CyberS3c, Cybersecurity Artisans
Estante de biblioteca com volumes de jurisprudência

Conformidade Legal

NIS2, RGPD e ISO 27001 sem dores de cabeça. Avaliamos a sua exposição, implementamos as medidas em falta e preparamos a sua organização para prazos apertados e coimas milionárias.

A NIS2 é, neste momento, a maior mudança regulatória em cibersegurança para as organizações portuguesas. Em vigor desde outubro de 2024, alarga as obrigações a muito mais empresas, e responsabiliza pessoalmente a gestão. A CyberS3c ajuda-o a perceber se está abrangido, a fechar as lacunas e a demonstrar conformidade.

18
setores abrangidos pela NIS2
24h
para o alerta precoce ao CNCS após um incidente
€10M
de coima máxima (ou 2% do volume de negócios)
2024
a NIS2 está em vigor desde outubro

O contexto que torna a NIS2 urgente

Os dados nacionais não deixam margem para dúvidas: a ameaça está a crescer, e os operadores de serviços essenciais e as infraestruturas críticas estão na linha da frente. A NIS2 é a resposta regulatória a esta realidade.

2758
incidentes registados pelo CERT.PT em 2024
36%
de aumento face a 2023
90%
dos profissionais preveem risco elevado em 2025
Phishing
e engenharia social entre as ameaças mais recorrentes

Fonte: CNCS · Observatório de Cibersegurança · «Cibersegurança em Portugal — Riscos & Conflitos» (6.ª ed., 2025) · dados de 2024. Consulte o Observatório de Cibersegurança do CNCS.

NIS2: a sua empresa está abrangida?

A NIS2 cobre entidades essenciais e entidades importantes em 18 setores críticos. Se a sua organização opera num destes setores e tem dimensão relevante, é muito provável que esteja abrangida.

Energia
Transportes
Banca
Infraestruturas financeiras
Saúde
Água potável e residuais
Infraestrutura digital
Gestão de serviços TIC
Administração Pública
Espaço
Serviços postais
Gestão de resíduos
Química
Alimentação
Fabricação
Fornecedores digitais
Investigação
Correio e encomendas
Entidades essenciais vs entidades importantes
Entidades essenciais Entidades importantes
Coima máxima €10.000.000 ou 2% do volume de negócios global €7.000.000 ou 1,4% do volume de negócios global
Exemplos Energia, banca, saúde, infraestrutura digital, Administração Pública Serviços postais, gestão de resíduos, química, alimentação, fabricação
Supervisão Proativa (auditorias, inspeções) Reativa (após indícios de incumprimento)
Obrigações de segurança As mesmas medidas de gestão de risco As mesmas medidas de gestão de risco
A classificação depende do setor e da dimensão da organização. Ajudamos a determiná-la.

O que a NIS2 exige

As organizações têm de implementar medidas técnicas e organizativas proporcionais ao risco. Estas são as principais:

Análise de risco e políticas

Políticas de análise de risco e de segurança dos sistemas de informação.

Tratamento de incidentes

Deteção, resposta e recuperação de incidentes de segurança.

Continuidade de negócio

Continuidade, gestão de crises e cópias de segurança.

Cadeia de fornecimento

Segurança na relação com fornecedores e prestadores de serviços.

MFA e cifra

Autenticação multifator, comunicações seguras e criptografia.

Formação

Sensibilização e formação em cibersegurança para toda a organização.

Prazos de reporte de incidentes

A NIS2 reduz drasticamente os prazos de notificação. Um incidente significativo obriga a:

  1. 1 24 horas

    Alerta precoce

    • Notificação inicial ao CNCS
    • Indicação de suspeita de ilícito ou impacto transfronteiriço
  2. 2 72 horas

    Notificação do incidente

    • Avaliação inicial de gravidade e impacto
    • Indicadores de compromisso conhecidos
  3. 3 30 dias

    Relatório final

    • Descrição detalhada do incidente
    • Medidas de mitigação aplicadas

Responsabilidade dos órgãos de gestão

A administração é pessoalmente responsável

A NIS2 traz uma novidade que muda o jogo: os órgãos de gestão (conselhos de administração, gerências) são pessoalmente responsáveis pelo cumprimento dos requisitos. Em caso de incumprimento grave, podem ser temporariamente proibidos de exercer funções de gestão. A conformidade deixou de ser um assunto só das TI, é uma responsabilidade da liderança.

Como a CyberS3c ajuda com a NIS2

Cada obrigação da NIS2 tem correspondência num serviço nosso. Cobrimos o ciclo completo, da avaliação à demonstração de conformidade.

Análise de risco e governação

Avaliação de risco e liderança de segurança com o CISO as a Service.

Tratamento de incidentes

Resposta a incidentes e monitorização 24/7 alinhadas com os prazos do CNCS.

Testes de segurança

Testes de exploração e análise de vulnerabilidades para validar as medidas.

Forense e reporte

Auditoria forense digital e evidências para o relatório final ao CNCS.

Formação

Sensibilização e formação da equipa através da Academia CyberS3c.

Gap analysis e roadmap

Diagnóstico face à NIS2 e roteiro priorizado até à conformidade.

Prazos apertados, coimas milionárias

A NIS2 não espera. A sua conformidade também não devia.

Comece por perceber onde está: descarregue a nossa checklist de prontidão NIS2 ou peça uma avaliação guiada.

Não é só a NIS2

Além da NIS2, asseguramos a conformidade com o RGPD, a ISO 27001 e as legislações nacionais e setoriais aplicáveis, com o mesmo processo de avaliação, implementação, monitorização contínua e relatórios que resistem a auditoria.

  1. 1 Etapa 1

    Avaliação

    • Análise dos sistemas e práticas existentes
    • Levantamento das leis e normas aplicáveis
  2. 2 Etapa 2

    Soluções à medida

    • Ajuste de políticas internas
    • Novas tecnologias e formação de colaboradores
  3. 3 Etapa 3

    Monitorização

    • Acompanhamento contínuo
    • Atualização face a novas ameaças e regras
  4. 4 Etapa 4

    Relatórios

    • Demonstração de conformidade
    • Facilita auditorias e comunicação com stakeholders

Perguntas frequentes

Como sei se a minha empresa está abrangida pela NIS2?

Depende do setor (18 setores críticos) e da dimensão da organização. Fazemos essa avaliação consigo, comece pela nossa checklist de prontidão NIS2 ou peça uma avaliação guiada.

Quais são as sanções por incumprimento da NIS2?

Até €10.000.000 ou 2% do volume de negócios global para entidades essenciais, e até €7.000.000 ou 1,4% para entidades importantes, além de danos reputacionais.

A administração é mesmo responsável?

Sim. Os órgãos de gestão são pessoalmente responsáveis pelo cumprimento e podem ser temporariamente proibidos de exercer funções de gestão em caso de incumprimento grave.

Que prazos tenho para reportar um incidente?

24 horas para o alerta precoce ao CNCS, 72 horas para a notificação do incidente e 30 dias para o relatório final.

Ajudam também com o RGPD e a ISO 27001?

Sim. Adaptamos a conformidade à NIS2, ao RGPD, à ISO 27001 e às legislações nacionais e setoriais específicas, com o mesmo processo de ponta a ponta.

Interessado neste serviço?

Entre em contacto e a nossa equipa responde em menos de 24 horas.