NIS2 banca | Conformidade, ameaças e templates

Enquadramento NIS2

O setor da banca está incluído no Anexo I: Setores de alta criticidade da Diretiva NIS2 (transposta pelo DL 125/2025). OE (Operadores Essenciais) na generalidade; as instituições de crédito de grande dimensão são tipicamente classificadas como essenciais.

Ver todos os 18 setores abrangidos

Classificacao setorial

Anexo I: Setores de alta criticidade

OE (Operadores Essenciais) na generalidade; as instituições de crédito de grande dimensão são tipicamente classificadas como essenciais.

Exemplos de entidades abrangidas

Instituições de crédito (CGD, BCP, Santander Totta, Novobanco, BPI)
Caixas de Crédito Agrícola Mútuo (CCAM)
Sucursais de instituições de crédito estrangeiras
Sociedades financeiras de crédito
Instituições de pagamento de grande dimensão

Autoridades competentes

Banco de Portugal : Supervisão prudencial e da resiliência operacional digital; ponto de contacto setorial NIS2.

CMVM : Comissão do Mercado de Valores Mobiliários : supervisão de mercados financeiros.

CNCS : Centro Nacional de Cibersegurança : autoridade nacional NIS2 competente.

BCE / SSM : Banco Central Europeu : supervisão dos bancos de importância sistémica significativa ao nível europeu.

Ameacas especificas do setor

O setor bancário é um dos alvos mais persistentes de grupos de cibercrime organizados e de atores de Estado. A digitalização de pagamentos, o acesso remoto generalizado e a interligação com o sistema SWIFT criam uma superfície de ataque de elevada visibilidade e impacto sistémico potencial.

Ransomware de dupla extorsão

Grupos como Qilin, Akira e Cl0p visam ativamente o setor bancário com ataques de dupla extorsão: cifram dados e ameaçam publicar informação sensível de clientes. O impacto reputacional e regulatório de uma violação de dados bancários é particularmente elevado.

Ataques a sistemas de pagamento e SWIFT

Ataques à infraestrutura SWIFT (como o caso Bangladesh Bank em 2016, com 81 milhões de dólares roubados) e a sistemas de pagamento interbancário continuam a ser um vetor de elevado impacto. Requerem segmentação de rede rigorosa e monitorização de transações em tempo real.

Fraude BEC / CEO (Business Email Compromise)

Ataques de engenharia social dirigidos a colaboradores com acesso a sistemas de pagamento. O atacante compromete ou imita o e-mail de um dirigente ou parceiro e instrui transferências fraudulentas. As perdas globais por BEC superam os 55 mil milhões de dólares desde 2013 (FBI IC3).

ATM jackpotting e skimming

Ataques físico-lógicos a caixas automáticas (ATM) por injeção de malware (jackpotting) ou instalação de dispositivos de skimming. Exigem controlos de integridade de firmware e monitorização presencial e remota da rede de ATM.

DDoS a serviços de banca online

Ataques distribuídos de negação de serviço (DDoS) são frequentemente usados para perturbar a banca online e a app móvel, com impacto direto na reputação e eventual violação dos SLA de disponibilidade exigidos pelo Banco de Portugal e pelo DORA.

Ameaças de Estado a trading floors

Atores patrocinados por Estados (APT) visam infraestruturas de negociação com o objetivo de manipulação de mercados, espionagem económica ou criação de instabilidade financeira. Requerem capacidades de deteção de intrusão avançadas e partilha de informação com o setor de inteligência.

Regulacao aplicavel

Para além do DL 125/2025 (transposição da Diretiva NIS2), o setor da banca está sujeito a regulação setorial específica que se articula com as obrigações NIS2.

DL 125/2025 : Art. 27.º (9 medidas)

Transposição da Diretiva NIS2 em Portugal. Bancos e instituições de crédito abrangidos devem implementar as 9 medidas de cibersegurança previstas no Art. 27.º.

DORA : Regulamento UE 2022/2554

Em vigor desde 17 de janeiro de 2025. Estabelece requisitos de resiliência operacional digital, incluindo TLPT obrigatório para entidades sistémicas e gestão de risco de terceiros ICT (Art. 28.º a 30.º).

Aviso do Banco de Portugal n.º 3/2020 (alterado pelo Aviso n.º 2/2025)

Regulação prudencial sobre riscos operacionais e tecnológicos nas instituições de crédito supervisionadas pelo Banco de Portugal.

PSD2 : Diretiva UE 2015/2366

Exige autenticação forte do cliente (SCA) e obriga à comunicação de incidentes operacionais e de segurança ao Banco de Portugal.

MiFID II / MiFIR

Aplicável a intermediários financeiros; exige sistemas robustos para garantir continuidade da negociação e integridade das transações.

As 9 medidas do Art. 27.º aplicadas ao setor

O Art. 27.º do DL 125/2025 (que transpõe o Art. 21 da Diretiva NIS2) estabelece 9 medidas de cibersegurança obrigatórias para operadores essenciais e importantes. Aqui mostramos como cada medida se aplica especificamente ao setor da banca.

al. a)

Políticas de análise de risco e segurança

Integrar a análise de risco NIS2 com o framework de risco operacional DORA. Identificar ativos críticos: sistemas core banking, plataformas de pagamento, sistemas SWIFT.

al. b)

Gestão de incidentes

Definir procedimentos de resposta a incidentes que satisfaçam simultaneamente os prazos NIS2 (24h ao CNCS, Art. 42.º) e os requisitos de reporte DORA e PSD2 ao Banco de Portugal.

al. c)

Continuidade de atividade e gestão de crises

Testar planos de continuidade para cenários de ransomware e DDoS. Garantir modos de operação degradada para serviços críticos de pagamento e acesso a contas.

al. d)

Segurança da cadeia de abastecimento

O DORA (Art. 28.º a 30.º) impõe requisitos específicos de gestão de risco de terceiros ICT. Mapear fornecedores críticos e avaliar concentração de risco em fornecedores de cloud.

al. e)

Segurança na aquisição, desenvolvimento e manutenção

Aplicar práticas de desenvolvimento seguro (DevSecOps) para aplicações de banca online e mobile. Testes de intrusão obrigatórios antes de lançamentos em produção.

al. f)

Políticas e procedimentos para avaliar eficácia

Realizar TLPT (Threat-Led Penetration Testing) para entidades de importância sistémica conforme o Art. 26.º do DORA, com critérios alinhados com a framework TIBER-EU.

al. g)

Práticas básicas de ciberhigiene e formação

Programas de formação antiphishing e anti-BEC para todos os colaboradores, com simulações regulares dirigidas a funções com acesso a sistemas de pagamento.

al. h)

Criptografia e gestão de chaves

Cifrar dados de clientes em repouso e em trânsito. Utilizar Hardware Security Modules (HSM) para proteção de chaves criptográficas em ambientes de pagamento.

al. i)

Segurança dos recursos humanos e controlo de acessos

Autenticação multifator obrigatória para todos os sistemas core. Revisão periódica de acessos privilegiados. Controlos de insider threat para funções sensíveis.

Templates para o setor da banca

Documentação pronta a usar, adaptada às especificidades regulatórias e de ameaças do setor da banca.

Checklist NIS2 : Banca

Lista de verificação das obrigações do DL 125/2025 adaptada ao setor bancário, com mapeamento para os requisitos DORA e Aviso BdP n.º 3/2020.

Descarregar DOCX

Matriz de risco : Banca

Matriz de avaliação de riscos cibernéticos específica para o setor bancário, incluindo ameaças a sistemas de pagamento e risco de terceiros ICT (DORA).

Descarregar XLSX

Plano de resposta a incidentes : Banca

Plano estruturado para resposta a incidentes no setor bancário, com fluxos de comunicação ao CNCS (NIS2) e ao Banco de Portugal (DORA/PSD2).

Descarregar DOCX

Ferramentas relacionadas

Explore as ferramentas da plataforma para aprofundar a sua conformidade NIS2.

Radar de ameacas

Vulnerabilidades exploradas ativamente (CISA KEV) com contexto NIS2.

Observatorio de ransomware

Grupos ativos, setores alvo e tendencias de ransomware em 2025-2026.

Calculadora de classificacao

Determine se a sua organizacao e OE ou OI ao abrigo do DL 125/2025.

Sistema de auditoria NIS2

Avalie a maturidade da sua conformidade com as 9 medidas do Art. 27.

Setores abrangidos

Todos os 18 setores NIS2 e as suas obrigacoes especificas.

Perguntas frequentes

Questoes comuns sobre a conformidade NIS2 no setor da banca.

Um banco em Portugal está sujeito à NIS2 e ao DORA em simultâneo?

Sim. O DORA (Regulamento UE 2022/2554, em vigor desde 17 de janeiro de 2025) e a NIS2 (transposta pelo DL 125/2025) são complementares. O DORA é lex specialis para o setor financeiro em matéria de resiliência operacional digital e prevalece sobre a NIS2 nos domínios que regula especificamente (Art. 1.º, n.º 2 da NIS2). O DL 125/2025 continua a aplicar-se nos domínios não cobertos pelo DORA.

O que é o TLPT e a quem se aplica?

O TLPT (Threat-Led Penetration Testing) é um teste de intrusão baseado em cenários de ameaças reais, conduzido por equipas vermelhas externas acreditadas segundo a framework TIBER-EU. O Art. 26.º do DORA torna o TLPT obrigatório para entidades financeiras de importância sistémica. O Banco de Portugal é responsável por definir quais as entidades sujeitas a este requisito em Portugal.

Que prazo tenho para notificar um incidente ao CNCS e ao Banco de Portugal?

Ao abrigo do DL 125/2025 (NIS2), a notificação inicial ao CNCS deve ocorrer em 24 horas após tomar conhecimento de um incidente significativo (Art. 42.º), com relatório final em 30 dias (Art. 44.º). O DORA e a PSD2 estabelecem prazos similares de reporte ao Banco de Portugal. Recomenda-se coordenação entre as equipas de compliance NIS2 e DORA para evitar duplicação e garantir coerência das notificações.

Como gerir o risco de concentração em fornecedores cloud?

O DORA (Art. 28.º a 30.º) exige que as entidades financeiras avaliem e mitiguem o risco de concentração em fornecedores ICT críticos, incluindo fornecedores de cloud. O Banco de Portugal pode exigir estratégias de exit e multifornecimento quando o risco de concentração é elevado. A matriz de risco setorial disponível para download inclui critérios de avaliação de fornecedores ICT alinhados com o DORA.

NIS2 no setor bancário