MyCiber: 15 de setembro é a data-limite do registo das organizações abrangidas pela NIS2

A 15 de setembro de 2026 termina o prazo de registo das entidades abrangidas pela NIS2 em Portugal: 60 dias úteis a contar de 23 de junho, data em que entrou em funcionamento a plataforma MyCiber, gerida pelo Centro Nacional de Cibersegurança. A partir daí, o enquadramento muda.
O regime jurídico da cibersegurança, aprovado pelo Decreto-Lei n.º 125/2025, transpõe para Portugal a diretiva europeia NIS2 e define quais as organizações consideradas entidades essenciais e importantes. Com ele, um conjunto alargado de empresas passa a ter obrigações concretas de segurança da informação. O CNCS estima cerca de seis mil entidades abrangidas, contra 450 no regime anterior.
O ponto de partida para essas organizações é o registo na plataforma MyCiber (myciber.gov.pt), o meio oficial para a autoidentificação, para as comunicações com o CNCS e para a notificação de incidentes. A plataforma está operacional desde 23 de junho, e o ónus da autoidentificação recai sobre a própria entidade.
É a partir de setembro que o enquadramento muda. Terminado o prazo, o CNCS passa a ter o mapa completo de quem está abrangido, e o incumprimento do dever de registo constitui, por si só, uma infração. A supervisão das entidades essenciais e importantes cabe ao CNCS, que pode emitir orientações técnicas, tratar as notificações de incidentes e aplicar sanções em caso de incumprimento. As entidades essenciais estão sujeitas a supervisão antes e depois de um incidente. As entidades importantes, apenas depois.
Setembro é também quando começam a sair as primeiras decisões de qualificação. O registo não qualifica ninguém: gera um registo provisório. A autoridade competente analisa a informação e emite um Projeto de Ato de Qualificação, sobre o qual a entidade se pode pronunciar em 10 dias úteis, em sede de audiência de interessados, antes da decisão final. É a partir daí que os prazos apertam: notificada a qualificação, a entidade tem 20 dias úteis para designar e comunicar ao CNCS o seu responsável de cibersegurança e o ponto de contacto permanente.
Convém distinguir estas duas figuras, porque muitas análises tratam-nas como uma só. O responsável de cibersegurança tem de ser titular dos órgãos de gestão, direção ou administração, ou responder-lhes de forma orgânica e direta. Não é externalizável. Já o ponto de contacto permanente não tem de ser assegurado internamente: em sessão de esclarecimento, o CNCS confirmou que essa função pode ser desempenhada por um prestador externo, funcionando como intermediário na comunicação com a autoridade.
Em suma, o fim do prazo de registo marca a transição de uma fase de preparação para uma fase em que cada organização está identificada, qualificada e com prazos a correr. Cabe às organizações não esperar que os dias passem, mas agir.
Fonte: Decreto-Lei n.º 125/2025 · Centro Nacional de Cibersegurança · sessões de esclarecimento do CNCS. Escrito pela equipa N4A, revisto por um Lead Auditor certificado ISO 27001.
Para ir mais fundo:
A sua empresa é abrangida por isto?
Em dois minutos, o diagnóstico rápido da N4A diz-lhe se o regime NIS2 se aplica ao seu caso e o que isso implica.
Fazer o diagnóstico rápido