NIS2 Portugal

Notificação de Incidentes NIS2

Procedimentos obrigatórios de reporte de incidentes de cibersegurança

A Diretiva NIS2 e a Lei n.º 59/2025 estabelecem requisitos estritos para a notificação de incidentes de cibersegurança. As entidades abrangidas devem cumprir prazos específicos sob pena de sanções significativas.

Prazos obrigatórios de notificação

A NIS2 estabelece três momentos críticos para a notificação de incidentes à autoridade competente. O não cumprimento destes prazos pode resultar em sanções.

24 HORAS

Alerta Inicial

Prazo: Dentro de 24 horas após tomar conhecimento do incidente

O que notificar:

  • Informação básica sobre o incidente
  • Natureza do incidente (tipo de ataque ou falha)
  • Avaliação inicial do impacto
  • Hora estimada de início do incidente
  • Indicadores de compromisso conhecidos

Autoridade competente:

CNCS - Centro Nacional de Cibersegurança

A notificação deve ser feita através dos canais oficiais de comunicação do CNCS

72 HORAS

Notificação Detalhada

Prazo: Dentro de 72 horas após tomar conhecimento do incidente

Informação obrigatória:

  • Análise da causa raiz (se conhecida)
  • Sistemas e serviços afetados
  • Medidas de mitigação implementadas
  • Impacto transfronteiriço (se aplicável)
  • Detalhes técnicos do incidente
  • Número estimado de utilizadores afetados
  • Gravidade e consequências do incidente

Requisitos técnicos:

O relatório deve incluir informação técnica suficiente para permitir à autoridade competente avaliar a gravidade do incidente e o seu potencial impacto noutras entidades ou Estados-Membros.

30 DIAS

Relatório Final

Prazo: Dentro de um mês após a apresentação da notificação inicial

Conteúdo do relatório:

  • Análise completa e detalhada do incidente
  • Causa raiz definitiva
  • Lições aprendidas
  • Medidas preventivas implementadas
  • Cronologia completa do incidente
  • Impacto total nos serviços
  • Custos estimados (se aplicável)

Documentação completa:

O relatório final deve fornecer uma visão abrangente do incidente, incluindo todas as ações tomadas desde a deteção até à resolução, e as medidas implementadas para prevenir incidentes semelhantes no futuro.

Nota importante: Se durante a investigação do incidente forem descobertos novos factos ou a gravidade do incidente se alterar significativamente, as entidades devem atualizar a notificação sem demora.

O que deve ser notificado

Nem todos os incidentes requerem notificação. Conheça os tipos de incidentes que obrigam a comunicação ao CNCS.

🔒 Incidentes de segurança em redes e sistemas de informação

Qualquer evento que comprometa a disponibilidade, autenticidade, integridade ou confidencialidade de dados armazenados, transmitidos ou processados, ou dos serviços oferecidos por redes e sistemas de informação.

Exemplos:

  • Falhas de segurança que resultem em acesso não autorizado
  • Modificação não autorizada de dados ou sistemas
  • Indisponibilidade prolongada de serviços críticos
  • Comprometimento de sistemas de backup
  • Deteção de malware em sistemas críticos

Ataques cibernéticos (bem-sucedidos ou tentados)

Qualquer ação maliciosa ou tentativa de comprometer a segurança de redes e sistemas de informação, independentemente do seu sucesso.

Tipos de ataques notificáveis:

  • Ransomware: Cifragem de dados com pedido de resgate
  • DDoS: Ataques de negação de serviço distribuído
  • Phishing/Spear-phishing: Que resultem em compromisso
  • APT (Advanced Persistent Threats): Ataques persistentes avançados
  • SQL Injection: Exploração de vulnerabilidades de bases de dados
  • Zero-day exploits: Exploração de vulnerabilidades desconhecidas

🔓 Violações de dados pessoais

Violações de segurança que resultem na destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais.

Atenção: As violações de dados pessoais também devem ser notificadas à CNPD (Comissão Nacional de Proteção de Dados) no prazo de 72 horas, conforme o RGPD.

Informação a incluir:

  • Categorias e número aproximado de titulares afetados
  • Categorias e número aproximado de registos afetados
  • Potenciais consequências da violação
  • Medidas tomadas para mitigar efeitos adversos
  • Contacto do Encarregado de Proteção de Dados (DPO)

⚙️ Interrupções de serviços essenciais

Qualquer interrupção significativa na prestação de serviços essenciais ou importantes, causada por incidentes de cibersegurança.

Critérios de notificação:

  • Duração da interrupção superior ao limite estabelecido
  • Número de utilizadores afetados acima do limiar
  • Impacto significativo nas atividades económicas ou sociais
  • Impossibilidade de prestação de serviços alternativos
  • Consequências para a segurança pública
Nota: Os limiares específicos de notificação podem variar consoante o setor e a classificação da entidade (essencial vs. importante).

🔗 Incidentes na cadeia de abastecimento

Incidentes de cibersegurança que afetem fornecedores diretos ou prestadores de serviços e que tenham impacto nos sistemas ou serviços da entidade.

Situações notificáveis:

  • Comprometimento de fornecedor de serviços cloud crítico
  • Ataque a fornecedor de software que afete sistemas internos
  • Violação de dados em prestador de serviços com acesso a dados sensíveis
  • Interrupção de serviços de fornecedor essencial
  • Descoberta de backdoors em software de terceiros

Responsabilidade: Mesmo que o incidente tenha origem num terceiro, a entidade abrangida pela NIS2 mantém a responsabilidade de notificação se os seus serviços forem afetados.

📞 CNCS - Centro Nacional de Cibersegurança

O CNCS é a autoridade nacional competente para a notificação de incidentes de cibersegurança no âmbito da NIS2.

🌐
Portal de Notificação

www.cncs.gov.pt
Utilize o portal oficial para submeter notificações de incidentes

✉️
Email de Incidentes

incidentes@cncs.gov.pt
Para notificações urgentes e comunicações oficiais

📱
Linha de Emergência (24/7)

+351 210 012 000
Disponível 24 horas por dia, 7 dias por semana

📍
Morada

Rua de São Mamede ao Caldas, 21
1100-533 Lisboa
Portugal

Importante: Mantenha estes contactos sempre acessíveis e incluídos no seu plano de resposta a incidentes. Recomenda-se testar os canais de comunicação regularmente.

Checklist de informação obrigatória

Utilize esta checklist para garantir que a sua notificação de incidente inclui toda a informação necessária.

Informação a incluir na notificação

Lembre-se: Esta informação pode ser atualizada à medida que a investigação progride. É melhor notificar com informação limitada dentro do prazo do que atrasar a notificação para obter informação completa.

⚠️ Penalizações por incumprimento

O não cumprimento das obrigações de notificação de incidentes está sujeito a sanções administrativas significativas.

Entidades Essenciais

Até €10M

ou 2% da faturação global anual (o que for superior)

Entidades Importantes

Até €7M

ou 1,4% da faturação global anual (o que for superior)

Outras consequências:

  • Sanções regulatórias: Advertências, ordens de conformidade, suspensão temporária de atividades
  • Dano reputacional: Perda de confiança de clientes e parceiros
  • Responsabilidade civil: Possíveis ações judiciais de partes afetadas
  • Perda de certificações: Revogação de certificações de conformidade
  • Exclusão de contratos públicos: Impedimento de participar em concursos públicos
Ver todas as penalizações NIS2

Boas práticas de gestão de incidentes

Prepare a sua organização para responder eficazmente a incidentes de cibersegurança.

📋 Plano de resposta a incidentes

Desenvolva e mantenha atualizado um plano detalhado de resposta a incidentes que inclua:

  • Procedimentos de deteção e análise
  • Cadeia de comando e responsabilidades
  • Protocolos de comunicação interna e externa
  • Modelos de notificação pré-preparados

👥 Equipa de resposta dedicada

Constitua uma equipa de resposta a incidentes (CSIRT) com:

  • Membros de diferentes áreas (IT, legal, comunicação)
  • Formação regular em gestão de incidentes
  • Disponibilidade 24/7 ou esquema de rotatividade
  • Autoridade para tomar decisões críticas

📞 Contactos atualizados

Mantenha uma lista sempre atualizada de contactos:

  • CNCS e outras autoridades competentes
  • Fornecedores críticos e prestadores de serviços
  • Equipas de resposta a incidentes internas
  • Consultores externos especializados

📝 Documentação rigorosa

Implemente processos de documentação que garantam:

  • Registo de todos os eventos e ações
  • Preservação de evidências forenses
  • Cronologia detalhada dos acontecimentos
  • Arquivo seguro de documentação para auditorias

🎯 Testes e simulações

Realize exercícios regulares de simulação:

  • Simulações de incidentes (tabletop exercises)
  • Testes de procedimentos de notificação
  • Verificação de canais de comunicação
  • Avaliação de tempos de resposta

🔄 Melhoria contínua

Aprenda com cada incidente através de:

  • Reuniões de post-mortem após incidentes
  • Análise de lições aprendidas
  • Atualização de procedimentos e playbooks
  • Partilha de conhecimento com a equipa
Aceder a templates de resposta a incidentes

Prepare-se para notificar incidentes

A preparação é fundamental. Não espere por um incidente para começar a preparar os seus processos de notificação.

Ver templates de notificação Requisitos de segurança Recursos adicionais