
A plataforma MyCiber (myciber.gov.pt), disponível em português e inglês, está operacional desde 23 de junho de 2026. É o ponto único de contacto entre as organizações e as autoridades de cibersegurança: registo, qualificação, designação de responsáveis, notificação de incidentes e acompanhamento da conformidade — tudo passa por aqui.
Quem deve registar-se? As entidades essenciais, importantes e públicas relevantes têm registo obrigatório. Mas a plataforma está aberta a todos: qualquer cidadão ou organização pode utilizá-la para reportar voluntariamente incidentes, quase incidentes, ciberameaças ou vulnerabilidades.
O que acontece na plataforma:
- Registo — As entidades já em atividade dispõem de 60 dias úteis, contados de 23 de junho de 2026; as que iniciem atividade após essa data dispõem de 30 dias. O acesso é feito via Chave Móvel Digital ou Cartão de Cidadão, com preenchimento de formulário (NIF, setor, dimensão, contactos). Após submissão, é criado um registo provisório.
- Qualificação e nível de conformidade — A autoridade competente analisa os dados e aplica a matriz de risco (Anexo II do Regulamento), que cruza setor, subsetor e dimensão da entidade. Resultado: atribuição de um nível de conformidade — básico (39 medidas), substancial (75 medidas) ou elevado (91 medidas) — segundo o Quadro Nacional de Referência para a Cibersegurança (QNRCS), alinhado com a NIST CSF 2.0. O Projeto de Ato de Qualificação é notificado em 30 dias úteis, com 10 dias para audiência de interessados.
- Obrigações pós-qualificação — A plataforma centraliza toda a comunicação com o CNCS, ANACOM ou GNS: designação do Responsável de Cibersegurança e Ponto de Contacto Permanente (20 dias úteis); notificação de incidentes (alerta inicial em 24 horas, atualização em 72 horas, relatório final em 30 dias); submissão da lista de ativos; e Relatório Anual (entidades essenciais). As entidades dispõem de 24 meses após a qualificação para implementar integralmente as medidas mínimas do seu nível.
O que ainda está por vir — O CNCS irá publicar instruções técnicas adicionais sobre: normas setoriais complementares ao QNRCS; metodologia de análise de gestão de risco; mecanismos de certificação voluntária (incluindo o reconhecimento da ISO/IEC 27001); e orientações operacionais sobre notificação de incidentes.
Consequências do incumprimento — Coimas até 10 milhões de euros ou 2% do volume de negócios anual global, consoante o que for mais elevado. Ficar fora da plataforma significa não ter canal formal para comunicar incidentes — agravando a exposição em caso de ataque.
Ações recomendadas: (1) registar-se na plataforma MyCiber dentro do prazo de 60 dias úteis; (2) preparar um plano de conformidade para implementação das medidas mínimas no período de transição de 24 meses. A equipa de Digital Contracting & Compliance da Antas da Cunha Ecija está disponível para apoiar em todas as fases. Fale connosco.
Por Ana Bastos, Paulo Morgado, Joana Pinto e Márcia Dias Lomba, Área de Prática – Digital Contracting & Compliance


