Tratamento de Incidentes de Cibersegurança

Crítico 3-4 semanas Alínea a)

▼

Estado de Implementação:

Não Iniciado

Em Progresso

Concluído

Tarefas de Implementação:

Estabelecer equipa de resposta a incidentes (CSIRT) com papéis e responsabilidades definidos

Criar procedimentos documentados de resposta a incidentes (deteção, análise, contenção, erradicação, recuperação)

Implementar sistema de reporte de incidentes 24/7 (linha direta ao CNCS)

Realizar exercício anual de simulação de incidentes (tabletop exercise)

Estabelecer procedimentos de comunicação com autoridades (CNCS) e partes interessadas

Notas de Implementação:

2

Continuidade das Atividades e Gestão de Crises

Crítico 4-6 semanas Alínea b)

▼

Estado de Implementação:

Não Iniciado

Em Progresso

Concluído

Tarefas de Implementação:

Desenvolver plano de continuidade das atividades (BCP) considerando cenários de cibersegurança

Identificar funções críticas e definir RTO/RPO (Recovery Time/Point Objectives)

Testar sistemas de backup e validar procedimentos de restauro (mínimo semestral)

Documentar procedimentos detalhados de recuperação após desastres cibernéticos

Estabelecer equipa de gestão de crises e plano de comunicação

Notas de Implementação:

3

Segurança da Cadeia de Abastecimento

Alta 3-5 semanas Alínea c)

▼

Estado de Implementação:

Não Iniciado

Em Progresso

Concluído

Tarefas de Implementação:

Avaliar postura de cibersegurança de todos os fornecedores críticos

Estabelecer requisitos mínimos de segurança para fornecedores e prestadores de serviços

Implementar monitorização de acessos e atividades de terceiros

Rever contratos para incluir cláusulas de segurança e conformidade NIS2

Estabelecer processo de auditorias regulares a fornecedores críticos

Notas de Implementação:

4

Segurança na Aquisição, Desenvolvimento e Manutenção

Alta 3-4 semanas Alínea d)

▼

Estado de Implementação:

Não Iniciado

Em Progresso

Concluído

Tarefas de Implementação:

Implementar práticas de desenvolvimento seguro (OWASP, Secure SDLC)

Conduzir testes de segurança regulares (SAST, DAST, penetration testing)

Manter programa de gestão de patches e vulnerabilidades com SLA definidos

Documentar procedimentos de gestão de mudanças e controlo de versões

Estabelecer requisitos de segurança na aquisição de software e hardware

Notas de Implementação:

5

Políticas e Procedimentos para Avaliar a Eficácia das Medidas

Alta 2-3 semanas Alínea e)

▼

Estado de Implementação:

Não Iniciado

Em Progresso

Concluído

Tarefas de Implementação:

Definir métricas e KPIs de cibersegurança para avaliar a eficácia das medidas implementadas

Realizar auditorias internas periódicas às medidas de cibersegurança (mínimo anual)

Implementar testes de penetração regulares para avaliar a resiliência dos sistemas

Avaliar e documentar a eficácia das medidas de segurança implementadas com relatórios periódicos

Documentar resultados das avaliações e elaborar planos de melhoria contínua

Notas de Implementação:

6

Práticas de Ciber-higiene e Formação em Cibersegurança

Alta 2-4 semanas Alínea f)

▼

Estado de Implementação:

Não Iniciado

Em Progresso

Concluído

Tarefas de Implementação:

Implementar programa de sensibilização em cibersegurança para todos os colaboradores

Assegurar formação obrigatória anual em cibersegurança para todos os colaboradores

Estabelecer práticas de ciber-higiene (gestão de passwords seguras, reconhecimento de phishing, utilização segura de dispositivos)

Providenciar formação técnica específica para equipas de TI e segurança

Avaliar periodicamente a eficácia das ações de formação e sensibilização (testes, simulações de phishing)

Notas de Implementação:

7

Políticas sobre Criptografia e Cifragem

Alta 2-3 semanas Alínea g)

▼

Estado de Implementação:

Não Iniciado

Em Progresso

Concluído

Tarefas de Implementação:

Definir padrões de encriptação aprovados (AES-256, RSA-2048+, TLS 1.3)

Implementar sistema de gestão de chaves criptográficas (KMS)

Encriptar dados sensíveis em repouso e em trânsito

Realizar revisões regulares da eficácia dos controlos criptográficos

Documentar política de criptografia e cifragem (alinhada com CNCS)

Notas de Implementação:

8

Segurança dos Recursos Humanos, Controlo de Acesso e Gestão de Ativos

Crítico 4-6 semanas Alínea h)

▼

Estado de Implementação:

Não Iniciado

Em Progresso

Concluído

Segurança de Recursos Humanos:

Realizar verificações de antecedentes para funções sensíveis (dentro dos limites legais)

Definir papéis e responsabilidades de segurança em descrições de funções

Estabelecer procedimentos de offboarding seguro (revogação imediata de todos os acessos)

Controlo de Acesso:

Implementar princípio de privilégio mínimo em todos os sistemas

Realizar revisões trimestrais de direitos de acesso

Aplicar política de passwords forte (complexidade, expiração, histórico)

Implementar gestão de acessos privilegiados (PAM) com segregação de funções

Monitorizar e registar todas as atividades de contas privilegiadas

Gestão de Ativos:

Manter inventário completo e atualizado de todos os ativos de TI

Classificar ativos de informação por nível de sensibilidade (Público, Interno, Confidencial, Secreto)

Definir procedimentos de manuseamento para cada classificação de dados

Realizar auditorias semestrais ao inventário de ativos

Estabelecer processo de descarte seguro de ativos e mídia

Notas de Implementação:

9

Autenticação Multi-Fator e Comunicações Seguras

Crítico 2-3 semanas Alínea i)

▼

Estado de Implementação:

Não Iniciado

Em Progresso

Concluído

Tarefas de Implementação:

Implementar MFA para todos os acessos remotos (VPN, RDP, SSH)

Aplicar MFA obrigatório em todas as contas privilegiadas e administrativas

Proteger acesso a sistemas críticos com MFA ou autenticação contínua

Estabelecer métodos de autenticação de backup (recovery codes)

Implementar comunicações seguras (end-to-end encryption para voz, vídeo, texto)

NIS2 Portugal

Checklist Artigo 21: Medidas de Cibersegurança

Progresso Geral de Conformidade

Tratamento de Incidentes de Cibersegurança

Tarefas de Implementação:

Notas de Implementação:

Continuidade das Atividades e Gestão de Crises

Tarefas de Implementação:

Notas de Implementação:

Segurança da Cadeia de Abastecimento

Tarefas de Implementação:

Notas de Implementação:

Segurança na Aquisição, Desenvolvimento e Manutenção

Tarefas de Implementação:

Notas de Implementação:

Políticas e Procedimentos para Avaliar a Eficácia das Medidas

Tarefas de Implementação:

Notas de Implementação:

Práticas de Ciber-higiene e Formação em Cibersegurança

Tarefas de Implementação:

Notas de Implementação:

Políticas sobre Criptografia e Cifragem

Tarefas de Implementação:

Notas de Implementação:

Segurança dos Recursos Humanos, Controlo de Acesso e Gestão de Ativos

Segurança de Recursos Humanos:

Controlo de Acesso:

Gestão de Ativos:

Notas de Implementação:

Autenticação Multi-Fator e Comunicações Seguras

Tarefas de Implementação:

Notas de Implementação:

Ações de Gestão da Checklist

Notas Importantes

Precisa de Ajuda?