Janela de registo aberta: fecha a 21 de agosto de 2026

Registo na plataforma MyCiber do CNCS

O art. 8.º do RJC (Decreto-Lei n.º 125/2025) obriga as entidades enquadradas a registar-se na plataforma MyCiber do CNCS, aberta a 22 de junho de 2026 pelo Regulamento n.º 756/2026. As entidades já em atividade a 3 de abril de 2026 têm 60 dias a contar da disponibilização da plataforma (art. 8.º n.º 1 do Regulamento): numa leitura prudente em dias de calendário, até 21 de agosto de 2026. O CNCS referiu publicamente 60 dias úteis, mas não há data oficial publicada, pelo que deve registar-se com folga. Novas entidades têm 30 dias a contar do início de atividade. Esta página explica quem está obrigado, que dados são pedidos, os riscos do incumprimento e como a Reglyze acelera o registo de meses para horas.

⚠ Coimas até 10 M€ ou 2 % do volume de negócios mundial

Para Entidades Essenciais (art. 61.º RJC). Entidades Importantes podem ser sancionadas até 7 M€ ou 1,4 %. As coimas pelos deveres já em vigor aplicam-se desde 3 de abril de 2026; até 3 de abril de 2027 pode requerer a dispensa de coima (art. 65.º RJC). O incumprimento do dever de registo é o ponto mais visível de não-conformidade para o CNCS.

Quem está obrigado a registar-se?

  • Entidades Essenciais — grandes empresas (≥ 250 colaboradores OU ≥ 50 M€ de volume de negócios) em sectores do anexo I do RJC (energia, transportes, banca, infra-estruturas dos mercados financeiros, saúde, água potável, águas residuais, infra-estruturas digitais, gestão de serviços TIC B2B, administração pública, espaço).
  • Entidades Importantes — médias empresas (50-249 colaboradores OU 10-50 M€) em sectores dos anexos I ou II do RJC, e grandes empresas do anexo II (serviços postais, gestão de resíduos, químicos, alimentação, indústria, serviços digitais, investigação).
  • Entidades Públicas Relevantes (categoria PT-específica, art. 7.º do RJC) — entidades dos Grupos A (administração central, autarquias, institutos públicos) e B (algumas IPSS e entidades de utilidade pública), conforme tabela ainda a publicar pelo CNCS.

E se for fornecedor relevante de uma essencial? O art. 28.º do RJC obriga as entidades essenciais a fazer gestão de risco da cadeia de fornecimento, pelo que poderá receber exigências contratuais indirectas — questionários, cláusulas, auditorias — mesmo sem se registar directamente no MyCiber.

O que pede a plataforma MyCiber

Os campos efectivos podem evoluir conforme actualizações do CNCS. A lista abaixo reflecte os blocos típicos.

  1. 1. Identificação da entidade — designação jurídica, NIPC, morada, CAE primário e secundário.
  2. 2. Sector e sub-sector — anexo I ou II do RJC, sector regulamentado (ex. energia eléctrica, água potável, banca, saúde), sub-actividade.
  3. 3. Auto-qualificação — entidade essencial, importante, pública relevante (Grupo A ou B) ou fora do âmbito, com justificação.
  4. 4. Contactos operacionais — ponto de contacto permanente (24/7) E responsável de cibersegurança designado (art. 8.º n.º 6 RJC).
  5. 5. Fornecedores relevantes — lista dos fornecedores TIC críticos cuja indisponibilidade colocaria a entidade em risco material (aguarda Regulamento CNCS sobre fornecedores relevantes — art. 28.º n.º 2).
  6. 6. Identificadores técnicos — domínios sob responsabilidade da entidade, blocos IP públicos atribuídos, sistemas críticos com nome identificável.

Riscos do incumprimento

  • Coimas pecuniárias — até 10 M€ ou 2 % do volume de negócios mundial (Essenciais); até 7 M€ ou 1,4 % (Importantes). Art. 61.º RJC.
  • Sanções pessoais — para Entidades Essenciais, a falha do dever de cibersegurança pode acarretar responsabilidade pessoal dos membros do órgão de direção e até inibição temporária de funções (art. 56.º n.º 4 RJC).
  • Supervisão ex ante mais intensa — para Entidades Essenciais, o CNCS pode iniciar inspecções, auditorias e impor medidas correctivas a qualquer momento. Entidades não registadas ficam visíveis ao primeiro cruzamento de dados sectoriais.
  • Bloqueio de concursos públicos — entidades não conformes podem ser inelegíveis para concursos públicos que exijam comprovação de cibersegurança nas peças de procedimento.

Como a Reglyze acelera o registo

A Reglyze inclui um assistente MyCiber que gera um pacote pré-preenchido a partir do perfil da entidade, do diagnóstico NIS 2 / RJC e dos fornecedores registados na plataforma. O assistente cobre as 6 secções da plataforma MyCiber e mostra campo a campo o que copiar, com chips de proveniência a indicar a origem de cada valor (perfil da entidade, scoping, lista de fornecedores ou input manual).

A Reglyze nunca submete no MyCiber em seu nome. Por contrato (ADR 0017 da arquitectura Reglyze), a submissão é sempre acto do operador na plataforma do CNCS. O assistente prepara o pacote, abre deep-links para a secção certa, valida campos com regras NIPC / CAE e marca a submissão como concluída quando o operador o confirma — mas o "clique de submissão" é sempre seu.

O assistente está incluído no plano pago (desde €490/organização/ano). O diagnóstico que classifica a sua entidade e os scores iniciais do art. 27.º estão incluídos no plano gratuito — o que permite testar o enquadramento e a maturidade antes de subscrever.

Confirme o enquadramento em 2 minutos

O diagnóstico Reglyze diz-lhe em 2 minutos se está obrigado ao registo MyCiber, em que categoria (Essencial / Importante / Pública Relevante) e qual o prazo aplicável. Sem cartão de crédito.