Sobre esta Matriz de Riscos
Esta ferramenta interativa permite avaliar e gerir riscos de cibersegurança conforme os requisitos do Artigo 21 da Diretiva NIS2. A avaliação segue uma abordagem "all-hazards" cobrindo:
- Políticas de análise de riscos e segurança dos sistemas de informação
- Identificação de ativos críticos
- Avaliação de vulnerabilidades
- Análise de ameaças
- Avaliação de impacto (considerando probabilidade e severidade)
- Medidas de tratamento de riscos
Como usar: Utilize a matriz 5x5 para visualizar riscos, adicione novos riscos ao registo, defina medidas de mitigação e acompanhe o progresso. Os dados são guardados automaticamente no seu navegador.
Resumo de Riscos
10
Total de Riscos
0
Críticos (19-25)
5
Altos (13-18)
4
Médios (7-12)
1
Baixos (1-6)
Matriz de Riscos 5x5
Muito Baixa
Baixa
Média
Alta
Muito Alta
Muito Alto
5
10
15
20
25
Alto
4
8
12
16
20
Médio
3
6
9
12
15
Baixo
2
4
6
8
10
Muito Baixo
1
2
3
4
5
Eixo Y: Impacto | Eixo X: Probabilidade | Valores: Impacto × Probabilidade
Registo de Riscos
| ID | Categoria | Descrição | Ativos Afetados | Ameaças | Vulnerabilidades | Impacto | Probabilidade | Risco Inerente | Medidas de Mitigação | Responsável | Prazo | Impacto Residual | Prob. Residual | Risco Residual | Estado | Ações |
|---|
Escala de Impacto
| Nível | Descrição | Impacto Operacional | Impacto Financeiro |
|---|---|---|---|
| 1 - Muito Baixo | Sem impacto significativo nos serviços | Sem interrupção | Perdas < €1.000 |
| 2 - Baixo | Impacto mínimo nos serviços | Interrupção < 4 horas | Perdas €1.000 - €10.000 |
| 3 - Médio | Impacto moderado nos serviços | Interrupção < 24 horas | Perdas €10.000 - €100.000 |
| 4 - Alto | Impacto significativo nos serviços críticos | Interrupção 1-7 dias | Perdas €100.000 - €1M |
| 5 - Muito Alto | Impacto crítico, comprometimento total | Interrupção > 7 dias | Perdas > €1M |
Escala de Probabilidade
| Nível | Descrição | Frequência Anual | Qualificação |
|---|---|---|---|
| 1 - Muito Baixa | Evento raro e improvável | < 5% ao ano | Quase impossível |
| 2 - Baixa | Evento improvável mas possível | 5-25% ao ano | Improvável |
| 3 - Média | Evento possível de ocorrer | 25-50% ao ano | Possível |
| 4 - Alta | Evento provável de ocorrer | 50-75% ao ano | Provável |
| 5 - Muito Alta | Evento quase certo de ocorrer | > 75% ao ano | Quase certo |
Recomendações de Tratamento de Riscos
| Nível de Risco | Score | Ação Recomendada | Frequência de Revisão |
|---|---|---|---|
| Crítico | 19-25 | Ação imediata obrigatória. Escalação para gestão de topo. Plano de mitigação urgente. | Mensal |
| Alto | 13-18 | Plano de mitigação prioritário. Alocação de recursos adequados. | Trimestral |
| Médio | 7-12 | Medidas de controlo adequadas. Monitorização regular. | Semestral |
| Baixo | 1-6 | Monitorização contínua. Revisão periódica. | Anual |
Conformidade com NIS2 - Artigo 21
De acordo com o Artigo 21.º, n.º 2, alínea a) da Diretiva NIS2, as entidades essenciais e importantes devem implementar:
"Políticas de análise de riscos de cibersegurança e de segurança dos sistemas de informação"
Esta matriz de riscos cumpre este requisito através de:
- Abordagem "all-hazards" conforme orientações ENISA
- Identificação sistemática de ativos, ameaças e vulnerabilidades
- Avaliação quantitativa de impacto e probabilidade
- Definição de medidas de mitigação proporcionais ao risco
- Acompanhamento de riscos residuais após tratamento
- Revisão periódica alinhada com o estado da arte