedade de envio do Relatório Anual pelas entidades essenciais.

As entidades abrangidas pelo artigo 3.º do regime têm agora a obrigação de proceder à sua identificação e registo na plataforma MyCiber, que permitirá a comunicação com as autoridades competentes em matéria de cibersegurança, nomeadamente o CNCS, a Autoridade Nacional de Comunicações (ANACOM) e o Gabinete Nacional de Segurança (GNS). O registo deve ser efetuado pelo representante legal da organização ou por uma pessoa, interna ou externa, que tenha recebido poderes para representar a entidade nesse processo.

As organizações que iniciaram atividade após a entrada em vigor do regime dispõem de 30 dias úteis para se registarem. Já as entidades que já estavam em atividade antes da disponibilização da plataforma têm 60 dias úteis para cumprir esta obrigação.

Novas obrigações e prazos

O regulamento define igualmente os principais prazos associados ao novo regime. Após a notificação da qualificação final da entidade, existe um prazo de 20 dias úteis para comunicar o Responsável de Cibersegurança e o Ponto de Contacto Permanente. As autoridades competentes dispõem de 30 dias úteis para notificar a qualificação das entidades abrangidas.

Em matéria de gestão de incidentes, as entidades essenciais, importantes e públicas relevantes classificadas como categoria A ou B terão de comunicar incidentes com impacto significativo no prazo máximo de 24 horas após o seu conhecimento, utilizando a plataforma MyCiber. As restantes notificações e relatórios relacionados com o incidente também deverão ser submetidos através do mesmo sistema.

Outra obrigação relevante é o envio da lista de ativos, que deverá ocorrer até 31 de janeiro de 2027 ou até seis meses após a notificação de qualificação final, consoante o prazo que ocorrer primeiro.

O novo Regime Jurídico da Cibersegurança aplica-se a 17 setores de atividade e à Administração Pública, adotando uma abordagem transversal e proporcional à dimensão das organizações e à criticidade das suas operações. O objetivo é reforçar a resiliência do ecossistema nacional perante o aumento da sofisticação das ameaças e a crescente dependência das tecnologias de informação e comunicação.

Para apoiar as entidades no processo de adaptação ao novo enquadramento, o CNCS vai promover no dia 30 de junho um webinar dedicado à utilização da plataforma, intitulado “MyCiber na prática: do Registo à conformidade jurídica”, destinado a esclarecer dúvidas e demonstrar os procedimentos de registo e cumprimento das novas obrigações.