O Centro Nacional de Cibersegurança (CNCS) publicou em Diário da República o Regulamento n.º 756/2026, que estabelece as regras práticas de execução do Regime Jurídico da Cibersegurança — o diploma que transpõe para Portugal a Diretiva europeia NIS2. A publicação marca o início formal da contagem de prazos para as obrigações de cibersegurança que recaem sobre empresas e entidades públicas em Portugal.
O que define o Regulamento
O Regulamento n.º 756/2026 opera em três eixos principais. O primeiro diz respeito ao funcionamento da plataforma eletrónica MyCiber, através da qual as entidades abrangidas pelo regime devem proceder ao registo e auto-identificação. O segundo estabelece as regras de qualificação das entidades — definindo quais são consideradas “essenciais” ou “importantes” para efeitos do regime. O terceiro regula as notificações obrigatórias de incidentes de cibersegurança e as notificações voluntárias de informações pertinentes, bem como as comunicações entre entidades e o CNCS.
Quem está abrangido
O Regime Jurídico da Cibersegurança aplica-se a um conjunto alargado de setores considerados críticos — energia, transportes, banca, infraestruturas de mercados financeiros, saúde, água potável, infraestruturas digitais, administração pública e espaço, entre outros. As organizações abrangidas têm agora prazos formais para se registar na plataforma MyCiber, implementar medidas de gestão de risco e assegurar a notificação de incidentes significativos ao CNCS/CERT.PT.
Prazos e obrigações imediatas
Com a entrada em vigor do regulamento, as entidades abrangidas devem, em primeiro lugar, verificar se se enquadram nas categorias definidas e proceder ao registo na plataforma MyCiber. O processo de auto-identificação determina a qualificação da entidade e, consequentemente, o nível de obrigações aplicável. As entidades que ainda não iniciaram este processo devem fazê-lo com urgência, tendo em conta os prazos que começaram a contar.
Porque é que isto importa
A publicação deste regulamento representa um marco significativo no processo de transposição da NIS2 em Portugal. O país passa a dispor de um quadro operacional completo: lei, regulamento e plataforma de registo. Para as organizações, o momento de agir é agora — a ignorância do regime não isenta de responsabilidade, e as consequências do incumprimento incluem coimas e obrigações de reporte de incidentes. Recomenda-se a consulta do site oficial do CNCS e da plataforma MyCiber para verificar a situação de cada organização.
Esta informação tem carácter noticioso e baseia-se no Regulamento n.º 756/2026, publicado em Diário da República, e em informação divulgada publicamente pelo Centro Nacional de Cibersegurança.