Desde 23 de junho de 2026 que milhares de organizações portuguesas têm um novo dever legal em contagem decrescente: registar-se na plataforma MyCiber, o portal do Centro Nacional de Cibersegurança (CNCS) que operacionaliza o Regime Jurídico da Cibersegurança (RJC, Decreto-Lei n.º 125/2025, que transpõe a diretiva NIS2). O prazo para as entidades já em atividade é de 60 dias úteis contados da disponibilização da plataforma — e o CNCS já avisou que o ónus da autoavaliação recai sobre as próprias organizações. Este guia explica, passo a passo, quem tem de se registar, o que preparar, como decorre o processo e o que acontece depois.
Resposta rápida: O registo na MyCiber faz-se em myciber.gov.pt, com autenticação por Chave Móvel Digital ou Cartão de Cidadão do representante legal. É obrigatório para entidades essenciais e importantes dos 17 setores abrangidos pelo RJC (Decreto-Lei n.º 125/2025). O prazo é de 60 dias úteis desde 23 de junho de 2026 para entidades já em atividade. O incumprimento constitui contraordenação, com coimas até 10 milhões de euros para entidades essenciais.
O que é a MyCiber e porque é obrigatória
A MyCiber (myciber.gov.pt) é a plataforma eletrónica prevista no artigo 8.º do RJC e regulada pelo Regulamento n.º 756/2026. Funciona como canal único de comunicação entre as entidades abrangidas e as autoridades de cibersegurança competentes — o CNCS e, consoante o setor, o Gabinete Nacional de Segurança (GNS) ou a ANACOM. É nela que se faz o registo e a autoidentificação, se comunica o responsável de cibersegurança, se notificam incidentes e se recebem as notificações oficiais das autoridades.
O modelo assenta em princípios de simplificação: declaração única (com dispensa de informação já disponível na administração), conta única por entidade, área reservada com recibos de entrega e notificações eletrónicas com alerta por email. Não se trata de uma formalidade opcional: o incumprimento do dever de registo é uma infração autónoma, e as coimas do RJC podem atingir 10 milhões de euros ou 2% do volume de negócios anual para entidades essenciais, e 7 milhões ou 1,4% para entidades importantes.
Passo 0 — Verificar se a sua organização está abrangida
O RJC abrange entidades de 17 setores e a Administração Pública — energia, transportes, banca, infraestruturas dos mercados financeiros, saúde, água potável e águas residuais, infraestruturas digitais, gestão de serviços TIC, espaço, entre outros —, classificando-as como entidades essenciais, importantes ou públicas relevantes, em função do setor e da dimensão. Em regra, as grandes empresas dos setores mais críticos tendem a ser essenciais, e as médias empresas dos mesmos setores ou de setores adicionais tendem a ser importantes.
A própria plataforma disponibiliza um simulador que ajuda a aferir o enquadramento. Atenção, porém: o resultado do simulador é meramente indicativo e não vincula o CNCS — a qualificação formal só acontece depois do registo. Em caso de dúvida, o caminho prudente é registar: se a autoridade concluir que a entidade não está abrangida, o registo provisório é cancelado no prazo máximo de 90 dias, sem consequências.
Passo 1 — Preparar o que vai precisar
O registo deve ser efetuado pelo representante legal da entidade, com autenticação segura através de Cartão de Cidadão, Chave Móvel Digital ou meios equivalentes, incluindo meios de identificação eletrónica emitidos noutros Estados-Membros da UE. Antes de iniciar, convém reunir:
- Poderes de representação: se o representante legal não constar do Sistema de Certificação de Atributos Profissionais (SCAP), é necessário documento comprovativo desses poderes; se o registo for feito por terceiro, é preciso mandato ou atribuição de poderes específicos para o efeito;
- Dados da entidade: denominação, NIF/NIPC, setor(es) e subsetor(es) de atividade e tipo de entidade, conforme o formulário eletrónico de autoidentificação;
- Email institucional monitorizado: é para esse endereço que seguem o comprovativo de registo e os alertas das notificações oficiais — deve ser uma caixa acompanhada em permanência, não a caixa pessoal de um colaborador.
Passo 2 — Registo e autoidentificação
Feita a autenticação, o processo consiste no preenchimento do formulário de autoidentificação e na submissão do registo. A entidade autodeclara perante a plataforma que reúne os critérios para ser qualificada como essencial, importante ou pública relevante. Concluída a submissão, é emitido um documento comprovativo, enviado para o email indicado e disponível em permanência na área reservada.
Os prazos a reter: 60 dias úteis contados da disponibilização da plataforma (23 de junho de 2026) para as entidades que já estavam em atividade; 30 dias úteis a contar do início de atividade para entidades novas. Falhar estes prazos constitui, por si só, uma contraordenação.
Passo 3 — A qualificação pela autoridade competente
Com os dados submetidos, o CNCS — e, quando aplicável, o GNS ou a ANACOM — analisa o registo e determina o enquadramento. A entidade é notificada de um Projeto de Ato de Qualificação, que indica se está ou não abrangida e, estando, qual a qualificação atribuída. Segue-se uma audiência de interessados: a entidade tem 10 dias úteis para se pronunciar, findos os quais é emitido o Ato de Qualificação definitivo. É a partir daqui que as obrigações do regime se tornam plenamente aplicáveis, e o registo provisório converte-se em definitivo.
Passo 4 — Depois da qualificação: o que se segue
- Responsável de Cibersegurança e Ponto de Contacto Permanente: devem ser designados e comunicados através da área reservada no prazo de 20 dias úteis após a notificação da decisão de qualificação. O responsável pode ser interno ou um prestador externo habilitado; o ponto de contacto deve estar disponível para comunicação com as autoridades em caso de incidente.
- Lista de ativos publicamente acessíveis: a enviar até 31 de janeiro de 2027 ou 6 meses após a notificação da qualificação final — o prazo que se vencer primeiro — com atualização periódica.
- Medidas mínimas de cibersegurança: as entidades dispõem de 24 meses contados da publicação do Regulamento (ou seja, até junho de 2028) para implementar as medidas técnicas e organizativas correspondentes ao seu nível de conformidade, definido pela Matriz de Risco e pelo Quadro Nacional de Referência para a Cibersegurança (QNRCS).
- Relatório anual: a partir de junho de 2028, as entidades essenciais passam a submeter um relatório anual na área reservada; as entidades importantes remetem-no quando solicitado pelo CNCS.
- Manutenção dos dados: a informação registada é da responsabilidade da entidade e deve estar permanentemente atualizada — a qualificação pode, aliás, ser revista pela autoridade se as circunstâncias mudarem.
Notificação de incidentes: a MyCiber passa a ser o canal
Para as entidades registadas e qualificadas, a notificação de incidentes com impacto significativo passa a fazer-se na área reservada da MyCiber: a notificação inicial deve ocorrer no prazo de 24 horas a contar do conhecimento do incidente, seguindo-se na mesma plataforma a notificação de fim do impacto significativo e o relatório final ou intercalar. A plataforma associa as várias comunicações ao mesmo incidente e emite alertas automáticos sobre os prazos legais de reporte — o que torna essencial que a equipa responsável tenha acesso operacional à área reservada antes de qualquer crise. A página pública permite ainda notificações voluntárias de incidentes, quase incidentes, ciberameaças ou vulnerabilidades por qualquer cidadão ou entidade.
Tabela de prazos: todas as datas em contagem
| Obrigação | Prazo | Quem |
|---|---|---|
| Registo na MyCiber | 60 dias úteis desde 23 jun 2026 (≈ 17 set 2026) | Entidades já em atividade |
| Designação do Responsável de Cibersegurança | 20 dias úteis após entrada em vigor ou qualificação | Todas as entidades abrangidas |
| Pronúncia sobre o Projeto de Ato de Qualificação | 10 dias úteis após notificação | Entidades notificadas pelo CNCS |
| Lista de Ativos | Até 31 jan 2027 (ou 6 meses após qualificação final) | Entidades qualificadas |
| Notificação inicial de incidente significativo | 24 horas após conhecimento | Todas as entidades abrangidas |
| Relatório final de incidente | 1 mês | Todas as entidades abrangidas |
| Relatório Anual | 24 meses após publicação do Regulamento | Apenas entidades essenciais |
Erros a evitar
- Esperar por uma notificação para agir: o dever de autoidentificação é da entidade — “não sabíamos que estávamos abrangidos” não é defesa válida;
- Registar sem poderes de representação válidos ou com contas de autenticação de quem não representa a entidade;
- Ignorar a área reservada depois do registo: é lá que chegam as notificações oficiais, incluindo o Projeto de Ato de Qualificação com o prazo de 10 dias úteis para resposta;
- Tratar o simulador como decisão final: é indicativo, não vinculativo;
- Adiar as medidas para 2028: os 24 meses servem para criar cultura organizacional e corrigir ineficiências — deixar tudo para o fim transforma um processo de adaptação num sprint impossível.
Apoio disponível
O CNCS tem vindo a disponibilizar instrumentos de apoio: guias e templates sobre as medidas mínimas, sessões de esclarecimento e webinars (como o “MyCiber na prática”, realizado no final de junho), o Roteiro NIS2, formação na C-Academy e uma ferramenta gratuita de análise de risco em desenvolvimento no âmbito do PRR. O regime prevê ainda a possibilidade de as entidades obterem um certificado de conformidade com o QNRCS ou o selo de maturidade digital na componente de cibersegurança — um instrumento útil para dar conforto à gestão de que as obrigações legais estão a ser cumpridas. Para o contexto de lançamento da plataforma, veja também o nosso artigo sobre a disponibilização da MyCiber.
Perguntas frequentes sobre o registo MyCiber
Artigos relacionados sobre o RJC e a MyCiber
- MyCiber: a plataforma de registo da NIS2 já está disponível — os prazos que já estão a contar
- Regulamento n.º 756/2026: as regras de execução do Regime Jurídico da Cibersegurança
- NIS2: Sumário Executivo — o que é, a quem se aplica e como preparar a organização
- Boletim do Observatório do CNCS n.º 2/2026: prazos do novo regime em contagem
Este guia tem caráter informativo e baseia-se no Decreto-Lei n.º 125/2025, no Regulamento n.º 756/2026 e na informação divulgada publicamente pelo CNCS. Não dispensa a consulta das fontes oficiais nem aconselhamento jurídico especializado.
