info@goldenblatt.co.uk
49 Russell Square, London, UK

News & MediaFlash AlertCibersegurança em Portugal – MyCiber: o novo centro de comando da cibersegurança em Portugal

7 de Julho, 2026

A plataforma MyCiber (myciber.gov.pt), disponível em português e inglês, está operacional desde 23 de junho de 2026. É o ponto único de contacto entre as organizações e as autoridades de cibersegurança: registo, qualificação, designação de responsáveis, notificação de incidentes e acompanhamento da conformidade — tudo passa por aqui.

Quem deve registar-se? As entidades essenciais, importantes e públicas relevantes têm registo obrigatório. Mas a plataforma está aberta a todos: qualquer cidadão ou organização pode utilizá-la para reportar voluntariamente incidentes, quase incidentes, ciberameaças ou vulnerabilidades.

O que acontece na plataforma:

  • Registo — As entidades já em atividade dispõem de 60 dias úteis, contados de 23 de junho de 2026; as que iniciem atividade após essa data dispõem de 30 dias. O acesso é feito via Chave Móvel Digital ou Cartão de Cidadão, com preenchimento de formulário (NIF, setor, dimensão, contactos). Após submissão, é criado um registo provisório.
  • Qualificação e nível de conformidade — A autoridade competente analisa os dados e aplica a matriz de risco (Anexo II do Regulamento), que cruza setor, subsetor e dimensão da entidade. Resultado: atribuição de um nível de conformidade — básico (39 medidas), substancial (75 medidas) ou elevado (91 medidas) — segundo o Quadro Nacional de Referência para a Cibersegurança (QNRCS), alinhado com a NIST CSF 2.0. O Projeto de Ato de Qualificação é notificado em 30 dias úteis, com 10 dias para audiência de interessados.
  • Obrigações pós-qualificação — A plataforma centraliza toda a comunicação com o CNCS, ANACOM ou GNS: designação do Responsável de Cibersegurança e Ponto de Contacto Permanente (20 dias úteis); notificação de incidentes (alerta inicial em 24 horas, atualização em 72 horas, relatório final em 30 dias); submissão da lista de ativos; e Relatório Anual (entidades essenciais). As entidades dispõem de 24 meses após a qualificação para implementar integralmente as medidas mínimas do seu nível.

O que ainda está por vir — O CNCS irá publicar instruções técnicas adicionais sobre: normas setoriais complementares ao QNRCS; metodologia de análise de gestão de risco; mecanismos de certificação voluntária (incluindo o reconhecimento da ISO/IEC 27001); e orientações operacionais sobre notificação de incidentes.

Consequências do incumprimento — Coimas até 10 milhões de euros ou 2% do volume de negócios anual global, consoante o que for mais elevado. Ficar fora da plataforma significa não ter canal formal para comunicar incidentes — agravando a exposição em caso de ataque.

Ações recomendadas: (1) registar-se na plataforma MyCiber dentro do prazo de 60 dias úteis; (2) preparar um plano de conformidade para implementação das medidas mínimas no período de transição de 24 meses. A equipa de Digital Contracting & Compliance da Antas da Cunha Ecija está disponível para apoiar em todas as fases. Fale connosco.

 

Por Ana Bastos, Paulo Morgado, Joana Pinto e Márcia Dias Lomba, Área de Prática – Digital Contracting & Compliance

https://adcecija.pt/wp-content/uploads/2020/06/logo_horizontal_b-768x75.png
LISBOA
Edifício Amoreiras Square
Rua Carlos Alberto da Mota Pinto, 17 - 2.º piso
1070-313 Lisboa
PORTO
Rua Eugénio de Castro, n.º 352, 2.º andar, sala 26
4100-225 Porto
BRAGA
Rua de Janes, n.º 20, 1.º andar, sala 101
4700-318 Braga
MADEIRA - Joint Venture with Vítor Abreu Advogados
Rua 31 de Janeiro, n.º 75 - 1.º D
9050-401 Funchal