CyberS3c, Cybersecurity Artisans
Administração Pública

Auditoria de conformidade NIS2

Entidade do setor público

Avaliação de gap NIS2 e roteiro de conformidade priorizado por risco, complementado com formação de sensibilização para toda a organização.

O desafio

Com a transposição da diretiva NIS2 para a ordem jurídica nacional, a entidade passou a estar abrangida por um conjunto alargado de obrigações de cibersegurança, com responsabilidade direta da gestão de topo. O problema não era falta de vontade, era falta de visibilidade: a organização não sabia, com rigor, onde estava face aos novos requisitos, o que faltava e por onde começar.

Precisava de duas coisas em concreto: um retrato honesto do seu nível de conformidade e um plano realista para lá chegar, que respeitasse o orçamento e a capacidade de execução de uma entidade pública.

200+
colaboradores sensibilizados
60%
menos cliques em phishing
NIS2
roteiro de conformidade priorizado

Âmbito

A avaliação abrangeu a organização de forma transversal, e não apenas o departamento de informática:

  • Governação da segurança da informação e gestão de risco
  • Políticas, procedimentos e responsabilidades definidas
  • Gestão e resposta a incidentes
  • Continuidade de negócio e recuperação
  • Segurança na cadeia de fornecedores
  • Controlo de acessos, cifra e higiene técnica
  • Sensibilização e cultura de segurança dos colaboradores

A nossa abordagem

Fizemos uma auditoria de gap estruturada face às medidas exigidas pela NIS2, combinando três fontes de evidência para chegar a um resultado defensável:

  1. Entrevistas com as pessoas certas, da gestão de topo às equipas operacionais, para perceber como as coisas funcionam na prática e não apenas no papel.
  2. Revisão documental e técnica das políticas, configurações e controlos existentes.
  3. Uma campanha de phishing simulado seguida de formação de sensibilização, para medir o risco humano com dados reais e não com suposições.

Cada requisito foi classificado quanto ao nível de maturidade, e cada lacuna traduzida em ações concretas, com esforço, risco associado e prioridade.

Principais eixos avaliados

  • Estratégia e governação de cibersegurança
  • Análise e tratamento de risco
  • Deteção, resposta e reporte de incidentes
  • Continuidade e resiliência operacional
  • Segurança de fornecedores e terceiros
  • Sensibilização e formação das pessoas

Resultados

Entregámos um relatório de gap claro, legível pela direção e pela equipa técnica, com o posicionamento da entidade em cada medida da NIS2 e a distância até à conformidade. A partir daí construímos um roteiro priorizado por risco e custo, que separa o que é urgente do que pode esperar e evita gastar cedo demais no sítio errado.

No plano das pessoas, a formação teve efeito medível, com uma queda acentuada dos cliques em simulações de phishing após a ação:

-60% cliques em phishing após a formação
Cliques em phishing simulado Antes e depois da ação de sensibilização (valores relativos)
Antes da formação referência
Depois da formação -60%

Impacto

A direção passou a decidir com base em evidência, não em intuição. O roteiro foi aprovado e deu à entidade uma sequência clara de investimentos, defensável perante a tutela e a auditoria. E, tão importante como os controlos técnicos, a organização começou a mudar a cultura: a segurança deixou de ser assunto exclusivo do departamento de informática para passar a ser responsabilidade de todos.

Tem um desafio semelhante?

Entre em contacto e a nossa equipa responde em menos de 24 horas.