Modulo 3: Governance e responsabilidade pessoal

Centro de aprendizagem Modulo 3 de 7

Governance e responsabilidade pessoal

O Art. 25.o e a responsabilidade dos orgaos de gestao

Governance e responsabilidade na ciberseguranca

Cenario de abertura

Imagine que e administrador executivo de uma empresa de transportes. O diretor de IT apresenta-lhe uma proposta de investimento de 200 000 euros em MFA e sistemas de backup offsite. Diz que e prioritario para cumprir a NIS2. Aprova? Adia? Esta decisao pode ter consequencias pessoais para si.

O que exige o Art. 25.o do DL 125/2025

O Art. 25.o do DL 125/2025 e uma das disposicoes mais inovadoras da legislacao portuguesa de ciberseguranca. Estabelece que os membros dos orgaos de gestao das entidades abrangidas teem obrigacoes pessoais e nao delegaveis em materia de ciberseguranca. Concretamente, os administradores devem aprovar as medidas de gestao do risco de ciberseguranca, supervisionar a sua implementacao e receber formacao adequada. A aprovacao formal em ata e essencial para demonstrar cumprimento.

Responsabilidade civil pessoal

Uma novidade significativa do regime portugues e a previsao de responsabilidade civil pessoal dos membros dos orgaos de gestao por dolo ou culpa grave. Isto significa que, se um incidente grave ocorrer e puder demonstrar-se que os administradores conheciam os riscos, foram informados das vulnerabilidades e optaram conscientemente por nao investir em medidas de mitigacao, podem ser responsabilizados pessoalmente pelos danos causados. Esta disposicao aproxima-se do regime de responsabilidade previsto no RGPD para os responsaveis pelo tratamento.

Formacao obrigatoria para administradores

O diploma e explicito: a formacao em ciberseguranca nao e apenas para os tecnicos. Os proprios membros dos orgaos de gestao devem receber formacao adequada ao seu nivel. Nao se exige que os administradores se tornem especialistas tecnicos, mas que compreendam os riscos, as obrigacoes legais e as implicacoes das decisoes de investimento. A realizacao de formacao deve ser documentada e pode ser requerida pelo CNCS em sede de supervisao.

Voltando ao cenario: nao aprovar os 200 000 euros de investimento em MFA e backups, sendo administrador de um Operador Essencial, sem que haja uma justificacao documentada e alternativas avaliadas, constitui potencial negligencia grave. Se um ransomware explorar exactamente a falta de MFA e a ausencia de backups, o administrador que vetou o investimento pode ser responsabilizado pessoalmente.

Paralelo com a responsabilidade RGPD

O mecanismo e familiar para quem conhece o RGPD. Tal como o RGPD faz recair sobre o responsavel pelo tratamento a obrigacao de demonstrar conformidade (accountability), o DL 125/2025 faz recair sobre os orgaos de gestao a obrigacao de demonstrar que aprovaram, financiaram e supervisionaram as medidas de seguranca. A diferenca e que, aqui, a responsabilidade pode ser pessoal e nao apenas institucional.

Da falha de supervisao a responsabilidade pessoal

flowchart TD I[Incidente de ciberseguranca] --> A[Investigacao CNCS] A --> B{Houve falha de supervisao?} B -->|Nao| C[Sancao institucional proporcional] B -->|Sim| D{Os administradores conheciam os riscos?} D -->|Nao demonstrado| C D -->|Sim e ignoraram| E[Responsabilidade pessoal administradores] E --> F[Coima pessoal ate 125 000 EUR] E --> G[Acao civil de indenizacao]

Caso real

Primeira coima pessoal a administrador (Alemanha, 2026, ilustrativo)

Na Alemanha, em 2026, a autoridade competente aplicou a primeira coima individual a um administrador de uma empresa de infraestrutura digital por incumprimento das obrigacoes de supervisao NIS2. O incidente de ransomware que motivou a investigacao revelou que o administrador tinha sido explicitamente alertado para a ausencia de backups adequados 18 meses antes e optara por adiar o investimento por razoes orcamentais. Este caso serve de referencia para o padrao europeu de responsabilidade individual.

Templates relacionados

Quiz do modulo 3

Responda a 5 perguntas sobre o conteudo deste modulo. E necessario obter 70% ou mais para avancar.