NIS2 Portugal

Roadmap de 90 Dias para Conformidade NIS2

Plano prático passo-a-passo para implementar a conformidade NIS2 em 3 meses

Com 79 templates profissionais para download em cada fase

Porquê 90 Dias?

O Decreto-Lei n.º 125/2025 entrou em vigor a 3 de abril de 2026 — a conformidade é agora obrigatória. As organizações devem agir com urgência. Este roadmap divide a conformidade em 3 fases práticas de 30 dias cada.

📋
3
Fases Principais
📅
12
Semanas de Trabalho
📄
79
Templates Incluídos
🎯
90
Dias para Conformidade
Nota Importante: Este roadmap pressupõe que a sua organização já confirmou estar abrangida pela NIS2. Se ainda não o fez, utilize a Calculadora de classificação primeiro.

Progresso do Roadmap

0/72 tarefas concluídas

Fase 1: 0%
Fase 2: 0%
Fase 3: 0%

Clique nas tarefas para marcar como concluídas · Progresso guardado automaticamente

Mostrando 79 templates core aplicáveis a todos os setores
1
Dias 1-30

Fase 1: Avaliação e Preparação

Análise de gaps, envolvimento de stakeholders e alocação de recursos

Duração: 30 dias
Equipa: CISO, IT, Legal, C-Level
Entregáveis: 6 documentos
Templates: 14 documentos
Semana 1

Kick-off e Análise de Âmbito

⏱️ Dias 1-7
  • Constituir a equipa de projeto NIS2 (CISO, IT Manager, Legal, DPO, C-Level)
  • Confirmar classificação da organização (Essencial vs. Importante) usando calculadora
  • Identificar setor(es) de atividade abrangidos pela NIS2
  • Mapear todas as infraestruturas críticas, sistemas e serviços
  • Identificar autoridade competente (CNCS, ANACOM, Banco de Portugal, etc.)
  • Agendar kick-off meeting com C-Level para apresentar cronograma e budget
📦 Entregáveis da Semana 1
  • Carta de projeto com equipa definida e responsabilidades
  • Inventário de infraestruturas e sistemas críticos
  • Documento de classificação (Essencial/Importante + Setor)
📥 Templates para esta semana (3 documentos)
E Plano de projeto NIS2 ⬇ Excel
E Inventário de ativos TIC ⬇ Excel
E Matriz RACI ⬇ Excel
📋 Template setorial Energia
W Checklist de conformidade - setor energia ⬇ Word
📋 Template setorial Transportes
W Checklist de conformidade - setor transportes ⬇ Word
📋 Template setorial Banca
W Checklist de conformidade - setor banca ⬇ Word
📋 Template setorial Mercados financeiros
W Checklist de conformidade - setor mercados financeiros ⬇ Word
📋 Template setorial Saúde
W Checklist de conformidade - setor saúde ⬇ Word
📋 Template setorial Água potável
W Checklist de conformidade - setor água potável ⬇ Word
📋 Template setorial Águas residuais
W Checklist de conformidade - setor águas residuais ⬇ Word
📋 Template setorial Infraestrutura digital
W Checklist de conformidade - setor infraestrutura digital ⬇ Word
📋 Template setorial Serviços TIC
W Checklist de conformidade - setor serviços tic ⬇ Word
📋 Template setorial Telecomunicações
W Checklist de conformidade - setor telecomunicações ⬇ Word
📋 Template setorial Espaço
W Checklist de conformidade - setor espaço ⬇ Word
📋 Template setorial Correios
W Checklist de conformidade - setor correios ⬇ Word
📋 Template setorial Resíduos
W Checklist de conformidade - setor resíduos ⬇ Word
📋 Template setorial Químicos
W Checklist de conformidade - setor químicos ⬇ Word
📋 Template setorial Alimentar
W Checklist de conformidade - setor alimentar ⬇ Word
📋 Template setorial Indústria
W Checklist de conformidade - setor indústria ⬇ Word
📋 Template setorial Investigação
W Checklist de conformidade - setor investigação ⬇ Word
📋 Template setorial Administração pública
W Checklist de conformidade - setor administração pública ⬇ Word
Semana 2

Gap Analysis contra Artigo 21

⏱️ Dias 8-14
  • Avaliar maturidade atual nas 9 medidas do Artigo 21
  • Análise de risco: Avaliação de riscos de cibersegurança (Medida 1)
  • Avaliar política atual de gestão de incidentes (Medida 2)
  • Verificar estado de business continuity e disaster recovery (Medida 3)
  • Avaliar segurança da cadeia de fornecimento (Medida 4)
  • Documentar todos os gaps identificados com severidade (Alta/Média/Baixa)
📦 Entregáveis da Semana 2
  • Gap Analysis Report detalhado (9 medidas do Artigo 21)
  • Matriz de risco atual vs. requisitos NIS2
  • Lista priorizada de gaps críticos a corrigir
📥 Templates para esta semana (6 documentos)
E Análise de lacunas ⬇ Excel
E Matriz de risco ⬇ Excel
E Avaliação de maturidade ⬇ Excel
E Registo de ativos ⬇ Excel
W Metodologia de avaliação de riscos ⬇ Word
W Plano de tratamento de riscos ⬇ Word
📊 Template setorial Energia
E Matriz de risco - setor energia ⬇ Excel
📊 Template setorial Transportes
E Matriz de risco - setor transportes ⬇ Excel
📊 Template setorial Banca
E Matriz de risco - setor banca ⬇ Excel
📊 Template setorial Mercados financeiros
E Matriz de risco - setor mercados financeiros ⬇ Excel
📊 Template setorial Saúde
E Matriz de risco - setor saúde ⬇ Excel
📊 Template setorial Água potável
E Matriz de risco - setor água potável ⬇ Excel
📊 Template setorial Águas residuais
E Matriz de risco - setor águas residuais ⬇ Excel
📊 Template setorial Infraestrutura digital
E Matriz de risco - setor infraestrutura digital ⬇ Excel
📊 Template setorial Serviços TIC
E Matriz de risco - setor serviços tic ⬇ Excel
📊 Template setorial Telecomunicações
E Matriz de risco - setor telecomunicações ⬇ Excel
📊 Template setorial Espaço
E Matriz de risco - setor espaço ⬇ Excel
📊 Template setorial Correios
E Matriz de risco - setor correios ⬇ Excel
📊 Template setorial Resíduos
E Matriz de risco - setor resíduos ⬇ Excel
📊 Template setorial Químicos
E Matriz de risco - setor químicos ⬇ Excel
📊 Template setorial Alimentar
E Matriz de risco - setor alimentar ⬇ Excel
📊 Template setorial Indústria
E Matriz de risco - setor indústria ⬇ Excel
📊 Template setorial Investigação
E Matriz de risco - setor investigação ⬇ Excel
📊 Template setorial Administração pública
E Matriz de risco - setor administração pública ⬇ Excel
Semana 3

Gap Analysis (continuação) e Planeamento

⏱️ Dias 15-21
  • Avaliar controlos de segurança na aquisição, desenvolvimento e manutenção (Medida 5)
  • Verificar políticas e processos de gestão de vulnerabilidades (Medida 6)
  • Avaliar controlos de acesso, autenticação multifactor e criptografia (Medidas 7, 8, 9)
  • Verificar segurança de recursos humanos e formação de colaboradores (Medida 10)
  • Estimar custos de remediação (ferramentas, consultoria, formação, pessoal)
  • Elaborar roadmap detalhado de implementação para Fases 2 e 3
📦 Entregáveis da Semana 3
  • Gap Analysis completo (todas as 9 medidas)
  • Estimativa de custos e ROI para C-Level
  • Roadmap de implementação detalhado (60 dias seguintes)
📥 Templates para esta semana (3 documentos)
E Mapa de controlos NIS2/ISO 27001 ⬇ Excel
E Dashboard de conformidade ⬇ Excel
W Aceitação de riscos residuais ⬇ Word
Semana 4

Aprovação de Budget e Preparação

⏱️ Dias 22-30
  • Apresentar Gap Analysis e plano de remediação ao órgão de gestão
  • Obter aprovação formal do budget para implementação NIS2
  • Iniciar processo de procurement de ferramentas críticas (SIEM, EDR, backup, etc.)
  • Contratar consultores externos (se necessário) para apoio especializado
  • Alocar recursos internos e definir responsabilidades individuais
  • Preparar kickoff da Fase 2 (implementação) para Dia 31
📦 Entregáveis da Semana 4
  • Budget aprovado pelo órgão de gestão
  • Contratos assinados com fornecedores/consultores
  • Plano de alocação de recursos (pessoas e orçamento)
  • Cronograma detalhado da Fase 2 (dias 31-60)
📥 Templates para esta semana (2 documentos)
W Ata de revisão pela gestão ⬇ Word
W Declaração de responsabilidade do órgão de gestão ⬇ Word
2
Dias 31-60

Fase 2: Implementação Core

Controlos do Artigo 21, resposta a incidentes, segurança da cadeia de fornecimento

Duração: 30 dias
Equipa: IT, Security, DevOps, HR, Legal
Entregáveis: 8 implementações
Templates: 41 documentos
Semana 5

Gestão de Riscos e Incidentes

⏱️ Dias 31-37
  • Implementar framework de avaliação de riscos (ISO 27005, NIST, OCTAVE)
  • Conduzir avaliação de risco completa de todos os ativos críticos
  • Criar/atualizar Incident Response Plan conforme requisitos NIS2
  • Definir procedimentos de notificação: 24h alerta inicial, 72h notificação, 30 dias relatório final
  • Estabelecer CSIRT interno ou contratar serviço externo de resposta a incidentes
  • Criar playbooks para os incidentes mais prováveis (ransomware, DDoS, data breach)
📦 Entregáveis da Semana 5
  • Risk Assessment Report atualizado
  • Incident Response Plan completo (alinhado com NIS2)
  • Playbooks de resposta a incidentes (top 5 cenários)
📥 Templates para esta semana (13 documentos)
W Política de segurança da informação ⬇ Word
W Plano de resposta a incidentes ⬇ Word
W Notificação CNCS 24 horas ⬇ Word
W Notificação CNCS 72 horas ⬇ Word
W Relatório final 30 dias ⬇ Word
W Notificação a destinatários ⬇ Word
E Registo de incidentes ⬇ Excel
W Política de logging e monitorização ⬇ Word
W Política de violações de dados ⬇ Word
W Matriz de escalação de incidentes ⬇ Word
W Relatório pós-incidente (PIR) ⬇ Word
W Playbook de resposta a ransomware ⬇ Word
W Playbook de violação de dados ⬇ Word
🚨 Template setorial Energia
W Plano de resposta a incidentes - setor energia ⬇ Word
🚨 Template setorial Transportes
W Plano de resposta a incidentes - setor transportes ⬇ Word
🚨 Template setorial Banca
W Plano de resposta a incidentes - setor banca ⬇ Word
🚨 Template setorial Mercados financeiros
W Plano de resposta a incidentes - setor mercados financeiros ⬇ Word
🚨 Template setorial Saúde
W Plano de resposta a incidentes - setor saúde ⬇ Word
🚨 Template setorial Água potável
W Plano de resposta a incidentes - setor água potável ⬇ Word
🚨 Template setorial Águas residuais
W Plano de resposta a incidentes - setor águas residuais ⬇ Word
🚨 Template setorial Infraestrutura digital
W Plano de resposta a incidentes - setor infraestrutura digital ⬇ Word
🚨 Template setorial Serviços TIC
W Plano de resposta a incidentes - setor serviços tic ⬇ Word
🚨 Template setorial Telecomunicações
W Plano de resposta a incidentes - setor telecomunicações ⬇ Word
🚨 Template setorial Espaço
W Plano de resposta a incidentes - setor espaço ⬇ Word
🚨 Template setorial Correios
W Plano de resposta a incidentes - setor correios ⬇ Word
🚨 Template setorial Resíduos
W Plano de resposta a incidentes - setor resíduos ⬇ Word
🚨 Template setorial Químicos
W Plano de resposta a incidentes - setor químicos ⬇ Word
🚨 Template setorial Alimentar
W Plano de resposta a incidentes - setor alimentar ⬇ Word
🚨 Template setorial Indústria
W Plano de resposta a incidentes - setor indústria ⬇ Word
🚨 Template setorial Investigação
W Plano de resposta a incidentes - setor investigação ⬇ Word
🚨 Template setorial Administração pública
W Plano de resposta a incidentes - setor administração pública ⬇ Word
Semana 6

Business Continuity e Backup

⏱️ Dias 38-44
  • Criar/atualizar Business Continuity Plan (BCP) e Disaster Recovery Plan (DRP)
  • Realizar Business Impact Analysis (BIA) para identificar RTOs e RPOs
  • Implementar solução de backup robusta (regra 3-2-1: 3 cópias, 2 meios, 1 offsite)
  • Configurar backups imutáveis (proteção contra ransomware)
  • Testar procedimentos de restore de dados críticos
  • Documentar procedimentos de recuperação passo-a-passo para sistemas críticos
📦 Entregáveis da Semana 6
  • Business Continuity Plan (BCP) completo
  • Disaster Recovery Plan (DRP) testado
  • Solução de backup operacional e testada
  • Business Impact Analysis (BIA) documentado
📥 Templates para esta semana (8 documentos)
W Plano de continuidade de negócio ⬇ Word
W Plano de recuperação de desastres ⬇ Word
E Análise de impacto no negócio ⬇ Excel
W Procedimento de testes PCN ⬇ Word
W Política de backups ⬇ Word
W Plano de gestão de crises ⬇ Word
W Plano de comunicação de crises ⬇ Word
W Plano de comunicações de emergência ⬇ Word
Semana 7

Segurança da Cadeia de Fornecimento

⏱️ Dias 45-51
  • Inventariar todos os fornecedores críticos (IT, cloud, software, services)
  • Avaliar risco de cibersegurança de cada fornecedor (questionário de due diligence)
  • Atualizar contratos com cláusulas de segurança e auditoria (SLAs de segurança)
  • Implementar processo de vendor risk management contínuo
  • Definir critérios de segurança obrigatórios para novos fornecedores
  • Criar plano de descontinuação para fornecedores que não cumpram requisitos
📦 Entregáveis da Semana 7
  • Inventário completo de fornecedores críticos
  • Relatório de avaliação de risco da supply chain
  • Contratos atualizados com cláusulas de segurança NIS2
  • Política de Vendor Risk Management
📥 Templates para esta semana (5 documentos)
W Política de cadeia de fornecimento ⬇ Word
E Inventário de fornecedores ⬇ Excel
W Cláusulas de segurança para fornecedores ⬇ Word
W Questionário de due diligence de fornecedor ⬇ Word
E Scorecard de avaliação de fornecedor ⬇ Excel
Semana 8

Controlos Técnicos Core

⏱️ Dias 52-60
  • Implementar/otimizar solução de gestão de vulnerabilidades (scanning automatizado)
  • Definir SLAs de patch management (crítico: 24-48h, alto: 7 dias, médio: 30 dias)
  • Deploy de MFA (Multi-Factor Authentication) em todos os acessos críticos
  • Implementar/fortalecer criptografia (dados em repouso e em trânsito)
  • Implementar SIEM (Security Information and Event Management) ou melhorar logging
  • Revisar e fortalecer controlos de acesso (princípio do menor privilégio)
📦 Entregáveis da Semana 8
  • Solução de vulnerability management operacional
  • MFA implementado em todos os sistemas críticos
  • Criptografia ativada (AES-256 ou superior)
  • SIEM configurado com alertas críticos
📥 Templates para esta semana (15 documentos)
W Política de gestão de vulnerabilidades ⬇ Word
W Política de controlo de acessos ⬇ Word
W Política de passwords ⬇ Word
W Política de autenticação MFA ⬇ Word
W Política de criptografia ⬇ Word
W Política de segurança de rede ⬇ Word
W Política de desenvolvimento seguro ⬇ Word
W Política de aquisição e manutenção TIC ⬇ Word
W Política de comunicações seguras ⬇ Word
W Procedimento de gestão de alterações ⬇ Word
W Política de gestão de patches ⬇ Word
W Procedimento de divulgação de vulnerabilidades ⬇ Word
W Procedimento de gestão de chaves criptográficas ⬇ Word
W Procedimento de revisão periódica de acessos ⬇ Word
E Matriz de gestão de identidades (IAM) ⬇ Excel
3
Dias 61-90

Fase 3: Validação e Certificação

Auditoria interna, remediação de gaps, documentação e preparação para fiscalização

Duração: 30 dias
Equipa: Auditoria, CISO, Compliance, Legal
Entregáveis: 5 documentos finais
Templates: 24 documentos
Semana 9

Auditoria Interna e Testes

⏱️ Dias 61-67
  • Conduzir auditoria interna completa contra as 9 medidas do Artigo 21
  • Realizar testes de penetração (pentest) em sistemas críticos
  • Testar procedimentos de resposta a incidentes (tabletop exercise)
  • Testar Business Continuity Plan (simulação de disaster recovery)
  • Verificar eficácia de backups (teste de restore completo)
  • Documentar todos os resultados dos testes e gaps identificados
📦 Entregáveis da Semana 9
  • Relatório de auditoria interna completo
  • Relatório de pentest com vulnerabilidades críticas
  • Relatório de testes de IR e BCP
  • Lista de ações corretivas prioritárias
📥 Templates para esta semana (6 documentos)
W Plano de auditoria interna ⬇ Word
W Relatório de auditoria ⬇ Word
W Política de auditoria e compliance ⬇ Word
W Metodologia de medição de eficácia ⬇ Word
E Dashboard de KPIs de segurança ⬇ Excel
E Registo de revisões periódicas ⬇ Excel
Semana 10

Remediação de Gaps Críticos

⏱️ Dias 68-74
  • Corrigir vulnerabilidades críticas identificadas no pentest
  • Implementar ações corretivas da auditoria interna (prioridade alta)
  • Ajustar procedimentos de IR com base nos resultados dos testes
  • Melhorar configurações de SIEM/logging com base em gaps identificados
  • Re-testar controlos críticos após remediação
  • Documentar evidências de remediação para auditoria externa
📦 Entregáveis da Semana 10
  • Relatório de remediação completo
  • Evidências de correção de vulnerabilidades
  • Re-teste de controlos críticos (pass/fail)
📥 Templates para esta semana (2 documentos)
E Registo de não-conformidades ⬇ Excel
E Plano de ações corretivas ⬇ Excel
Semana 11

Documentação e Políticas

⏱️ Dias 75-81
  • Finalizar todas as políticas de cibersegurança obrigatórias
  • Documentar todos os procedimentos operacionais (SOPs) de segurança
  • Criar Statement of Applicability (SoA) mapeando controlos NIS2
  • Documentar arquitetura de segurança e diagrama de rede
  • Preparar dossiê de conformidade para autoridade competente
  • Obter aprovação formal do órgão de gestão em todas as políticas
📦 Entregáveis da Semana 11
  • Políticas de cibersegurança aprovadas pelo órgão de gestão
  • SOPs (Standard Operating Procedures) completos
  • Statement of Applicability (SoA) NIS2
  • Dossiê de conformidade para autoridades
📥 Templates para esta semana (9 documentos)
W Política de classificação de dados ⬇ Word
W Política de trabalho remoto ⬇ Word
W Política de segurança física ⬇ Word
W Política de gestão de ativos ⬇ Word
W Política de segurança de RH ⬇ Word
W Política de transferência de informação ⬇ Word
W Guia de ciber-higiene ⬇ Word
W Avaliação de impacto (AIPD) ⬇ Word
E Statement of applicability (SoA) NIS2 ⬇ Excel
Semana 12

Formação e Preparação Final

⏱️ Dias 82-90
  • Realizar formação de awareness para TODOS os colaboradores
  • Formação especializada para CSIRT e equipas técnicas
  • Briefing executivo para órgão de gestão (responsabilidades Artigo 20)
  • Preparar registo junto da autoridade competente (CNCS, ANACOM, etc.)
  • Estabelecer programa de melhoria contínua e métricas de monitorização
  • Celebrar conclusão do roadmap de 90 dias!
📦 Entregáveis da Semana 12
  • Certificados de formação de awareness (100% colaboradores)
  • Certificados de formação técnica (CSIRT/IT)
  • Registo submetido à autoridade competente
  • Dashboard de métricas de segurança operacional
  • CONFORMIDADE NIS2 ALCANÇADA ✓
📥 Templates para esta semana (7 documentos)
W Programa de formação e sensibilização ⬇ Word
E Plano de formação anual ⬇ Excel
W Termo de confidencialidade ⬇ Word
W Checklist de onboarding ⬇ Word
W Checklist de offboarding ⬇ Word
E Registo de presenças em formação ⬇ Excel
W Formulário de registo junto do CNCS ⬇ Word

Quick Wins: Primeiros 7 Dias

Ações imediatas que pode implementar na primeira semana para ganhar tração

⚡ Dia 1: MFA Obrigatório

Ativar Multi-Factor Authentication em TODOS os acessos administrativos (Office 365, VPN, AWS, etc.)

⚡ Dia 2: Backups Imutáveis

Configurar backups imutáveis (proteção contra ransomware) em sistemas críticos

⚡ Dia 3: Patch Critical

Aplicar patches críticos pendentes em todos os sistemas (prioridade: servidores expostos)

⚡ Dia 4: Inventory Completo

Criar inventário de TODOS os ativos IT (hardware, software, cloud services)

⚡ Dia 5: IR Contacts

Definir contactos de emergência 24/7 para incidentes de cibersegurança

⚡ Dia 6: Logging Ativado

Ativar logging detalhado em todos os sistemas críticos (retenção mínima 90 dias)

⚡ Dia 7: C-Level Briefing

Apresentar ao órgão de gestão as responsabilidades NIS2 e cronograma de 90 dias

Recursos Necessários para 90 Dias

👥
Equipa (FTEs)

1x CISO/Security Lead (tempo integral)
1-2x IT Engineers (50-75%)
1x Legal/Compliance (25%)
C-Level sponsor (10%)

💰
Budget Típico

PME: €50.000 - €150.000
Grande Empresa: €150.000 - €500.000+
Inclui: ferramentas, consultoria, formação, auditorias

🛠️
Ferramentas Essenciais

SIEM/Log Management
Vulnerability Scanner
Backup Solution
MFA Platform
EDR/Antivirus
GRC Platform (opcional)

📚
Consultoria Externa

Gap Analysis (5-10 dias)
Pentesting (3-5 dias)
Auditoria NIS2 (5-7 dias)
Formação especializada (2-3 dias)

Dica: Utilize a Calculadora de Custos NIS2 para estimar o orçamento específico para a sua organização.

Roadblocks Comuns e Soluções

⚠️ Falta de Budget Aprovado

C-Level recusa ou adia aprovação do orçamento necessário para implementação.

✅ Solução

Apresentar análise de custo de NÃO-conformidade: coimas até €10M + danos reputacionais + responsabilização pessoal do órgão de gestão (Artigo 20). Mostrar ROI de cibersegurança.

⚠️ Resistência de Colaboradores

Equipas resistem a mudanças (ex: MFA, políticas de passwords, restrições de acesso).

✅ Solução

Comunicação top-down do C-Level sobre importância. Formação de awareness focada em benefícios (proteção de dados pessoais, segurança do emprego). Implementação gradual com suporte dedicado.

⚠️ Sistemas Legacy Incompatíveis

Sistemas antigos não suportam controlos modernos (MFA, criptografia, logging).

✅ Solução

Aplicar controlos compensatórios (segmentação de rede, WAF, monitorização intensiva). Planear migração/substituição de sistemas críticos legacy. Documentar exceções justificadas com plano de remediação.

⚠️ Falta de Skills Internos

Equipa IT não tem expertise em cibersegurança avançada (SIEM, IR, pentest).

✅ Solução

Contratar consultores externos para gap analysis e implementação inicial. Investir em formação certificada para equipa (CISSP, CEH, CISM). Considerar serviços geridos (SOC-as-a-Service, IR-as-a-Service).

⚠️ Fornecedores Não-Conformes

Fornecedores críticos recusam cláusulas de segurança ou auditorias.

✅ Solução

Escalar para C-Level: conformidade NIS2 é requisito regulatório inegociável. Aplicar controlos compensatórios (segmentação, monitorização de acesso). Planear substituição de fornecedores não-conformes.

⚠️ Timeline Irrealista

90 dias parecem impossíveis devido à complexidade da organização.

✅ Solução

Priorizar controlos críticos primeiro (MFA, backups, IR, patching). Aceitar conformidade "good enough" em 90 dias + plano de melhoria contínua para os 6 meses seguintes. Focar em quick wins.

Precisa de todos os 79 templates?

Descarregue o pacote completo em ZIP ou explore por categoria na página de templates.

⬇ Descarregar pacote completo (ZIP) Ver todos os templates

Pronto para Começar?

Use as nossas ferramentas para avaliar onde está e planear a sua jornada de conformidade NIS2.

Calcular Classificação Quiz de conformidade Estimar Custos