NIS 2 — A nova norma
europeia de cibersegurança
A NIS 2 amplia radicalmente o âmbito das organizações obrigadas e endurece as exigências. A sua organização está dentro do âmbito de aplicação?
O que é e a quem afeta?
A NIS 2 substitui a diretiva NIS 1 e quadruplica o número de setores obrigados. Afeta tanto entidades essenciais (energia, transportes, banca, saúde, infraestruturas digitais, água, Administração Pública, espaço) como entidades importantes (alimentação, fabricação crítica, serviços postais, química, resíduos, fornecedores digitais, I&D).
Limiar de aplicação: empresas médias e grandes (mais de 50 colaboradores ou mais de 10M€ de faturação) nos setores afetados. As sanções atingem até 10 milhões de euros ou 2% da faturação global anual para entidades essenciais.
🔑 Novidade-chave: a direção de topo é pessoalmente responsável pelo cumprimento. O conselho de administração deve aprovar as medidas de gestão do risco e pode ser declarado responsável em caso de incumprimento.
Obrigações principais
- Gestão do risco — Política documentada de cibersegurança baseada no risco, revista periodicamente.
- Notificação em 24 horas — Alerta precoce ao CSIRT nacional nas primeiras 24h, relatório detalhado em 72h.
- Segurança da cadeia de abastecimento — Avaliação de riscos de fornecedores e parceiros tecnológicos críticos.
- Continuidade do negócio — Planos de recuperação após incidentes, backups, gestão de crises.
- Formação e responsabilidade da direção — A direção deve receber formação específica e assumir responsabilidade pessoal.
- Criptografia e controlo de acessos — Uso de criptografia, autenticação multifator e acesso baseado em privilégio mínimo.
Como o ajudamos a cumprir a NIS 2
Não é um projeto pontual: é um programa contínuo de adequação e melhoria. Adaptamos a nossa intervenção ao ponto em que a sua organização se encontra.
Diagnóstico NIS 2
Análise de lacunas estruturada face aos requisitos da diretiva. Identificamos o seu nível de maturidade atual, os controlos em falta e entregamos um plano de adequação priorizado por risco e custo.
Adequação Contínua
Serviço gerido mensal: implementação progressiva de controlos, revisões de conformidade, atualização de políticas e recolha automatizada de evidências para facilitar auditorias em qualquer momento.
Gestão e Notificação de Incidentes
Protocolo de resposta a incidentes alinhado com a NIS 2: alertas ao CSIRT nacional nas primeiras 24h, relatório técnico detalhado em 72h e relatório final em 30 dias. Minimizamos o risco sancionatório e o impacto operacional.
vCISO para NIS 2
CISO virtual com dedicação parcial: assumimos a responsabilidade técnica e normativa perante a direção e reguladores. Ideal para organizações sem CISO interno que precisam de cobrir a responsabilidade executiva exigida pela diretiva.
Formação para Direção e Equipas
A NIS 2 exige que o conselho de administração receba formação específica em cibersegurança. Desenhamos programas adaptados para a alta direção, quadros intermédios e equipas técnicas, com certificado de presença para comprovar conformidade.
Segurança da Cadeia de Abastecimento
A NIS 2 obriga-o a avaliar o risco dos seus fornecedores e parceiros tecnológicos. Realizamos auditorias de segurança a terceiros críticos, definimos cláusulas contratuais de conformidade e estabelecemos processos de revisão contínua do risco da cadeia de abastecimento.
A sua empresa está dentro do âmbito da NIS 2?
Realize o diagnóstico inicial connosco e conheça a sua situação real em 48 horas.
Solicitar Diagnóstico NIS 2 Gratuito