NIS2 Portugal

Roadmap de 90 Dias para Conformidade NIS2

Plano prático passo-a-passo para implementar a conformidade NIS2 em 3 meses

Porquê 90 Dias?

Com o Decreto-Lei n.º 125/2025 aprovado em 4 de dezembro de 2025 e prazo de 120 dias para implementação até abril de 2026, as organizações têm uma janela crítica para se prepararem. Este roadmap divide a conformidade em 3 fases práticas de 30 dias cada.

📋
3
Fases Principais
📅
12
Semanas de Trabalho
10
Medidas Artigo 21
🎯
90
Dias para Conformidade
Nota Importante: Este roadmap pressupõe que a sua organização já confirmou estar abrangida pela NIS2. Se ainda não o fez, utilize a Calculadora de classificação primeiro.

Progresso do Roadmap

Fase 1: Avaliação
Fase 2: Implementação
Fase 3: Validação

Cada fase tem 30 dias · Clique nas fases abaixo para expandir as semanas e tarefas

1
Dias 1-30

Fase 1: Avaliação e Preparação

Análise de gaps, envolvimento de stakeholders e alocação de recursos

Duração: 30 dias
Equipa: CISO, IT, Legal, C-Level
Entregáveis: 6 documentos
Semana 1

Kick-off e Análise de Âmbito

⏱️ Dias 1-7
  • Constituir a equipa de projeto NIS2 (CISO, IT Manager, Legal, DPO, C-Level)
  • Confirmar classificação da organização (Essencial vs. Importante) usando calculadora
  • Identificar setor(es) de atividade abrangidos pela NIS2
  • Mapear todas as infraestruturas críticas, sistemas e serviços
  • Identificar autoridade competente (CNCS, ANACOM, Banco de Portugal, etc.)
  • Agendar kick-off meeting com C-Level para apresentar cronograma e budget
📦 Entregáveis da Semana 1
  • Carta de projeto com equipa definida e responsabilidades
  • Inventário de infraestruturas e sistemas críticos
  • Documento de classificação (Essencial/Importante + Setor)
Semana 2

Gap Analysis contra Artigo 21

⏱️ Dias 8-14
  • Avaliar maturidade atual nas 10 medidas do Artigo 21
  • Análise de risco: Avaliação de riscos de cibersegurança (Medida 1)
  • Avaliar política atual de gestão de incidentes (Medida 2)
  • Verificar estado de business continuity e disaster recovery (Medida 3)
  • Avaliar segurança da cadeia de fornecimento (Medida 4)
  • Documentar todos os gaps identificados com severidade (Alta/Média/Baixa)
📦 Entregáveis da Semana 2
  • Gap Analysis Report detalhado (10 medidas do Artigo 21)
  • Matriz de risco atual vs. requisitos NIS2
  • Lista priorizada de gaps críticos a corrigir
Semana 3

Gap Analysis (continuação) e Planeamento

⏱️ Dias 15-21
  • Avaliar controlos de segurança na aquisição, desenvolvimento e manutenção (Medida 5)
  • Verificar políticas e processos de gestão de vulnerabilidades (Medida 6)
  • Avaliar controlos de acesso, autenticação multifactor e criptografia (Medidas 7, 8, 9)
  • Verificar segurança de recursos humanos e formação de colaboradores (Medida 10)
  • Estimar custos de remediação (ferramentas, consultoria, formação, pessoal)
  • Elaborar roadmap detalhado de implementação para Fases 2 e 3
📦 Entregáveis da Semana 3
  • Gap Analysis completo (todas as 10 medidas)
  • Estimativa de custos e ROI para C-Level
  • Roadmap de implementação detalhado (60 dias seguintes)
Semana 4

Aprovação de Budget e Preparação

⏱️ Dias 22-30
  • Apresentar Gap Analysis e plano de remediação ao órgão de gestão
  • Obter aprovação formal do budget para implementação NIS2
  • Iniciar processo de procurement de ferramentas críticas (SIEM, EDR, backup, etc.)
  • Contratar consultores externos (se necessário) para apoio especializado
  • Alocar recursos internos e definir responsabilidades individuais
  • Preparar kickoff da Fase 2 (implementação) para Dia 31
📦 Entregáveis da Semana 4
  • Budget aprovado pelo órgão de gestão
  • Contratos assinados com fornecedores/consultores
  • Plano de alocação de recursos (pessoas e orçamento)
  • Cronograma detalhado da Fase 2 (dias 31-60)
2
Dias 31-60

Fase 2: Implementação Core

Controlos do Artigo 21, resposta a incidentes, segurança da cadeia de fornecimento

Duração: 30 dias
Equipa: IT, Security, DevOps, HR, Legal
Entregáveis: 8 implementações
Semana 5

Gestão de Riscos e Incidentes

⏱️ Dias 31-37
  • Implementar framework de avaliação de riscos (ISO 27005, NIST, OCTAVE)
  • Conduzir avaliação de risco completa de todos os ativos críticos
  • Criar/atualizar Incident Response Plan conforme requisitos NIS2
  • Definir procedimentos de notificação: 24h alerta inicial, 72h notificação, 30 dias relatório final
  • Estabelecer CSIRT interno ou contratar serviço externo de resposta a incidentes
  • Criar playbooks para os incidentes mais prováveis (ransomware, DDoS, data breach)
📦 Entregáveis da Semana 5
  • Risk Assessment Report atualizado
  • Incident Response Plan completo (alinhado com NIS2)
  • Playbooks de resposta a incidentes (top 5 cenários)
Semana 6

Business Continuity e Backup

⏱️ Dias 38-44
  • Criar/atualizar Business Continuity Plan (BCP) e Disaster Recovery Plan (DRP)
  • Realizar Business Impact Analysis (BIA) para identificar RTOs e RPOs
  • Implementar solução de backup robusta (regra 3-2-1: 3 cópias, 2 meios, 1 offsite)
  • Configurar backups imutáveis (proteção contra ransomware)
  • Testar procedimentos de restore de dados críticos
  • Documentar procedimentos de recuperação passo-a-passo para sistemas críticos
📦 Entregáveis da Semana 6
  • Business Continuity Plan (BCP) completo
  • Disaster Recovery Plan (DRP) testado
  • Solução de backup operacional e testada
  • Business Impact Analysis (BIA) documentado
Semana 7

Segurança da Cadeia de Fornecimento

⏱️ Dias 45-51
  • Inventariar todos os fornecedores críticos (IT, cloud, software, services)
  • Avaliar risco de cibersegurança de cada fornecedor (questionário de due diligence)
  • Atualizar contratos com cláusulas de segurança e auditoria (SLAs de segurança)
  • Implementar processo de vendor risk management contínuo
  • Definir critérios de segurança obrigatórios para novos fornecedores
  • Criar plano de descontinuação para fornecedores que não cumpram requisitos
📦 Entregáveis da Semana 7
  • Inventário completo de fornecedores críticos
  • Relatório de avaliação de risco da supply chain
  • Contratos atualizados com cláusulas de segurança NIS2
  • Política de Vendor Risk Management
Semana 8

Controlos Técnicos Core

⏱️ Dias 52-60
  • Implementar/otimizar solução de gestão de vulnerabilidades (scanning automatizado)
  • Definir SLAs de patch management (crítico: 24-48h, alto: 7 dias, médio: 30 dias)
  • Deploy de MFA (Multi-Factor Authentication) em todos os acessos críticos
  • Implementar/fortalecer criptografia (dados em repouso e em trânsito)
  • Implementar SIEM (Security Information and Event Management) ou melhorar logging
  • Revisar e fortalecer controlos de acesso (princípio do menor privilégio)
📦 Entregáveis da Semana 8
  • Solução de vulnerability management operacional
  • MFA implementado em todos os sistemas críticos
  • Criptografia ativada (AES-256 ou superior)
  • SIEM configurado com alertas críticos
3
Dias 61-90

Fase 3: Validação e Certificação

Auditoria interna, remediação de gaps, documentação e preparação para fiscalização

Duração: 30 dias
Equipa: Auditoria, CISO, Compliance, Legal
Entregáveis: 5 documentos finais
Semana 9

Auditoria Interna e Testes

⏱️ Dias 61-67
  • Conduzir auditoria interna completa contra as 10 medidas do Artigo 21
  • Realizar testes de penetração (pentest) em sistemas críticos
  • Testar procedimentos de resposta a incidentes (tabletop exercise)
  • Testar Business Continuity Plan (simulação de disaster recovery)
  • Verificar eficácia de backups (teste de restore completo)
  • Documentar todos os resultados dos testes e gaps identificados
📦 Entregáveis da Semana 9
  • Relatório de auditoria interna completo
  • Relatório de pentest com vulnerabilidades críticas
  • Relatório de testes de IR e BCP
  • Lista de ações corretivas prioritárias
Semana 10

Remediação de Gaps Críticos

⏱️ Dias 68-74
  • Corrigir vulnerabilidades críticas identificadas no pentest
  • Implementar ações corretivas da auditoria interna (prioridade alta)
  • Ajustar procedimentos de IR com base nos resultados dos testes
  • Melhorar configurações de SIEM/logging com base em gaps identificados
  • Re-testar controlos críticos após remediação
  • Documentar evidências de remediação para auditoria externa
📦 Entregáveis da Semana 10
  • Relatório de remediação completo
  • Evidências de correção de vulnerabilidades
  • Re-teste de controlos críticos (pass/fail)
Semana 11

Documentação e Políticas

⏱️ Dias 75-81
  • Finalizar todas as políticas de cibersegurança obrigatórias
  • Documentar todos os procedimentos operacionais (SOPs) de segurança
  • Criar Statement of Applicability (SoA) mapeando controlos NIS2
  • Documentar arquitetura de segurança e diagrama de rede
  • Preparar dossiê de conformidade para autoridade competente
  • Obter aprovação formal do órgão de gestão em todas as políticas
📦 Entregáveis da Semana 11
  • Políticas de cibersegurança aprovadas pelo órgão de gestão
  • SOPs (Standard Operating Procedures) completos
  • Statement of Applicability (SoA) NIS2
  • Dossiê de conformidade para autoridades
Semana 12

Formação e Preparação Final

⏱️ Dias 82-90
  • Realizar formação de awareness para TODOS os colaboradores
  • Formação especializada para CSIRT e equipas técnicas
  • Briefing executivo para órgão de gestão (responsabilidades Artigo 20)
  • Preparar registo junto da autoridade competente (CNCS, ANACOM, etc.)
  • Estabelecer programa de melhoria contínua e métricas de monitorização
  • Celebrar conclusão do roadmap de 90 dias! 🎉
📦 Entregáveis da Semana 12
  • Certificados de formação de awareness (100% colaboradores)
  • Certificados de formação técnica (CSIRT/IT)
  • Registo submetido à autoridade competente
  • Dashboard de métricas de segurança operacional
  • CONFORMIDADE NIS2 ALCANÇADA ✓

Quick Wins: Primeiros 7 Dias

Ações imediatas que pode implementar na primeira semana para ganhar tração

⚡ Dia 1: MFA Obrigatório

Ativar Multi-Factor Authentication em TODOS os acessos administrativos (Office 365, VPN, AWS, etc.)

⚡ Dia 2: Backups Imutáveis

Configurar backups imutáveis (proteção contra ransomware) em sistemas críticos

⚡ Dia 3: Patch Critical

Aplicar patches críticos pendentes em todos os sistemas (prioridade: servidores expostos)

⚡ Dia 4: Inventory Completo

Criar inventário de TODOS os ativos IT (hardware, software, cloud services)

⚡ Dia 5: IR Contacts

Definir contactos de emergência 24/7 para incidentes de cibersegurança

⚡ Dia 6: Logging Ativado

Ativar logging detalhado em todos os sistemas críticos (retenção mínima 90 dias)

⚡ Dia 7: C-Level Briefing

Apresentar ao órgão de gestão as responsabilidades NIS2 e cronograma de 90 dias

Recursos Necessários para 90 Dias

👥
Equipa (FTEs)

1x CISO/Security Lead (tempo integral)
1-2x IT Engineers (50-75%)
1x Legal/Compliance (25%)
C-Level sponsor (10%)

💰
Budget Típico

PME: €50.000 - €150.000
Grande Empresa: €150.000 - €500.000+
Inclui: ferramentas, consultoria, formação, auditorias

🛠️
Ferramentas Essenciais

SIEM/Log Management
Vulnerability Scanner
Backup Solution
MFA Platform
EDR/Antivirus
GRC Platform (opcional)

📚
Consultoria Externa

Gap Analysis (5-10 dias)
Pentesting (3-5 dias)
Auditoria NIS2 (5-7 dias)
Formação especializada (2-3 dias)

Dica: Utilize a Calculadora de Custos NIS2 para estimar o orçamento específico para a sua organização.

Roadblocks Comuns e Soluções

⚠️ Falta de Budget Aprovado

C-Level recusa ou adia aprovação do orçamento necessário para implementação.

✅ Solução

Apresentar análise de custo de NÃO-conformidade: coimas até €10M + danos reputacionais + responsabilização pessoal do órgão de gestão (Artigo 20). Mostrar ROI de cibersegurança.

⚠️ Resistência de Colaboradores

Equipas resistem a mudanças (ex: MFA, políticas de passwords, restrições de acesso).

✅ Solução

Comunicação top-down do C-Level sobre importância. Formação de awareness focada em benefícios (proteção de dados pessoais, segurança do emprego). Implementação gradual com suporte dedicado.

⚠️ Sistemas Legacy Incompatíveis

Sistemas antigos não suportam controlos modernos (MFA, criptografia, logging).

✅ Solução

Aplicar controlos compensatórios (segmentação de rede, WAF, monitorização intensiva). Planear migração/substituição de sistemas críticos legacy. Documentar exceções justificadas com plano de remediação.

⚠️ Falta de Skills Internos

Equipa IT não tem expertise em cibersegurança avançada (SIEM, IR, pentest).

✅ Solução

Contratar consultores externos para gap analysis e implementação inicial. Investir em formação certificada para equipa (CISSP, CEH, CISM). Considerar serviços geridos (SOC-as-a-Service, IR-as-a-Service).

⚠️ Fornecedores Não-Conformes

Fornecedores críticos recusam cláusulas de segurança ou auditorias.

✅ Solução

Escalar para C-Level: conformidade NIS2 é requisito regulatório inegociável. Aplicar controlos compensatórios (segmentação, monitorização de acesso). Planear substituição de fornecedores não-conformes.

⚠️ Timeline Irrealista

90 dias parecem impossíveis devido à complexidade da organização.

✅ Solução

Priorizar controlos críticos primeiro (MFA, backups, IR, patching). Aceitar conformidade "good enough" em 90 dias + plano de melhoria contínua para os 6 meses seguintes. Focar em quick wins.

Pronto para Começar?

Use as nossas ferramentas para avaliar onde está e planear a sua jornada de conformidade NIS2.

Calcular Classificação Quiz de conformidade Estimar Custos