NIS2 Portugal

NIS2 no setor de gestão de serviços TIC

Guia prático de conformidade NIS2 e DL 125/2025 para prestadores de serviços geridos (MSP), prestadores de serviços de segurança geridos (MSSP), revendedores de cloud e outsourcers de TI em Portugal.

Enquadramento NIS2

O setor da gestão de serviços tic está incluído no Anexo I: Setores de alta criticidade da Diretiva NIS2 (transposta pelo DL 125/2025). OE (Operadores Essenciais) para entidades de maior dimensão e criticidade; OI (Operadores Importantes) nos restantes casos.

Ver todos os 18 setores abrangidos

Classificacao setorial

Anexo I: Setores de alta criticidade

OE (Operadores Essenciais) para entidades de maior dimensão e criticidade; OI (Operadores Importantes) nos restantes casos.

Exemplos de entidades abrangidas

  • Prestadores de serviços geridos (MSP)
  • Prestadores de serviços de segurança geridos (MSSP)
  • Revendedores e integradores de serviços de cloud
  • Outsourcers de TI e fornecedores de serviços de gestão de infraestrutura
  • Fornecedores de software de gestão e monitorização remota (RMM)

Autoridades competentes

CNCS : Centro Nacional de Cibersegurança: autoridade nacional NIS2 competente e ponto de contacto para incidentes de cibersegurança.
ANACOM : Autoridade Nacional de Comunicações: regulação de redes e serviços de comunicações eletrónicas que suportam os serviços TIC.

Ameacas especificas do setor

Os prestadores de serviços geridos e de segurança geridos constituem um vetor de ataque de multiplicação de impacto: um único compromisso pode propagar-se a dezenas ou centenas de clientes downstream simultaneamente. O ENISA identificou os MSP como um dos vetores de ataque à cadeia de fornecimento de maior crescimento na Europa.

Kaseya (2021): ransomware propagado a mais de 1500 clientes via MSP

Em julho de 2021, o grupo REvil explorou uma vulnerabilidade zero-day na plataforma VSA da Kaseya, usada por MSP para gestão remota de clientes. O ataque propagou ransomware a mais de 1500 empresas em 17 países através dos MSP que usavam a plataforma. O resgate exigido foi de 70 milhões de dólares. O caso tornou-se o exemplo de referência do risco de multiplicação de impacto via MSP.

SolarWinds e ConnectWise: compromisso de plataformas de gestão

O compromisso da plataforma Orion da SolarWinds (2020) e as vulnerabilidades críticas na plataforma ConnectWise (2024) ilustram a exposição sistemática das ferramentas de gestão remota usadas por MSP e MSSP. O acesso a estas plataformas equivale ao acesso privilegiado a todos os clientes geridos.

Propagação em cascata a clientes downstream

A natureza dos serviços geridos implica que o MSP/MSSP detém acessos privilegiados (credenciais de administrador, VPN dedicadas, ferramentas RMM) à infraestrutura de múltiplos clientes. Um compromisso do MSP permite ao atacante movimentar-se lateralmente para todos os clientes geridos sem necessidade de explorar vulnerabilidades adicionais.

Ameaça interna e abuso de acessos privilegiados

Os técnicos de MSP e MSSP detêm frequentemente acessos privilegiados a sistemas críticos de múltiplos clientes. O abuso intencional ou acidental desses acessos, ou o seu compromisso por phishing dirigido, representa um risco de impacto amplificado. A gestão de identidades privilegiadas (PAM) e a revisão periódica de acessos são controlos fundamentais.

Caso Kaseya: multiplicação de impacto via MSP O ataque Kaseya VSA (julho de 2021) é o caso de referência do risco específico dos MSP. A exploração de uma única plataforma de gestão remota permitiu ao grupo REvil distribuir ransomware a mais de 1500 organizações em simultâneo. A NIS2 e o DL 125/2025 respondem a este risco impondo obrigações diretas aos MSP e MSSP como entidades abrangidas pelo Anexo I.

Regulacao aplicavel

Para além do DL 125/2025 (transposição da Diretiva NIS2), o setor da gestão de serviços tic está sujeito a regulação setorial específica que se articula com as obrigações NIS2.

DL 125/2025: Art. 27.º (transpõe o Art. 21 da Diretiva NIS2)

Transposição da Diretiva NIS2 em Portugal. Todos os MSP e MSSP abrangidos devem implementar as 9 medidas de cibersegurança previstas no Art. 27.º do DL 125/2025, com aplicação direta às suas práticas de gestão de clientes.

Regulamento de Execução (UE) 2024/2690

Estabelece requisitos técnicos e metodológicos específicos para as medidas de cibersegurança dos prestadores de serviços geridos e de segurança geridos abrangidos pela NIS2. Diretamente aplicável em Portugal.

DL 125/2025: Art. 28.º (due diligence da cadeia de fornecimento)

Obriga as entidades abrangidas a avaliar a cibersegurança dos seus fornecedores diretos, incluindo os próprios MSP/MSSP. Os MSP ficam assim sujeitos a auditorias por parte dos seus clientes que sejam entidades NIS2.

As 9 medidas do Art. 27.º aplicadas ao setor

O Art. 27.º do DL 125/2025 (que transpõe o Art. 21 da Diretiva NIS2) estabelece 9 medidas de cibersegurança obrigatórias para operadores essenciais e importantes. Aqui mostramos como cada medida se aplica especificamente ao setor da gestão de serviços tic.

al. a)

Tratamento de incidentes

Definir procedimentos de deteção, resposta e recuperação, com notificação ao CNCS em 24 horas (Art. 42.º) e relatório final em 30 dias (Art. 44.º).

al. b)

Continuidade das atividades e gestão de crises

Manter cópias de segurança offline e testadas, planos de recuperação de desastres e capacidade de operação em modo degradado.

al. c)

Segurança da cadeia de abastecimento

Avaliar a cibersegurança de fornecedores e prestadores de serviços diretos e incluir cláusulas contratuais adequadas.

al. d)

Segurança na aquisição, desenvolvimento e manutenção

Incluir requisitos de cibersegurança em sistemas e equipamentos, com tratamento e divulgação de vulnerabilidades.

al. e)

Avaliação da eficácia das medidas

Realizar auditorias e testes de resiliência periódicos para validar a eficácia dos controlos.

al. f)

Práticas básicas de ciber-higiene e formação

Formar todos os colaboradores e os órgãos de gestão; simular ataques de phishing dirigidos ao contexto do setor.

al. g)

Criptografia e cifragem

Cifrar dados sensíveis em repouso e em trânsito, com gestão adequada de chaves.

al. h)

Segurança dos recursos humanos, controlo de acessos e gestão de ativos

Aplicar controlo de acessos baseado em funções (RBAC), inventário de ativos e revisão periódica de privilégios.

al. i)

Autenticação multifator e comunicações seguras

Exigir autenticação multifator para acessos remotos e privilegiados e proteger as comunicações internas.

Templates para o setor da gestão de serviços tic

Documentação pronta a usar, adaptada às especificidades regulatórias e de ameaças do setor da gestão de serviços tic.

Checklist NIS2: Gestão de serviços TIC

Lista de verificação das obrigações do DL 125/2025 adaptada a MSP e MSSP, com requisitos específicos para gestão de acessos privilegiados a clientes e segurança de plataformas RMM.

Descarregar DOCX

Matriz de risco: Gestão de serviços TIC

Matriz de avaliação de riscos cibernéticos específica para MSP e MSSP, incluindo riscos de propagação downstream, compromisso de plataformas RMM e ameaça interna.

Descarregar XLSX

Plano de resposta a incidentes: Gestão de serviços TIC

Plano estruturado para resposta a incidentes em MSP e MSSP, com fluxos de comunicação ao CNCS e procedimentos de contenção de propagação a clientes downstream.

Descarregar DOCX

Ferramentas relacionadas

Explore as ferramentas da plataforma para aprofundar a sua conformidade NIS2.

Radar de ameacas

Vulnerabilidades exploradas ativamente (CISA KEV) com contexto NIS2.

Observatorio de ransomware

Grupos ativos, setores alvo e tendencias de ransomware em 2025-2026.

Calculadora de classificacao

Determine se a sua organizacao e OE ou OI ao abrigo do DL 125/2025.

Sistema de auditoria NIS2

Avalie a maturidade da sua conformidade com as 9 medidas do Art. 27.

Setores abrangidos

Todos os 18 setores NIS2 e as suas obrigacoes especificas.

Perguntas frequentes

Questoes comuns sobre a conformidade NIS2 no setor da gestão de serviços tic.

Um MSP ou MSSP está diretamente abrangido pela NIS2 / DL 125/2025?

Sim. Os prestadores de serviços geridos (MSP) e os prestadores de serviços de segurança geridos (MSSP) estão expressamente incluídos no Anexo I da Diretiva NIS2 (setores de alta criticidade), transposta pelo DL 125/2025. Ao contrário da Diretiva NIS1, a NIS2 não exige que sejam identificados por autoridades nacionais: a obrigação aplica-se por força da sua atividade e dimensão.

O que é a due diligence de cadeia de fornecimento e como afeta os MSP?

O Art. 28.º do DL 125/2025 obriga as entidades abrangidas a avaliar a cibersegurança dos seus fornecedores e prestadores de serviços diretos. Isto significa que os clientes dos MSP que sejam entidades NIS2 (bancos, hospitais, infraestruturas, etc.) têm obrigação de auditar os seus MSP. Por sua vez, os MSP ficam sujeitos a escrutínio acrescido e devem demonstrar conformidade com o DL 125/2025.

Que prazo tenho para notificar um incidente de cibersegurança ao CNCS?

O DL 125/2025 prevê notificação inicial ao CNCS em 24 horas após tomar conhecimento de um incidente significativo (Art. 42.º). Segue-se uma atualização em 72 horas e um relatório final no prazo de 30 dias (Art. 44.º). Para MSP, um incidente que afete múltiplos clientes downstream pode ser classificado como significativo mesmo que o impacto direto no MSP seja limitado. Recomenda-se coordenar a notificação com os clientes afetados.

Como proteger as plataformas RMM e os acessos privilegiados a clientes?

As plataformas de gestão remota (RMM) como Kaseya, ConnectWise e similares devem ser tratadas como infraestrutura crítica. O DL 125/2025 (Art. 27.º) exige controlos de acesso, autenticação multifator obrigatória para todos os acessos privilegiados, segmentação de ambientes de clientes, monitorização de atividade privilegiada (PAM) e gestão rigorosa de atualizações e patches das próprias plataformas RMM.