Novo Regime Jurídico de Cibersegurança: prazo de 60 dias úteis para registo na plataforma MyCiber

O Centro Nacional de Cibersegurança (CNCS) alertou que as entidades abrangidas pelo novo Regime Jurídico de Cibersegurança dispõem de 60 dias úteis para completar o registo e a autoidentificação na plataforma eletrónica MyCiber (myciber.gov.pt). Findo este prazo, arranca um período de 24 meses para implementar as medidas mínimas de segurança exigidas em função da qualificação atribuída.

Contexto regulatório

O primeiro regulamento de execução do novo Regime Jurídico de Cibersegurança — transposto da Diretiva NIS 2 — foi publicado pelo CNCS e estabelece as funcionalidades da plataforma MyCiber, o mecanismo de comunicação entre as autoridades competentes e as entidades sujeitas ao regime. O diploma introduz, ainda, o Quadro Nacional de Referência para a Cibersegurança (QNRCS), que define as boas práticas exigíveis em Portugal.

Obrigações imediatas: registo e autoidentificação

Nos próximos 60 dias úteis, as entidades abrangidas pelo regime estão obrigadas a autodeclarar-se na plataforma MyCiber, identificando se se enquadram como (i) entidades essenciais, (ii) entidades importantes ou (iii) entidades relevantes da Administração Pública. A qualificação atribuída determinará o conjunto de medidas mínimas de segurança a implementar nos 24 meses subsequentes.

Universo e escala de aplicação

Segundo o coordenador do CNCS, Lino Santos, estima-se que cerca de 6.000 entidades ficarão sujeitas ao novo regime — uma expansão muito significativa face às 450 abrangidas pelo regime anterior. O universo inclui prestadores de serviços essenciais e críticos em setores de atividade considerados de maior risco.

Novidades do regime: modelo mais prescritivo e certificação de conformidade

O novo regime abandona o modelo anterior — baseado em análise de risco livre e medidas autodefinidas pelas entidades — em favor de um modelo mais prescritivo e proporcional, calibrado em função da dimensão da entidade e do nível de risco setorial. Como novidade, passa a ser possível obter um certificado de conformidade com o QNRCS ou um selo de maturidade digital na componente de cibersegurança — instrumentos relevantes para demonstrar cumprimento legal perante órgãos de administração e terceiros.

Instrumentos de apoio disponibilizados pelo CNCS

Para apoiar as entidades — designadamente aquelas que se deparam pela primeira vez com este tipo de obrigações —, o CNCS anunciou um conjunto de medidas de suporte: sessões de esclarecimento e workshops; ferramenta gratuita de análise de risco; guias e templates sobre as medidas mínimas exigidas; e adaptação da Academia de Cibersegurança ao novo regime. O CNCS colabora, também, com centros de competências em cibersegurança, com apoio do PRR.

NOTA TOL: As entidades clientes do TOL Legal Team que operem em setores potencialmente abrangidos pelo Regime Jurídico de Cibersegurança devem verificar, com carácter urgente, se estão sujeitas à obrigação de registo no MyCiber e assegurar a sua autoidentificação dentro do prazo de 60 dias úteis. O TOL encontra-se disponível para apoiar na análise da qualificação aplicável, na avaliação das medidas mínimas exigidas e no acompanhamento do processo de conformidade ao longo dos 24 meses subsequentes.