Post

Checklist Prática para a conformidade com a NIS2

Posted
By João Cício
2 min read
Checklist Prática para a conformidade com a NIS2

A entrada em vigor da Diretiva NIS2 (SRI2) em Portugal vai obrigar milhares de organizações a repensar a forma como gerem os seus riscos de cibersegurança.
Mais do que um tema puramente legal, trata-se de um exercício de governação, risco e compliance (GRC), que exige planeamento estruturado e integração com a estratégia de negócio.

Para apoiar este processo, deixo aqui uma checklist prática com os principais pontos que qualquer organização deve considerar ao preparar a sua conformidade com a NIS2.

Checklist NIS2 – Passo a Passo

1. Determinar se a organização está abrangida

  • Critério setorial: confirmar se a atividade se insere em setores abrangidos (energia, saúde, transportes, financeiro, alimentar, digital, água, resíduos, administração pública, entre outros).
  • Critério de dimensão: a NIS2 aplica-se, regra geral, a médias empresas e maiores (≥50 colaboradores e ≥10M€ de faturação). Pequenas e microempresas podem ser incluídas se desempenharem funções críticas.
  • Risco na cadeia de valor: mesmo não estando diretamente abrangida, a organização pode ter de cumprir requisitos contratuais se for fornecedor de uma entidade essencial ou importante.

2. Realizar uma avaliação de riscos de cibersegurança

  • Identificar ativos críticos (sistemas, dados, aplicações e infraestruturas).
  • Avaliar ameaças relevantes (ransomware, falhas de fornecedores, ataques internos, falhas de continuidade).
  • Analisar impactos potenciais: financeiros, legais, operacionais e reputacionais.
  • Considerar dependências de terceiros (cloud, SaaS, fornecedores IT e OT).

3. Implementar controlos técnicos e organizacionais

A NIS2 não impõe tecnologias específicas, mas exige medidas proporcionais e adequadas ao risco. Exemplos:

  • Governação: políticas internas de cibersegurança aprovadas pela gestão.
  • Gestão de acessos: autenticação multifator, segregação de funções, revisão periódica de privilégios.
  • Proteção de dados e sistemas: encriptação, backups testados, segmentação de redes IT e OT.
  • Resposta a incidentes: plano documentado, equipa responsável e exercícios de simulação.
  • Formação e sensibilização: programas regulares para colaboradores, incluindo prestadores de serviços.
  • Monitorização: deteção de intrusões, registo e análise de logs, testes de vulnerabilidades.

4. Reforçar a estrutura de governação

  • Nomear um responsável de cibersegurança (interno ou externo).
  • Definir um ponto de contacto permanente com o CNCS e autoridades competentes.
  • Garantir envolvimento efetivo da administração e reporte regular ao órgão de gestão.
  • Estabelecer métricas (KPIs e KRIs) para medir a eficácia das medidas implementadas.

5. Preparar para reporte e conformidade contínua

  • Definir um processo interno de reporte de incidentes, compatível com os prazos exigidos pela NIS2.
  • Produzir um relatório anual de cibersegurança, documentando riscos, medidas e planos de melhoria.
  • Avaliar a maturidade de fornecedores críticos, incluindo cláusulas contratuais e SLAs.
  • Planear auditorias internas e exercícios periódicos de readiness.

6. Avaliar impactos legais e contratuais

  • Rever seguros de cibersegurança uma vez que o incumprimento pode afetar coberturas.
  • Avaliar impactos na participação em concursos públicos
  • Considerar a responsabilidade dos gestores, prevista em casos de incumprimento grave ou reiterado.

Conclusão

A NIS2 não deve ser encarada apenas como uma obrigação legal, mas como uma oportunidade para elevar a maturidade digital da organização.

Seguir esta checklist ajuda a alinhar compliance, governação e resiliência operacional, reduzindo riscos e aumentando a confiança de clientes, parceiros e reguladores.

Para uma explicação mais detalhada do enquadramento legal da NIS2 em Portugal e mais informação disponível no artigo Sobre a NIS2/SRI2.

Cybersecurity
NIS2 Portuguese