Contexto: o elo que faltava ao DL 125/2025
O Regime Jurídico da Cibersegurança, aprovado pelo Decreto-Lei n.º 125/2025, entrou em vigor a 3 de abril de 2026 após 120 dias de vacatio legis. Contudo, a sua aplicação prática estava condicionada à publicação do regulamento do CNCS que define as regras operacionais: como as entidades se registam, como comunicam com as autoridades e como notificam incidentes. Esse elemento central acaba de ser publicado.
O Regulamento do Regime Jurídico da Cibersegurança (Regulamento 756/2026) foi elaborado pelo CNCS após consulta pública decorrida entre 10 de março e 22 de abril de 2026. O CNCS compilou os contributos recebidos num relatório público com a fundamentação das decisões tomadas, garantindo transparência no processo regulatório.
O quadro regulatório está completo: Com o Regulamento 756/2026 publicado e a plataforma MyCiber operacional, as entidades abrangidas pelo Art. 3.º do DL 125/2025 têm agora meios concretos para cumprir as suas obrigações legais.
MyCiber: a porta de entrada para a conformidade
A plataforma MyCiber está agora operacional. É através desta plataforma que as entidades abrangidas pelo artigo 3.º do Regime Jurídico da Cibersegurança devem identificar-se e registar-se, estabelecendo o canal oficial de comunicação com as três autoridades competentes: o CNCS (Centro Nacional de Cibersegurança), a ANACOM (Autoridade Nacional de Comunicações) e o GNS (Gabinete Nacional de Segurança).
O registo é efetuado pelo representante legal da entidade ou por quem disponha de poderes para a representar. A plataforma centraliza ainda a comunicação de incidentes e a submissão de relatórios anuais, substituindo processos anteriormente dispersos.
Prazos de registo: conte os dias úteis
O Regulamento 756/2026 estabelece prazos distintos consoante a situação da entidade:
- 30 dias úteis para entidades que iniciem atividade após a entrada em vigor do regulamento.
- 60 dias úteis para entidades já em atividade antes da disponibilização da plataforma MyCiber.
Relativamente ao Responsável de Cibersegurança e ao Ponto de Contacto Permanente, as entidades dispõem de 20 dias úteis para comunicar esses dados ao CNCS, contados a partir da notificação da qualificação da entidade. Por sua vez, as autoridades competentes têm 30 dias úteis para notificar as entidades da sua qualificação.
O prazo de 24 meses começa agora
Com a entrada em vigor do Regulamento 756/2026, arranca formalmente o prazo de 24 meses previsto para a implementação das medidas de cibersegurança obrigatórias e para a obrigatoriedade do Relatório Anual das entidades essenciais. A conformidade plena está prevista para meados de 2028.
Este prazo abrange a implementação das 9 medidas de gestão do risco de cibersegurança previstas no Art. 27.º do DL 125/2025 (correspondente ao Art. 21 da Diretiva NIS2), que incluem domínios como políticas de gestão de risco, continuidade de negócio, segurança da cadeia de abastecimento, autenticação multifator e criptografia.
Atenção ao prazo de registo: As entidades já em atividade têm 60 dias úteis a contar da disponibilização da MyCiber para se registarem. Não aguardar pela notificação de qualificação para iniciar o processo interno de preparação é a abordagem prudente.
Notificação de incidentes via MyCiber
O Regulamento 756/2026 confirma e operacionaliza o regime de notificação de incidentes. As entidades essenciais, importantes e públicas relevantes classificadas como categoria A ou B comunicam incidentes com impacto significativo através da plataforma MyCiber, respeitando o ciclo legal:
| Prazo | Tipo de comunicação | Referência legal |
|---|---|---|
| 24 horas | Alerta precoce ao CNCS (notificação imediata após deteção) | Art. 42.º DL 125/2025 |
| 72 horas | Notificação completa com avaliação inicial do impacto | Art. 40.º DL 125/2025 |
| 30 dias | Relatório final com análise de causa raiz e medidas corretivas | Art. 44.º DL 125/2025 |
As restantes notificações e relatórios seguem o mesmo sistema, mantendo o ciclo 24h/72h/30 dias como referencial operacional para a gestão de incidentes.
O que deve fazer já
A publicação do Regulamento 756/2026 transforma obrigações abstratas em passos concretos com prazos a contar. As ações prioritárias são:
- Aceder à plataforma MyCiber e iniciar o processo de identificação e registo da entidade dentro do prazo de 60 dias úteis aplicável.
- Designar o Responsável de Cibersegurança e o Ponto de Contacto Permanente e comunicá-los ao CNCS nos 20 dias úteis após notificação de qualificação.
- Iniciar o plano de implementação das medidas do Art. 27.º do DL 125/2025 (Art. 21 da Diretiva NIS2), com horizonte de 24 meses para conformidade plena.
- Preparar o processo interno de notificação de incidentes em conformidade com os prazos 24h/72h/30 dias, utilizando o canal MyCiber.
- Acompanhar as orientações do CNCS sobre a interpretação do regulamento, incluindo o relatório de consulta pública publicado pela autoridade.