O que são as Medidas técnicas?
O Artigo 21(2) da Diretiva NIS2 estabelece 10 medidas técnicas, operacionais e organizacionais mínimas que todas as entidades essenciais e importantes devem implementar para gerir adequadamente os riscos de cibersegurança.
Políticas de Análise de Risco
Identificação, avaliação e gestão sistemática de riscos de cibersegurança
Descrição
A análise de risco é a base de qualquer programa de cibersegurança eficaz. Consiste em identificar os ativos críticos da organização, avaliar as ameaças e vulnerabilidades que os afetam, determinar o impacto potencial de incidentes e implementar controlos adequados para mitigar os riscos identificados. Esta medida exige uma abordagem estruturada, documentada e revisada regularmente.
Passos de Implementação
- Identificar e catalogar todos os ativos de informação (hardware, software, dados, pessoas, processos)
- Classificar ativos por criticidade e sensibilidade (crítico, alto, médio, baixo)
- Identificar ameaças relevantes (ransomware, phishing, DDoS, insiders maliciosos, etc.)
- Avaliar vulnerabilidades existentes através de auditorias e testes de segurança
- Calcular o risco (probabilidade × impacto) para cada combinação ameaça/vulnerabilidade
- Definir apetite ao risco e níveis de tolerância aceitáveis
- Priorizar riscos e desenvolver planos de tratamento (aceitar, mitigar, transferir, evitar)
- Implementar controlos de segurança adequados para riscos prioritários
- Documentar todo o processo numa Matriz de Risco formal
- Estabelecer calendário de revisão periódica (mínimo anual ou após mudanças significativas)
Ferramentas e Tecnologias Recomendadas
Checklist de Verificação de Conformidade
- Existe um inventário completo e atualizado de todos os ativos de informação
- Todos os ativos estão classificados por criticidade e impacto no negócio
- Foi realizada uma avaliação formal de ameaças e vulnerabilidades
- Existe uma Matriz de Risco documentada e aprovada pela gestão
- Cada risco identificado tem um responsável (owner) designado
- Foram definidos planos de tratamento para todos os riscos críticos e altos
- O apetite ao risco está formalmente documentado e aprovado
- Existe um processo de revisão periódica (pelo menos anual)
- A análise de risco é revista após incidentes significativos ou mudanças
- Os resultados da análise de risco informam decisões de investimento em segurança
Erros Comuns a Evitar
- Realizar a análise de risco apenas uma vez e nunca mais a rever
- Focar apenas em riscos tecnológicos, ignorando riscos humanos e processuais
- Não envolver as áreas de negócio na avaliação de impacto
- Usar escalas de risco inconsistentes ou subjetivas
- Não documentar adequadamente as decisões sobre tratamento de riscos
- Ignorar riscos relacionados com fornecedores e terceiros
- Não considerar riscos emergentes (novas ameaças, tecnologias, regulamentação)
Gestão de Incidentes
Deteção, resposta e recuperação de incidentes de cibersegurança
Descrição
A gestão eficaz de incidentes é fundamental para minimizar o impacto de ataques cibernéticos. Esta medida exige processos formais para detetar, analisar, conter, erradicar e recuperar de incidentes de segurança, bem como aprender com eles. Inclui a obrigação de notificar incidentes significativos às autoridades competentes dentro dos prazos estabelecidos (24h para notificação inicial, 72h para atualização detalhada).
Passos de Implementação
- Estabelecer uma equipa de resposta a incidentes (CSIRT/CERT) com papéis e responsabilidades definidos
- Definir taxonomia de incidentes e critérios de classificação (baixo, médio, alto, crítico)
- Implementar sistemas de deteção (SIEM, IDS/IPS, EDR, monitorização de logs)
- Criar procedimentos documentados para cada tipo de incidente (ransomware, phishing, DDoS, etc.)
- Estabelecer canais de comunicação seguros para reporte de incidentes (24/7)
- Definir fluxos de escalamento e árvores de decisão
- Preparar kits de resposta com ferramentas forenses e templates de documentação
- Estabelecer acordos com fornecedores externos (forense, legal, comunicação de crise)
- Implementar processo de notificação ao CSIRT nacional e outras autoridades
- Realizar exercícios de simulação periódicos (tabletop exercises, red team/blue team)
- Estabelecer processo de lições aprendidas e melhoria contínua
Ferramentas e Tecnologias Recomendadas
Checklist de Verificação de Conformidade
- Existe uma equipa de resposta a incidentes formalmente constituída
- Todos os membros da equipa têm formação adequada e atualizada
- Existem procedimentos documentados para deteção e resposta
- Há um sistema de ticketing/gestão de incidentes implementado
- Existem contactos 24/7 para reporte de incidentes
- O processo de notificação ao CSIRT PT está documentado e testado
- São mantidos logs de auditoria de todos os incidentes
- Realizam-se exercícios de simulação pelo menos semestralmente
- Existe um processo de post-mortem e lições aprendidas
- Há backups testados para garantir recuperação rápida
Erros Comuns a Evitar
- Não ter processos claros de escalamento, causando atrasos críticos
- Falhar na preservação de evidências forenses durante a resposta
- Não testar os procedimentos através de simulações práticas
- Comunicação inadequada durante crises (interna e externa)
- Não documentar ações tomadas durante o incidente
- Ignorar a fase de lições aprendidas após resolução
- Não notificar autoridades dentro dos prazos legais (24h/72h)
Continuidade de Negócio e Recuperação
Planos para manter operações críticas durante e após incidentes
Descrição
Os planos de continuidade de negócio (BCP) e recuperação de desastres (DRP) garantem que a organização pode continuar a operar funções críticas mesmo durante incidentes graves de cibersegurança. Esta medida exige identificação de processos críticos, definição de objetivos de recuperação (RTO/RPO), implementação de controlos técnicos (backups, redundância) e testes regulares dos planos.
Passos de Implementação
- Realizar Business Impact Analysis (BIA) para identificar processos críticos
- Definir RTO (Recovery Time Objective) e RPO (Recovery Point Objective) para cada processo
- Desenvolver estratégias de continuidade (site alternativo, trabalho remoto, fornecedores backup)
- Implementar soluções de backup robustas (regra 3-2-1: 3 cópias, 2 meios, 1 offsite)
- Criar procedimentos de recuperação detalhados para sistemas críticos
- Estabelecer site de recuperação alternativo (hot/warm/cold site)
- Documentar dependências entre sistemas e serviços
- Treinar equipas em procedimentos de ativação do plano
- Realizar testes de recuperação pelo menos semestralmente
- Manter contactos atualizados de fornecedores, equipas e stakeholders
- Rever e atualizar planos após testes, incidentes ou mudanças organizacionais
Ferramentas e Tecnologias Recomendadas
Checklist de Verificação de Conformidade
- Foi realizada uma Business Impact Analysis (BIA) atualizada
- RTO e RPO estão definidos para todos os sistemas críticos
- Existe um plano de continuidade de negócio (BCP) documentado
- Existe um plano de recuperação de desastres (DRP) documentado
- Backups são realizados de acordo com a política definida
- Backups são testados regularmente para validar restauro
- Existe redundância para sistemas críticos (rede, servidores, dados)
- Foi identificado um site de recuperação alternativo
- Realizam-se testes de ativação do BCP/DRP pelo menos semestralmente
- Todos os colaboradores críticos conhecem os seus papéis no BCP
Erros Comuns a Evitar
- Assumir que backups funcionam sem os testar regularmente
- Manter backups no mesmo ambiente que os sistemas de produção
- Não proteger backups contra ransomware (imutabilidade, air-gap)
- RTO/RPO irrealistas face aos recursos disponíveis
- Planos desatualizados que não refletem a infraestrutura atual
- Não considerar dependências de fornecedores externos
- Falta de procedimentos para comunicação durante crise
Segurança da Cadeia de Abastecimento
Gestão de riscos relacionados com fornecedores e parceiros
Descrição
A segurança da cadeia de abastecimento tornou-se crítica após ataques como SolarWinds e Kaseya. Esta medida exige avaliar e gerir os riscos de cibersegurança associados a fornecedores, prestadores de serviços e parceiros que têm acesso aos seus sistemas ou dados. Inclui due diligence antes da contratação, cláusulas contratuais de segurança, monitorização contínua e planos de contingência para falhas de fornecedores.
Passos de Implementação
- Inventariar todos os fornecedores e parceiros com acesso a sistemas/dados
- Classificar fornecedores por criticidade e risco (crítico, alto, médio, baixo)
- Desenvolver questionários de avaliação de segurança para fornecedores
- Realizar due diligence de segurança antes da contratação
- Incluir cláusulas de segurança e conformidade NIS2 em contratos
- Exigir certificações relevantes (ISO 27001, SOC 2, etc.) de fornecedores críticos
- Implementar controlo de acesso rigoroso para fornecedores (princípio do menor privilégio)
- Monitorizar atividades de fornecedores através de logs e auditorias
- Estabelecer processo de gestão de incidentes envolvendo fornecedores
- Realizar avaliações periódicas de segurança de fornecedores
- Manter planos de contingência para substituição de fornecedores críticos
Ferramentas e Tecnologias Recomendadas
Checklist de Verificação de Conformidade
- Existe um inventário atualizado de todos os fornecedores
- Fornecedores estão classificados por nível de criticidade/risco
- Existe um processo de due diligence de segurança pré-contratual
- Contratos incluem cláusulas de segurança e conformidade NIS2
- Fornecedores críticos possuem certificações de segurança relevantes
- Acessos de fornecedores seguem o princípio do menor privilégio
- Atividades de fornecedores são monitorizadas e auditadas
- Existe processo de notificação obrigatória de incidentes por fornecedores
- Realizam-se reavaliações periódicas de segurança
- Existem planos de contingência para fornecedores críticos
Erros Comuns a Evitar
- Avaliar fornecedores apenas no momento da contratação, sem reavaliações
- Confiar cegamente em certificações sem validação adicional
- Não incluir subfornecedores (fornecedores dos fornecedores) na avaliação
- Permitir acessos privilegiados sem monitorização adequada
- Não ter planos de contingência para falhas de fornecedores críticos
- Ignorar fornecedores de software/SaaS na avaliação de riscos
- Não estabelecer responsabilidades claras em caso de incidente
Segurança na Aquisição e Desenvolvimento
Integração de segurança no ciclo de vida de sistemas e software
Descrição
A segurança deve ser incorporada desde o início no desenvolvimento e aquisição de sistemas, não como uma reflexão tardia. Esta medida exige práticas de desenvolvimento seguro (Secure SDLC), análise de vulnerabilidades em código, testes de segurança pré-produção e critérios de segurança na seleção de software comercial. O objetivo é prevenir vulnerabilidades desde a origem.
Passos de Implementação
- Adotar framework de desenvolvimento seguro (OWASP SAMM, BSIMM, Microsoft SDL)
- Integrar requisitos de segurança desde a fase de design (Security by Design)
- Implementar revisões de código focadas em segurança
- Utilizar ferramentas de análise estática (SAST) em pipelines CI/CD
- Implementar análise dinâmica (DAST) em ambientes de teste
- Realizar testes de penetração antes de releases importantes
- Gerir dependências e bibliotecas de terceiros (SCA - Software Composition Analysis)
- Estabelecer critérios de segurança para aquisição de software comercial
- Implementar processos de gestão de vulnerabilidades em aplicações
- Treinar developers em práticas de codificação segura (OWASP Top 10)
- Manter inventário de componentes de software (SBOM)
Ferramentas e Tecnologias Recomendadas
Checklist de Verificação de Conformidade
- Existe um processo de Secure SDLC formalmente adotado
- Requisitos de segurança são definidos em fase de design
- Código passa por revisões de segurança antes de produção
- Ferramentas SAST estão integradas no pipeline CI/CD
- Testes DAST são realizados em ambiente de staging
- Dependências de terceiros são monitorizadas para vulnerabilidades
- Existe processo de gestão de vulnerabilidades em aplicações
- Critérios de segurança são aplicados na aquisição de software
- Developers recebem formação regular em segurança
- É mantido um SBOM para aplicações críticas
Erros Comuns a Evitar
- Adicionar segurança apenas no final do desenvolvimento
- Confiar apenas em ferramentas automatizadas sem revisão manual
- Ignorar vulnerabilidades em bibliotecas de terceiros
- Não corrigir vulnerabilidades conhecidas em tempo útil
- Hardcoding de credenciais e segredos no código
- Falta de testes de segurança antes de releases
- Não considerar ameaças específicas do domínio da aplicação
Políticas e Procedimentos de Criptografia
Proteção de dados em repouso e em trânsito através de criptografia
Descrição
A criptografia é uma defesa fundamental para proteger dados sensíveis contra acesso não autorizado. Esta medida exige políticas claras sobre quando e como usar criptografia, que algoritmos são aprovados, gestão segura de chaves criptográficas e procedimentos para encriptação de dados em repouso e em trânsito. Deve incluir proteção de backups, comunicações, dispositivos móveis e dados em cloud.
Passos de Implementação
- Desenvolver política de criptografia abrangente e aprovada pela gestão
- Classificar dados e definir requisitos de encriptação por categoria
- Estabelecer lista de algoritmos e protocolos aprovados (seguir NIST/ENISA)
- Implementar encriptação de dados em repouso (discos, bases de dados, backups)
- Implementar encriptação de dados em trânsito (TLS 1.3, VPN, SSH)
- Estabelecer sistema de gestão de chaves criptográficas (KMS)
- Definir procedimentos de geração, armazenamento, rotação e destruição de chaves
- Implementar PKI (Public Key Infrastructure) se necessário
- Encriptar dispositivos móveis e portáteis (laptops, smartphones, USBs)
- Estabelecer procedimentos de recuperação de chaves (key escrow)
- Monitorizar conformidade com políticas de criptografia
Ferramentas e Tecnologias Recomendadas
Checklist de Verificação de Conformidade
- Existe uma política de criptografia formal e atualizada
- Dados sensíveis em repouso estão encriptados
- Todos os canais de comunicação sensíveis usam TLS 1.3+
- Backups estão encriptados com chaves separadas
- Existe um sistema de gestão de chaves (KMS) implementado
- Chaves são rotacionadas de acordo com a política definida
- Dispositivos móveis e portáteis estão encriptados
- Algoritmos criptográficos seguem standards atuais (NIST, ENISA)
- Existe procedimento de recuperação de chaves documentado
- Conformidade com políticas de criptografia é auditada regularmente
Erros Comuns a Evitar
- Usar algoritmos criptográficos obsoletos ou fracos (MD5, SHA1, DES)
- Armazenar chaves no mesmo sistema que os dados encriptados
- Hardcoding de chaves em código ou ficheiros de configuração
- Não ter procedimentos de rotação de chaves
- Encriptar sem proteger adequadamente as chaves
- Não encriptar backups ou réplicas de dados
- Permitir protocolos inseguros (SSLv3, TLS 1.0/1.1)
Práticas Básicas de Cibersegurança
Gestão de patches, antivírus e práticas fundamentais de segurança
Descrição
As práticas básicas de cibersegurança (cyber hygiene) são controlos fundamentais que previnem a maioria dos ataques comuns. Esta medida inclui gestão de patches e atualizações, proteção antivírus/anti-malware, configuração segura de sistemas, gestão de vulnerabilidades conhecidas e eliminação de software obsoleto. São medidas preventivas que toda a organização deve implementar rigorosamente.
Passos de Implementação
- Estabelecer política de gestão de patches com SLAs por criticidade
- Implementar sistema centralizado de gestão de patches (WSUS, SCCM, etc.)
- Criar processo de patch management (teste, aprovação, deployment, verificação)
- Implementar soluções antivírus/EDR em todos os endpoints
- Manter definições de antivírus atualizadas automaticamente
- Estabelecer baselines de configuração segura (CIS Benchmarks, STIG)
- Realizar hardening de sistemas operativos e aplicações
- Remover software desnecessário e desativar serviços não utilizados
- Implementar scanning regular de vulnerabilidades
- Estabelecer processo de remediation de vulnerabilidades com SLAs
- Monitorizar conformidade com baselines de segurança
Ferramentas e Tecnologias Recomendadas
Checklist de Verificação de Conformidade
- Existe uma política de gestão de patches documentada
- Patches críticos são aplicados dentro de SLAs definidos (ex: 7 dias)
- Todos os endpoints têm antivírus/EDR instalado e atualizado
- Sistemas seguem baselines de configuração segura (CIS, STIG)
- Software desnecessário é removido regularmente
- Scans de vulnerabilidades são realizados regularmente
- Vulnerabilidades críticas são corrigidas dentro do prazo estabelecido
- Sistemas operativos e aplicações estão em versões suportadas
- Existe processo de inventory de software instalado
- Conformidade com baselines é monitorizada continuamente
Erros Comuns a Evitar
- Atrasar patches críticos indefinidamente por medo de quebra
- Não testar patches antes de deployment em produção
- Confiar apenas em antivírus tradicional (sem EDR/XDR)
- Não remover software obsoleto ou não suportado
- Realizar scans de vulnerabilidades mas não corrigir as encontradas
- Aplicar hardening apenas na implementação inicial, sem manutenção
- Não ter visibilidade completa de todos os endpoints da rede
Políticas de Controlo de Acesso
Gestão de identidades, autenticação e autorização
Descrição
O controlo de acesso garante que apenas utilizadores autorizados podem aceder a sistemas e dados específicos. Esta medida exige gestão rigorosa de identidades e acessos (IAM), implementação do princípio do menor privilégio, revisões periódicas de permissões, segregação de funções e auditoria de acessos. Inclui gestão de contas privilegiadas, controlo de acessos remotos e procedimentos de onboarding/offboarding.
Passos de Implementação
- Implementar sistema centralizado de gestão de identidades (IAM/IDM)
- Estabelecer políticas de controlo de acesso baseadas em funções (RBAC)
- Aplicar princípio do menor privilégio em todos os sistemas
- Implementar segregação de funções para tarefas críticas
- Criar procedimentos de provisioning e deprovisioning de acessos
- Estabelecer processo de revisão periódica de permissões (Access Reviews)
- Implementar gestão de contas privilegiadas (PAM)
- Estabelecer políticas robustas de passwords (complexidade, rotação)
- Implementar Single Sign-On (SSO) para simplificar gestão
- Auditar e monitorizar todos os acessos a sistemas críticos
- Estabelecer controlos específicos para acesso remoto
Ferramentas e Tecnologias Recomendadas
Checklist de Verificação de Conformidade
- Existe um sistema centralizado de gestão de identidades
- Controlo de acesso está baseado em funções (RBAC)
- Princípio do menor privilégio é aplicado consistentemente
- Existe segregação de funções para operações críticas
- Revisões de acesso são realizadas pelo menos trimestralmente
- Contas privilegiadas são geridas através de PAM
- Políticas de password estão implementadas e enforced
- Processos de onboarding/offboarding são rigorosos e auditados
- Todos os acessos são registados e monitorizados
- Acesso remoto requer autenticação forte (MFA)
Erros Comuns a Evitar
- Contas partilhadas ou genéricas para múltiplos utilizadores
- Não revogar acessos de colaboradores que saíram
- Permissões excessivas "por precaução" ou conveniência
- Não auditar ou rever permissões regularmente
- Passwords fracas ou não enforçadas por política técnica
- Contas de serviço com privilégios excessivos
- Falta de rastreabilidade de ações de contas privilegiadas
Gestão de Ativos
Inventário e controlo de hardware, software e dados
Descrição
Não é possível proteger o que não se conhece. A gestão de ativos exige manter inventários precisos e atualizados de todos os ativos de hardware, software e dados da organização. Cada ativo deve ter um responsável (owner), classificação de criticidade, localização e estado. Esta visibilidade é fundamental para gestão de risco, conformidade, resposta a incidentes e planeamento de continuidade.
Passos de Implementação
- Implementar sistema de gestão de ativos (CMDB - Configuration Management Database)
- Descobrir e inventariar todos os ativos de hardware (servidores, endpoints, rede, IoT)
- Inventariar todo o software instalado (sistemas operativos, aplicações, licenças)
- Catalogar ativos de dados e informação crítica
- Atribuir um responsável (owner) para cada ativo
- Classificar ativos por criticidade (crítico, alto, médio, baixo)
- Documentar dependências entre ativos e serviços
- Estabelecer processo de aprovação para novos ativos
- Implementar deteção de ativos não autorizados (rogue devices)
- Manter inventário atualizado com processos automatizados
- Realizar auditorias físicas periódicas de ativos
Ferramentas e Tecnologias Recomendadas
Checklist de Verificação de Conformidade
- Existe um inventário completo de ativos de hardware
- Existe um inventário completo de software instalado
- Todos os ativos têm um responsável (owner) designado
- Ativos estão classificados por criticidade e impacto
- Inventário é atualizado automaticamente (discovery contínuo)
- Dependências entre ativos estão documentadas
- Existe processo de aprovação para adição de novos ativos
- Ativos não autorizados são detetados e investigados
- Realizam-se auditorias físicas pelo menos anualmente
- Informação de ativos é usada para análise de risco e DR planning
Erros Comuns a Evitar
- Inventários desatualizados ou mantidos apenas manualmente
- Não incluir dispositivos IoT ou shadow IT no inventário
- Falta de responsáveis (owners) claramente designados
- Não documentar dependências entre sistemas
- Ignorar ativos em cloud ou ambientes híbridos
- Não detetar ou controlar dispositivos não autorizados
- Inventários isolados em silos (TI, segurança, facilities)
Autenticação Multi-Fator (MFA)
Proteção adicional além de passwords para verificação de identidade
Descrição
A autenticação multi-fator (MFA) é uma das defesas mais eficazes contra compromisso de credenciais. Exige que utilizadores forneçam dois ou mais fatores de verificação independentes (algo que sabem, algo que têm, algo que são) para aceder a sistemas. Esta medida é obrigatória pela NIS2 para prevenir acessos não autorizados, especialmente para contas privilegiadas, acessos remotos e sistemas críticos.
Passos de Implementação
- Definir política de MFA identificando sistemas e utilizadores abrangidos
- Priorizar implementação em contas privilegiadas e admin
- Implementar MFA para todos os acessos remotos (VPN, RDP, SSH)
- Estender MFA a sistemas críticos e aplicações sensíveis
- Escolher métodos de MFA adequados (push notifications, TOTP, FIDO2, biometria)
- Implementar solução de MFA centralizada (integrada com IAM/SSO)
- Estabelecer processo de enrollment de utilizadores
- Criar procedimentos de recuperação para perda de segundo fator
- Educar utilizadores sobre importância e utilização de MFA
- Monitorizar tentativas de bypass ou falhas de MFA
- Estabelecer políticas de Conditional Access baseadas em risco
Ferramentas e Tecnologias Recomendadas
Checklist de Verificação de Conformidade
- Existe uma política de MFA formalmente aprovada
- MFA está implementada para todas as contas privilegiadas
- MFA está implementada para todos os acessos remotos
- MFA está implementada para sistemas críticos e sensíveis
- Utilizadores têm métodos de MFA registados e funcionais
- Existem procedimentos seguros de recuperação de MFA
- É impossível desativar MFA sem aprovação formal
- Tentativas de bypass de MFA são monitorizadas e alertadas
- Utilizadores receberam formação sobre uso correto de MFA
- Métodos de MFA resistentes a phishing são priorizados (FIDO2)
Erros Comuns a Evitar
- Usar SMS como único método de MFA (vulnerável a SIM swapping)
- Permitir que utilizadores desativem MFA facilmente
- Não implementar MFA em contas de serviço privilegiadas
- Procedimentos de recuperação de MFA inseguros (sem validação)
- Não monitorizar tentativas repetidas de falha de MFA
- Implementar MFA apenas em alguns sistemas, deixando gaps
- Falta de formação adequada aos utilizadores sobre MFA
Recursos Relacionados
Checklist Artigo 21
Lista de verificação interativa para validar conformidade com todas as medidas
Aceder ao Checklist