Checklist Artigo 21: Medidas de Cibersegurança

Verifique a conformidade da sua organização com os 10 requisitos obrigatórios

Utilize esta checklist interativa para avaliar e acompanhar a implementação das medidas mínimas de gestão de riscos de cibersegurança estabelecidas no Artigo 21 da Diretiva NIS2 e transpostas pela Decreto-Lei n.º 125/2025.

Progresso Geral de Conformidade

Total de Medidas

Concluídas

Em Progresso

Não Iniciadas

Análise de Riscos e Segurança dos Sistemas de Informação

Crítico 4-6 semanas

▼

Estado de Implementação:

Não Iniciado

Em Progresso

Concluído

Tarefas de Implementação:

Identificar e inventariar todos os ativos críticos de informação da organização

Realizar avaliação completa de riscos de cibersegurança (metodologia ISO 27005 ou equivalente)

Documentar plano de tratamento de riscos com medidas de mitigação

Estabelecer revisões trimestrais de riscos e atualização do inventário

Aprovar e publicar política de segurança dos sistemas de informação

Notas de Implementação:

Tratamento de Incidentes de Cibersegurança

Crítico 3-4 semanas

▼

Estado de Implementação:

Não Iniciado

Em Progresso

Concluído

Tarefas de Implementação:

Estabelecer equipa de resposta a incidentes (CSIRT) com papéis e responsabilidades definidos

Criar procedimentos documentados de resposta a incidentes (deteção, análise, contenção, erradicação, recuperação)

Implementar sistema de reporte de incidentes 24/7 (linha direta ao CNCS)

Realizar exercício anual de simulação de incidentes (tabletop exercise)

Estabelecer procedimentos de comunicação com autoridades (CNCS) e partes interessadas

Notas de Implementação:

Continuidade de Negócio e Gestão de Crises

Crítico 4-6 semanas

▼

Estado de Implementação:

Não Iniciado

Em Progresso

Concluído

Tarefas de Implementação:

Desenvolver plano de continuidade de negócio (BCM) considerando cenários de cibersegurança

Identificar funções de negócio críticas e definir RTO/RPO (Recovery Time/Point Objectives)

Testar sistemas de backup e validar procedimentos de restauro (mínimo semestral)

Documentar procedimentos detalhados de recuperação após desastres cibernéticos

Estabelecer equipa de gestão de crises e plano de comunicação

Notas de Implementação:

Segurança da Cadeia de Abastecimento

Alta 3-5 semanas

▼

Estado de Implementação:

Não Iniciado

Em Progresso

Concluído

Tarefas de Implementação:

Avaliar postura de cibersegurança de todos os fornecedores críticos

Estabelecer requisitos mínimos de segurança para fornecedores e prestadores de serviços

Implementar monitorização de acessos e atividades de terceiros

Rever contratos para incluir cláusulas de segurança e conformidade NIS2

Estabelecer processo de auditorias regulares a fornecedores críticos

Notas de Implementação:

Segurança na Aquisição, Desenvolvimento e Manutenção

Alta 3-4 semanas

▼

Estado de Implementação:

Não Iniciado

Em Progresso

Concluído

Tarefas de Implementação:

Implementar práticas de desenvolvimento seguro (OWASP, Secure SDLC)

Conduzir testes de segurança regulares (SAST, DAST, penetration testing)

Manter programa de gestão de patches e vulnerabilidades com SLA definidos

Documentar procedimentos de gestão de mudanças e controlo de versões

Estabelecer requisitos de segurança na aquisição de software e hardware

Notas de Implementação:

Políticas e Procedimentos de Criptografia

Alta 2-3 semanas

▼

Estado de Implementação:

Não Iniciado

Em Progresso

Concluído

Tarefas de Implementação:

Definir padrões de encriptação aprovados (AES-256, RSA-2048+, TLS 1.3)

Implementar sistema de gestão de chaves criptográficas (KMS)

Encriptar dados sensíveis em repouso e em trânsito

Realizar revisões regulares da eficácia dos controlos criptográficos

Documentar política de criptografia e cifragem (alinhada com CNCS)

Notas de Implementação:

Segurança de Recursos Humanos e Formação

Alta 2-4 semanas

▼

Estado de Implementação:

Não Iniciado

Em Progresso

Concluído

Tarefas de Implementação:

Implementar programa de sensibilização em cibersegurança para todos os colaboradores

Realizar verificações de antecedentes para funções sensíveis (dentro dos limites legais)

Definir papéis e responsabilidades de segurança em descrições de funções

Realizar formações anuais de reciclagem em cibersegurança

Estabelecer procedimentos de offboarding seguro (revogação de acessos)

Notas de Implementação:

Políticas de Controlo de Acessos

Crítico 2-3 semanas

▼

Estado de Implementação:

Não Iniciado

Em Progresso

Concluído

Tarefas de Implementação:

Implementar princípio de privilégio mínimo em todos os sistemas

Realizar revisões trimestrais de direitos de acesso

Aplicar política de passwords forte (complexidade, expiração, histórico)

Implementar gestão de acessos privilegiados (PAM) com segregação de funções

Monitorizar e registar todas as atividades de contas privilegiadas

Notas de Implementação:

Gestão de Ativos de Informação

Média 2-3 semanas

▼

Estado de Implementação:

Não Iniciado

Em Progresso

Concluído

Tarefas de Implementação:

Manter inventário completo e atualizado de todos os ativos de TI

Classificar ativos de informação por nível de sensibilidade (Público, Interno, Confidencial, Secreto)

Definir procedimentos de manuseamento para cada classificação de dados

Realizar auditorias semestrais ao inventário de ativos

Estabelecer processo de descarte seguro de ativos e mídia

Notas de Implementação:

Autenticação Multifator e Comunicações Seguras

Crítico 2-3 semanas

▼

Estado de Implementação:

Não Iniciado

Em Progresso

Concluído

Tarefas de Implementação:

Implementar MFA para todos os acessos remotos (VPN, RDP, SSH)

Aplicar MFA obrigatório em todas as contas privilegiadas e administrativas

Proteger acesso a sistemas críticos com MFA ou autenticação contínua

Estabelecer métodos de autenticação de backup (recovery codes)

Implementar comunicações seguras (end-to-end encryption para voz, vídeo, texto)

Notas de Implementação:

Ações de Gestão da Checklist

Notas Importantes

Progresso é guardado automaticamente no seu navegador (localStorage)
Prazo de conformidade: 180 dias após 22 de outubro de 2025 (até Abril de 2026)
Documentação obrigatória: Todas as medidas devem ser documentadas e auditáveis
Revisão contínua: As medidas devem ser revistas e atualizadas regularmente
Responsabilidade do órgão de gestão: A liderança é pessoalmente responsável pela conformidade
Contacto CNCS: www.cncs.gov.pt - Centro Nacional de Cibersegurança

Precisa de Ajuda?

Explore os nossos recursos adicionais para facilitar a implementação da NIS2

Ver Artigo 21 Completo Aceder a Templates Apoio e consultadoria