NIS 2 — Network & Information Security (Diretiva SRI 2)

A NIS 2 é o quadro europeu que reforça as obrigações de cibersegurança e resiliência digital para setores essenciais e importantes, exigindo medidas de gestão de risco proporcionais, governança efetiva e resposta estruturada a incidentes. A Diretiva reforça a responsabilização da gestão, impondo que o órgão de direção aprove e supervisione as medidas de risco.

Em Portugal, a NIS 2 foi transposta pelo Decreto-Lei n.º 125/2025, de 4 de dezembro, que aprova o Regime Jurídico da Cibersegurança.

O que a NIS 2 exige, na prática

A NIS 2 deixa de ser “um tema de IT” e passa a exigir controlo organizacional, com medidas sustentadas por evidência e prontas para supervisão.

  • Governação e accountability: aprovação/supervisão das medidas pelo órgão de direção e dever de capacitação.
  • Gestão de risco e controlos: medidas técnicas, operacionais e organizativas proporcionais e auditáveis.
  • Incidentes e reporte: prazos exigentes — alerta rápido (24h), notificação (72h) e relatório final (1 mês).
  • Obrigações nacionais: reforço de estrutura organizacional e funções como Responsável de Cibersegurança e Ponto de Contacto Permanente (24/7).

Serviço SEGI — Conformidade e Operacionalização NIS 2

A SEGI apoia a sua organização a enquadrar, implementar e manter as obrigações NIS 2 / Regime Jurídico da Cibersegurança — com foco em execução, evidência e maturidade contínua.

Serviços NIS 2

1) Diagnóstico e Enquadramento (Scoping + Gap Analysis)

  • Determinação de aplicabilidade e obrigações (setor, criticidade, requisitos)
  • Priorização por risco e criticidade
    Entregáveis: relatório de diagnóstico, matriz de gaps, roadmap (quick wins + plano 6/12 meses), backlog de ações com responsáveis

2) Governação, responsabilidades e modelo operativo

  • Estrutura de governação NIS 2 (RACI, reporting, validações, fluxos de decisão)
  • Apoio à operacionalização do Responsável de Cibersegurança e do Ponto de Contacto Permanente
    Entregáveis: modelo de governação, RACI, pack de reporting para Administração, normas internas e fluxos de decisão

3) Gestão de risco e implementação de controlos

  • Metodologia e processo de gestão de risco (identificação, tratamento, monitorização)
  • Implementação/robustecimento de controlos (acessos, MFA, ativos, vulnerabilidades, backups, logging, terceiros, continuidade, etc.)
    Entregáveis: política/procedimento de risco, registos e evidências, catálogo de controlos e plano de implementação

4) Incidentes e Reporte (24h/72h/1 mês)

  • Preparação para cumprir prazos com clareza de papéis e evidência
  • Integração com continuidade e gestão de crise
    Entregáveis: plano de resposta a incidentes, playbooks por cenário, templates de alerta/notificação/relatório final, exercícios tabletop e lições aprendidas

5) SOC Externo (monitorização, deteção e resposta)

  • Monitorização contínua e deteção de eventos de segurança (24/7 ou em janela acordada)
  • Triagem, correlação e escalonamento de alertas com SLAs definidos
  • Apoio à resposta a incidentes, recolha de evidências e preservação de logs
  • Relatórios operacionais e executivos (tendências, métricas, recomendações, melhoria contínua)
    Entregáveis: onboarding e definição de casos de uso, matriz de severidade e escalonamento, SLAs/OLAs, relatórios periódicos, integração com processo de reporte NIS 2

6) Evidência e Auditoria Interna (“audit-ready”)

  • Verificação de controlos, rastreabilidade e organização do “evidence pack”
  • Plano de testes e ações corretivas
    Entregáveis: checklists de conformidade, relatório de auditoria interna, plano de remediação e melhoria

7) Formação e Exercícios NIS 2

  • Formação para Administração e equipas (governação, risco, incidentes, reporte)
  • Simulações e exercícios para validação operacional
    Entregáveis: conteúdos, sessões por público-alvo, exercícios e avaliação
  •  

Não tem a certeza se a NIS 2 se aplica à sua organização?

Contacte-nos pelo formulário e ajudamos a determinar o enquadramento e o nível de cumprimento necessário.

Contactar