MyCiber: A nova plataforma de registo do Regime Jurídico da Cibersegurança já está disponível com prazos importantes a considerar
O Regulamento do Regime Jurídico da Cibersegurança entrou em vigor hoje, iniciando a contagem dos prazos para as medidas de cibersegurança decorrentes da implementação da NIS2. A plataforma de registro MyCiber já está ativa e os prazos são curtos.
Com a publicação do Regulamento e o lançamento da plataforma de registro, faltavam apenas os elementos necessários para que o Regime Jurídico da Cibersegurança (RJC) fosse efetivamente implementado pelas entidades designadas como essenciais e importantes na legislação que transpõe a NIS2 para a legislação portuguesa. O Regulamento foi publicado ontem em Diário da República e começa a vigorar hoje, enquanto a plataforma MyCiber também foi lançada hoje.
A confirmação do lançamento dessas duas iniciativas foi dada por Lino Santos durante o C-Days 2026, que ocorreu na semana passada. O coordenador do Centro Nacional de Cibersegurança (CNCS) destacou que o regulamento oferece uma série de ferramentas para fortalecer a construção da cibersegurança nacional, enfatizando que o desenvolvimento deve ser realizado em colaboração com as entidades afetadas.
Mantenha-se informado sobre as principais novidades tecnológicas eacompanhe tudo em tek.sapo.pt
O Regulamento inclui as diretrizes para o funcionamento da plataforma eletrônica MyCiber, bem como as medidas mínimas de cibersegurança e os níveis de conformidade. O documento contempla várias seções importantes, incluindo o Quadro Nacional de Referência para a Cibersegurança, a metodologia da Matriz de Risco, e anexos que contêm as medidas de cibersegurança para entidades essenciais e importantes.
Além deste regulamento, “o CNCS irá desenvolver, atualizar e divulgar novos instrumentos de apoio, incluindo instruções técnicas planejadas neste regime jurídico de cibersegurança”, acrescentou Lino Santos. A primeira dessas instruções será focada na divulgação coordenada de vulnerabilidades.
Lino Santos também alertou que o prazo de 24 meses estabelecido para a implementação do Regulamento é crucial para que se criem culturas organizacionais adequadas e se corrijam ineficiências nas infraestruturas, redes e sistemas.
“Não são 24 meses para deixar tudo para a última da hora. É um tempo para construir e implementar, é um tempo para planejar e crescer na maturidade de forma gradual e não deixar tudo para o último momento”, defende Lino Santos.
Apesar disso, o objetivo do coordenador do CNCS é que o fortalecimento da cibersegurança seja um “esforço conjunto e próximo”. “Queremos colaborar com vocês, desejamos desenvolver esses instrumentos juntos. O CNCS é, portanto, um regulador parceiro, ou ao menos tenta agir como um regulador parceiro, e continuará a trabalhar de forma próxima com as entidades, compartilhando boas práticas e lições aprendidas, além de ouvir as organizações sobre suas dificuldades e sucessos”, enfatiza.
Quem é impactado pelo Regulamento Jurídico da Cibersegurança?
Estima-se que cerca de 6 mil entidades estejam incluídas no novo Regime Jurídico de Cibersegurança, que amplia significativamente o escopo em relação à legislação anterior, abrangendo 17 setores e incluindo a Administração Pública. Essas entidades precisam começar a contabilizar os prazos para não falhar em suas obrigações legais.
O CNCS já havia disponibilizado um simulador que permite às organizações verificarem se estão dentro do grupo identificado pela NIS2, identificando quem deve cumprir as obrigações estabelecidas. Agora, empresas e organizações públicas que operam em áreas de negócios identificadas podem efetuar seu registro. Os setores incluem Água Potável e Águas Residuais, Bancário, Energia, Espaço, Gestão de serviços de tecnologia da informação ou comunicação (entre empresas), Infraestruturas digitais, Pesquisa, Prestação de serviços digitais e Saúde, entre outros.
A partir de hoje, começam a valer os prazos estipulados para cumprir as obrigações legais. O prazo mais curto é de 30 dias para as entidades que começaram suas atividades após a publicação do Regime Jurídico, ou seja, após 4 de dezembro de 2025, enquanto as entidades que já estavam operando têm 60 dias para realizar essa identificação e registro. Após serem notificadas de sua qualificação como essenciais ou importantes, as organizações têm 20 dias para comunicar o responsável pela cibersegurança e o ponto de contato permanente.
Além disso, é importante destacar que até 31 de janeiro de 2027, ou 6 meses após a notificação de qualificação final, o que ocorrer primeiro, deverá ser enviada a Lista de Ativos das entidades essenciais, importantes e públicas relevantes. Dentro de um prazo de dois anos, até junho de 2028, as entidades essenciais devem começar a apresentar um Relatório anual e implementar as medidas de cibersegurança, obrigação que também se estende às entidades importantes e públicas.
O vídeo fornece mais informações sobre a plataforma
Como mencionou Lino Santos, essa é uma jornada que teve início há vários anos. Antes da publicação do Regulamento, houve um período de consulta pública, cujos resultados estão disponíveis. O CNCS também conduziu ações de capacitação com o Roteiro NIS2 em todo o país, incluindo as Regiões Autônomas, que complementa os programas desenvolvidos pela C-Academy.
Ainda está previsto para a próxima semana, no dia 30 de junho, um “webinar de treino MyCiber na prática: do Registro à conformidade jurídica”, que o CNCS afirma que busca conciliar os aspectos técnicos e de conformidade, trazendo uma componente prática do registro e a resolução das dúvidas levantadas.
