Diretiva (UE) 2022/2555 (NIS2)
14 de dezembro de 2022
Descrição: Diretiva relativa às medidas para um elevado nível comum de cibersegurança em toda a União Europeia.
Link: EUR-Lex
Ir para secção:
Recursos e Normas de Referência
Documentação essencial, normas técnicas e recursos úteis para implementar a NIS2
Legislação Principal
Decreto-Lei n.º 125/2025
22 de outubro de 2025 • Em vigor
Descrição: Lei que transpõe a Diretiva NIS2 para o ordenamento jurídico português.
Status: Em vigor
Regulamento Delegado e Atos de Execução
Previsão: 2025-2026
Descrição: Regulamentos complementares da Comissão Europeia para especificação técnica das medidas NIS2.
Status: A aguardar publicação
Normas Técnicas ISO/IEC
Standards internacionais que fornecem frameworks e boas práticas para implementar as medidas NIS2
Essencial
ISO/IEC 27001:2022
Sistema de Gestão da Segurança da Informação (SGSI)
Descrição: Norma mais importante para estruturar a segurança da informação em qualquer organização.
Relação com NIS2: Base para implementar 8 das 10 medidas obrigatórias.
Essencial
ISO/IEC 27002:2022
Código de Boas Práticas para Controlos de Segurança
Descrição: 93 controlos organizados em 4 categorias (Organizacional, Pessoas, Físico, Tecnológico).
Relação com NIS2: Guia prático para implementar medidas de segurança.
Essencial
ISO/IEC 27005:2022
Gestão de Riscos de Segurança da Informação
Descrição: Metodologia completa para análise e tratamento de riscos de segurança.
Relação com NIS2: Medida #1 (Análise de Riscos).
Essencial
ISO 22301:2019
Sistema de Gestão da Continuidade de Negócio
Descrição: Planeamento e teste de continuidade operacional (BCP/DRP).
Relação com NIS2: Medida #3 (Continuidade de Negócio).
Recomendado
ISO/IEC 27017:2015
Controlos de Segurança para Serviços Cloud
Descrição: Extensão da ISO 27002 específica para cloud computing.
Relação com NIS2: Medida #4 (Segurança da Cadeia de Abastecimento).
Recomendado
ISO/IEC 27035:2023
Gestão de Incidentes de Segurança da Informação
Descrição: Metodologia completa para deteção, resposta e recuperação de incidentes.
Relação com NIS2: Medida #2 (Gestão de Incidentes).
Recomendado
ISO/IEC 27701:2019
Extensão para Gestão de Privacidade (PIMS)
Descrição: Integração entre ISO 27001 e RGPD para gestão de privacidade.
Relação com NIS2: Complementa requisitos de proteção de dados.
Recomendado
ISO/IEC 27032:2023
Diretrizes para Cibersegurança (Cybersecurity)
Descrição: Boas práticas específicas para cibersegurança e colaboração entre stakeholders.
Relação com NIS2: Abordagem holística alinhada com NIS2.
Frameworks e Metodologias
NIST Cybersecurity Framework 2.0
Descrição: Framework norte-americano para gestão de riscos de cibersegurança.
6 Funções: Govern, Identify, Protect, Detect, Respond, Recover
Complementaridade com NIS2: Estrutura prática para implementação das medidas obrigatórias.
Visitar site NIST →CIS Controls v8.1
Descrição: 18 controlos críticos de cibersegurança do Center for Internet Security.
Focus: Priorização de medidas por eficácia comprovada.
Complementaridade com NIS2: Checklist pragmática para as 10 medidas obrigatórias.
ENISA Cybersecurity Guide for SMEs
Descrição: Guia da Agência Europeia para a Cibersegurança orientado para PMEs.
Focus: Implementação prática e acessível para organizações menores.
Complementaridade com NIS2: Linguagem simplificada para entidades menores.
Visitar ENISA →MITRE ATT&CK Framework
Descrição: Base de conhecimento de táticas e técnicas de adversários cibernéticos.
Focus: Deteção e resposta a ameaças baseada em comportamento real de atacantes.
Complementaridade com NIS2: Medida #6 (Gestão de Vulnerabilidades) e #2 (Gestão de Incidentes).
Recursos do CNCS
🌐
Portal CNCS (www.cncs.gov.pt)
Site oficial com orientações, alertas e formulários para conformidade NIS2.
Secção NIS2: Guias de implementação, FAQ, contactos
Visitar CNCS →👁️
Centro de Cibervigilância CNCS
Monitorização 24/7 de ameaças cibernéticas em Portugal.
Serviços: Alertas precoces, análise de incidentes, inteligência de ameaças
📧
Plataforma de Notificação de Incidentes
Sistema online para notificações obrigatórias (24h/72h/30d).
Status: Em desenvolvimento (previsão: Q1 2026)
Alternativa atual: Email incidentes@cncs.gov.pt
🎓
Formações e Workshops CNCS
Programas de capacitação para entidades essenciais e importantes.
Tópicos: NIS2, resposta a incidentes, análise de riscos
Frequência: Trimestral
Certificações e Auditorias
Certificação ISO 27001
O que é: Auditoria externa que verifica conformidade com a norma ISO 27001.
Benefícios: Reconhecimento internacional, demonstração de conformidade NIS2.
Processo:
- Gap analysis
- Implementação SGSI
- Auditoria de certificação
- Manutenção anual
Duração: 6-18 meses
Custo estimado: €15,000-€50,000 (varia com dimensão)
Auditorias de Segurança
O que é: Avaliação técnica de controlos implementados (pentest, code review, etc.).
Benefícios: Identificar vulnerabilidades antes de incidentes.
Frequência: Mínimo anual (recomendado semestral)
Custo estimado: €5,000-€20,000 por auditoria
Avaliações de Maturidade NIS2
O que é: Self-assessment ou avaliação externa do nível de conformidade NIS2.
Benefícios: Roadmap claro, priorização de investimentos.
Ferramentas: Checklists (ver nossa página de templates).
Ferramentas e Tecnologias Recomendadas
Soluções tecnológicas que facilitam a implementação das medidas NIS2
SIEM (Security Information and Event Management)
Exemplos: Splunk, IBM QRadar, Microsoft Sentinel, Elastic Security
Objetivo: Correlação de eventos, deteção de ameaças, análise de logs.
Medidas NIS2: #2 #5 #6
EDR/XDR (Endpoint/Extended Detection and Response)
Exemplos: CrowdStrike, SentinelOne, Microsoft Defender for Endpoint
Objetivo: Proteção avançada de endpoints, resposta automatizada.
Medidas NIS2: #5 #7
Vulnerability Management
Exemplos: Tenable Nessus, Qualys, Rapid7
Objetivo: Scan e gestão de vulnerabilidades, priorização de patches.
Medidas NIS2: #6
Backup e Disaster Recovery
Exemplos: Veeam, Acronis, Commvault
Objetivo: Proteção de dados, recuperação rápida após incidentes.
Medidas NIS2: #3
Regra de ouro: 3-2-1 (3 cópias, 2 tipos de média, 1 offsite)
IAM (Identity and Access Management)
Exemplos: Okta, Azure AD, Ping Identity
Objetivo: Gestão centralizada de identidades e acessos.
Medidas NIS2: #9 #10
Funcionalidades-chave: MFA, SSO, provisioning
GRC Platforms (Governance, Risk, Compliance)
Exemplos: ServiceNow GRC, RSA Archer, MetricStream
Objetivo: Gestão integrada de riscos e conformidade regulamentar.
Medidas NIS2: #1 Todas (documentação)
Organizações e Associações
ENISA
European Union Agency for Cybersecurity
Papel: Agência europeia para cibersegurança, responsável por orientações técnicas NIS2.
Recursos: Guias, estudos de ameaças, recomendações técnicas.
Visitar ENISA →APDC
Associação Portuguesa para o Desenvolvimento das Comunicações
Papel: Associação sectorial portuguesa para tecnologia e comunicações.
Recursos: Eventos, formações, networking profissional.
Visitar APDC →ISACA Portugal Chapter
Information Systems Audit and Control Association
Papel: Associação de profissionais de auditoria e segurança TI.
Recursos: Certificações (CISA, CISM), eventos, publicações técnicas.
Visitar ISACA →(ISC)² Portugal
International Information System Security Certification Consortium
Papel: Organização de certificações de cibersegurança reconhecidas mundialmente.
Recursos: CISSP, CCSP, formações, comunidade profissional.
Visitar (ISC)² →Livros e Publicações Recomendadas
📚
"NIST Cybersecurity Framework: A Pocket Guide"
Alan Calder
📚
"ISO 27001 Controls: A Guide to Implementing and Auditing"
Bridget Kenyon
📚
"Cybersecurity and Cyberwar: What Everyone Needs to Know"
P.W. Singer & Allan Friedman
📚
"The Phoenix Project"
Gene Kim (contexto DevSecOps)
📚
"Practical Cybersecurity for Business"
Jon DiMaggio
Newsletters e Blogs Recomendados
-
📰
CNCS - Alertas e Comunicados
-
📰
ENISA Threat Landscape Report
Relatório anual sobre o panorama de ameaças na UE
-
📰
Krebs on Security
-
📰
Schneier on Security
-
📰
The Hacker News
Precisa de ajuda para implementar a NIS2?
Explore os nossos recursos práticos para acelerar a sua conformidade