NIS2 Portugal

0% personalizado
PLANO DE CONTINUIDADE DE NEGÓCIO (BCP)
Em conformidade com a Diretiva NIS2 (UE) 2022/2555 - Artigo 21.º(2)(c) e Lei n.º 59/2025
Organização:
[NOME DA ORGANIZAÇÃO]
Versão:
[1.0]
Data de Aprovação:
[DATA]
Próxima Revisão:
[DATA]

Índice

  1. Preâmbulo
  2. Objetivos de Continuidade
  3. Análise de Impacto no Negócio (BIA)
  4. Estratégias de Continuidade
  5. Procedimentos de Ativação
  6. Equipa de Gestão de Crises
  7. Plano de Comunicação
  8. Procedimentos de Recuperação
  9. Backups e Restauro
  10. Testes e Exercícios
  11. Fornecedores Críticos
  12. Revisão e Manutenção
1.

Preâmbulo

O presente Plano de Continuidade de Negócio (BCP) é estabelecido por [NOME DA ORGANIZAÇÃO] em cumprimento das obrigações decorrentes da Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho (Diretiva NIS2) e da sua transposição para o ordenamento jurídico português através da Lei n.º 59/2025.

Enquadramento Legal - Artigo 21.º, n.º 2, alínea c): "Políticas e procedimentos relativos à continuidade das atividades, tais como a gestão de cópias de segurança e a recuperação em caso de desastre, e a gestão de crises"

Este plano define as medidas organizacionais e técnicas necessárias para garantir a continuidade dos serviços essenciais da organização em situações de interrupção, incluindo ciberataques, falhas de sistemas, desastres naturais ou outros eventos adversos.

Âmbito: Este BCP aplica-se a todos os processos de negócio críticos, sistemas de informação essenciais, infraestruturas tecnológicas e recursos humanos necessários para manter as operações mínimas viáveis de [NOME DA ORGANIZAÇÃO].

Aprovação: Este plano foi aprovado pelo órgão de gestão em [DATA DE APROVAÇÃO] e constitui um documento de cumprimento obrigatório por todos os colaboradores, equipas de gestão de crises e partes interessadas envolvidas.

Responsável pelo BCP: [NOME E CARGO DO RESPONSÁVEL]

2.

Objetivos de Continuidade

Os objetivos estratégicos deste Plano de Continuidade de Negócio são:

  • Proteger vidas humanas e garantir a segurança de colaboradores, clientes e terceiros;
  • Manter a prestação de serviços essenciais dentro dos parâmetros de RTO e RPO definidos;
  • Minimizar perdas financeiras resultantes de interrupções de serviço;
  • Proteger a reputação da organização através de uma resposta profissional e eficaz;
  • Cumprir obrigações legais e contratuais, incluindo SLAs com clientes;
  • Garantir conformidade com a Diretiva NIS2 e Lei n.º 59/2025;
  • Recuperar sistemas e dados no menor tempo possível;
  • Manter a comunicação eficaz com todas as partes interessadas.

2.1. Objetivos Técnicos de Recuperação

Para os serviços críticos da organização, foram definidos os seguintes objetivos:

Métrica Definição Objetivo
RTO
(Recovery Time Objective)		 Tempo máximo aceitável para restaurar um serviço após uma interrupção [Exemplo: 4 horas para serviços críticos]
RPO
(Recovery Point Objective)		 Quantidade máxima aceitável de perda de dados medida em tempo [Exemplo: 1 hora para dados críticos]
MTPD
(Maximum Tolerable Period of Disruption)		 Período máximo que um processo de negócio pode estar interrompido antes de causar danos irreparáveis [Exemplo: 24 horas]
MBCO
(Minimum Business Continuity Objective)		 Nível mínimo de serviços e recursos necessários para manter operações viáveis [Exemplo: 60% da capacidade normal]
Nota Importante: Estes objetivos devem ser revistos anualmente e ajustados com base em testes de continuidade, mudanças nos processos de negócio e requisitos regulamentares.
3.

Análise de Impacto no Negócio (BIA)

A Análise de Impacto no Negócio (BIA - Business Impact Analysis) identifica os processos críticos da organização, avalia o impacto de interrupções e define prioridades de recuperação.

3.1. Processos Críticos Identificados

Os seguintes processos foram classificados como críticos para a continuidade das operações:

Processo de Negócio Criticidade RTO RPO Responsável
[Exemplo: Processamento de Transações] [Crítico] [4h] [1h] [Departamento/Nome]
[Exemplo: Atendimento ao Cliente] [Alto] [8h] [4h] [Departamento/Nome]
[Exemplo: Infraestrutura de Rede] [Crítico] [2h] [30min] [Departamento/Nome]
[Adicionar processo crítico] [Nível] [Tempo] [Tempo] [Responsável]

3.2. Dependências Críticas

Para cada processo crítico, foram identificadas as seguintes dependências:

  • Sistemas de TI: [Listar sistemas críticos: ERP, CRM, sistemas de pagamento, etc.]
  • Infraestruturas: [Datacenters, redes, energia, climatização, etc.]
  • Fornecedores Críticos: [ISPs, cloud providers, serviços geridos, etc.]
  • Recursos Humanos: [Equipas essenciais, competências especializadas]
  • Dados Críticos: [Bases de dados de clientes, transações, configurações, etc.]

3.3. Análise de Impacto Temporal

O impacto da interrupção de serviços críticos ao longo do tempo:

  • 0-4 horas: [Impacto limitado, operações em buffer]
  • 4-24 horas: [Impacto significativo, perda de receita, SLA breach]
  • 24-72 horas: [Impacto grave, danos reputacionais, perda de clientes]
  • > 72 horas: [Impacto catastrófico, viabilidade da organização em risco]
4.

Estratégias de Continuidade

Para cada processo crítico identificado na BIA, foram definidas estratégias de continuidade específicas:

4.1. Estratégias de Recuperação de TI

  • Datacenter Alternativo: [Hot/Warm/Cold site em localização alternativa]
  • Cloud Backup: [Replicação para cloud pública/privada]
  • Virtualização: [Servidores virtuais para recuperação rápida]
  • Redundância: [Sistemas em cluster, balanceamento de carga]
  • Disaster Recovery as a Service (DRaaS): [Fornecedor/Solução]

4.2. Estratégias de Continuidade Operacional

  • Local de Trabalho Alternativo: [Endereço/Capacidade do local alternativo]
  • Trabalho Remoto: [VPN, acesso remoto seguro, ferramentas colaboração]
  • Processos Manuais: [Procedimentos em papel para operações críticas]
  • Outsourcing Temporário: [Acordos com prestadores de serviços de contingência]

4.3. Estratégias de Continuidade por Cenário

Cenário 1: Ataque Ransomware
  • Ação Imediata: Isolamento de sistemas afetados, ativação de backups offline
  • Recuperação: Restauro a partir de backups air-gapped, reconstrução de sistemas
  • Continuidade: Ativação de processos manuais temporários, comunicação com stakeholders
  • Tempo Estimado: [8-24 horas]
Cenário 2: Falha do Datacenter Principal
  • Ação Imediata: Failover para datacenter secundário/cloud
  • Recuperação: Ativação de sistemas replicados, redirecionamento de tráfego
  • Continuidade: Operações em site alternativo, mobilização de equipas
  • Tempo Estimado: [2-4 horas]
Cenário 3: Indisponibilidade de Pessoal Chave
  • Ação Imediata: Ativação de matriz de substituição, contacto com suplentes
  • Recuperação: Formação acelerada, acesso a documentação crítica
  • Continuidade: Redistribuição de tarefas, mobilização de recursos externos
  • Tempo Estimado: [4-8 horas]
Cenário 4: Falha de Fornecedor Crítico
  • Ação Imediata: Ativação de fornecedor alternativo pré-contratado
  • Recuperação: Migração para serviços alternativos, restauro de conectividade
  • Continuidade: Monitorização reforçada, comunicação com fornecedor
  • Tempo Estimado: [Variável conforme fornecedor]
5.

Procedimentos de Ativação

5.1. Critérios de Ativação do BCP

O Plano de Continuidade de Negócio é ativado quando ocorre uma das seguintes situações:

  • Interrupção Total: Impossibilidade de acesso ou operação dos sistemas/instalações principais
  • Interrupção Parcial Crítica: Falha de processos críticos que ultrapasse o RTO definido
  • Ciberataque Significativo: Ransomware, DDoS ou outro ataque que comprometa serviços essenciais
  • Desastre Natural: Incêndio, inundação, sismo ou outro evento que afete instalações ou infraestruturas
  • Falha de Fornecedor Crítico: Indisponibilidade prolongada de serviço essencial de terceiro
  • Pandemia/Emergência de Saúde: Indisponibilidade massiva de recursos humanos
  • Outro Evento Grave: Qualquer situação que ameace a continuidade das operações críticas

5.2. Autoridade de Ativação

As seguintes pessoas têm autoridade para declarar a ativação do BCP:

  • Primário: [CEO/Gestor Principal - Nome e Contacto]
  • Secundário: [COO/CTO - Nome e Contacto]
  • Terciário: [CISO/Responsável BCP - Nome e Contacto]

5.3. Procedimento de Ativação (Primeiras 4 Horas)

  1. T+0min - Deteção e Alerta:
    • Identificação do incidente/interrupção
    • Alerta imediato à autoridade de ativação
    • Contacto: [Telefone/Email de Emergência 24/7]
  2. T+15min - Avaliação Inicial:
    • Reunião da Equipa de Gestão de Crises (virtual se necessário)
    • Avaliação da gravidade e impacto
    • Decisão: Ativar BCP total, parcial ou monitorizar?
  3. T+30min - Declaração de Ativação:
    • Comunicação formal da ativação do BCP
    • Notificação a todos os membros da Equipa de Gestão de Crises
    • Estabelecimento do Centro de Operações de Crise
  4. T+1h - Mobilização:
    • Convocação de todas as equipas de recuperação
    • Ativação de fornecedores/parceiros críticos
    • Acesso a instalações/sistemas alternativos
    • Primeira comunicação a stakeholders externos
  5. T+2h - Execução:
    • Início dos procedimentos de recuperação conforme prioridades
    • Primeira atualização de status
    • Ajustes ao plano conforme situação real
  6. T+4h - Revisão:
    • Avaliação do progresso face a RTOs
    • Decisões sobre recursos adicionais necessários
    • Comunicação atualizada a todas as partes interessadas
Contacto de Emergência 24/7 para Ativação do BCP:
Telefone: [+351 XXX XXX XXX]
Email: [crisis@empresa.pt]
Localização Física do Centro de Crise: [Endereço]
6.

Equipa de Gestão de Crises

6.1. Estrutura da Equipa

A Equipa de Gestão de Crises (Crisis Management Team - CMT) é responsável por coordenar todas as atividades de continuidade de negócio durante uma crise.

Função Nome Responsabilidades Contactos Suplente
Gestor de Crise [Nome] Decisões estratégicas, autorização de recursos, comunicação executiva [Tel/Email] [Nome]
Coordenador de Recuperação TI [Nome] Recuperação de sistemas, infraestruturas, dados [Tel/Email] [Nome]
Coordenador de Operações [Nome] Continuidade de processos de negócio, recursos humanos [Tel/Email] [Nome]
Responsável de Comunicação [Nome] Comunicação interna/externa, gestão de stakeholders, media [Tel/Email] [Nome]
Responsável Legal/Conformidade [Nome] Obrigações legais, notificações regulatórias (NIS2, RGPD) [Tel/Email] [Nome]
Responsável Financeiro [Nome] Autorização de despesas de emergência, seguros [Tel/Email] [Nome]
Coordenador de Instalações [Nome] Segurança física, acesso a instalações alternativas [Tel/Email] [Nome]

6.2. Responsabilidades da Equipa de Gestão de Crises

  • Avaliar a gravidade do incidente e impacto nos serviços críticos
  • Declarar a ativação do BCP e níveis de resposta
  • Coordenar todas as atividades de recuperação
  • Autorizar recursos financeiros e humanos necessários
  • Tomar decisões estratégicas sobre prioridades de recuperação
  • Garantir comunicação eficaz com todas as partes interessadas
  • Assegurar cumprimento de obrigações legais e regulamentares
  • Coordenar com autoridades externas (CNCS, autoridades NIS2, forças de segurança)
  • Documentar todas as ações e decisões tomadas
  • Declarar o fim da crise e retorno à normalidade

6.3. Ponto de Encontro e Comunicação

Centro de Operações de Crise Primário: [Local/Sala específica]

Centro de Operações de Crise Alternativo: [Local alternativo]

Plataforma de Comunicação Virtual: [Teams/Zoom/Bridge de conferência]

Sistema de Notificação de Massa: [Plataforma/Método]

7.

Plano de Comunicação

7.1. Princípios de Comunicação

  • Tempestividade: Comunicar rapidamente mas com informação verificada
  • Transparência: Ser honesto sobre a situação e impactos
  • Consistência: Mensagem coordenada através de um único porta-voz
  • Regularidade: Atualizações a intervalos definidos, mesmo que sem novidades
  • Empatia: Reconhecer o impacto nas pessoas afetadas

7.2. Matriz de Comunicação

Audiência Responsável Método Frequência Conteúdo
Colaboradores RH/Gestor de Crise Email, SMS, Intranet A cada 2-4h Status, instruções, segurança
Clientes Responsável Comunicação Email, Website, Portal A cada 4-6h Impacto em serviços, ETR, workarounds
Órgão de Gestão Gestor de Crise Telefone, Email A cada 2h Status detalhado, decisões necessárias
Autoridades (CNCS, NIS2) Responsável Legal Portal oficial, Email Conforme obrigações Notificação 24h/72h/atualizações
Media Porta-voz Oficial Press release, Conferência Conforme necessário Comunicado oficial, FAQs
Parceiros/Fornecedores Coordenador Operações Email, Telefone Conforme necessário Impacto, necessidades, coordenação
Seguradoras Responsável Financeiro Telefone, Email formal 24h após ativação Notificação de sinistro, documentação

7.3. Templates de Comunicação

Template - Comunicação Inicial Interna:

ASSUNTO: [URGENTE] Ativação do Plano de Continuidade de Negócio

Caros colaboradores,

Informamos que às [HORA] de [DATA], foi ativado o Plano de Continuidade de Negócio da nossa organização devido a [DESCRIÇÃO BREVE DO INCIDENTE].

Impacto: [DESCRIÇÃO DO IMPACTO]
Ações em curso: [MEDIDAS TOMADAS]
Instruções: [O QUE OS COLABORADORES DEVEM FAZER]

Próxima atualização: [HORA]
Para questões urgentes: [CONTACTO]

Template - Comunicação Externa (Clientes):

ASSUNTO: Atualização de Serviço - [ORGANIZAÇÃO]

Estimado cliente,

Informamos que estamos atualmente a experienciar [DESCRIÇÃO DO PROBLEMA] que está a afetar [SERVIÇOS IMPACTADOS].

Impacto nos nossos serviços: [DESCRIÇÃO]
Tempo estimado de resolução: [ETR]
Soluções temporárias: [WORKAROUNDS se aplicável]

As nossas equipas estão a trabalhar ativamente na resolução. Próxima atualização às [HORA].

Agradecemos a vossa compreensão.

7.4. Porta-Voz Oficial

Porta-voz Primário: [Nome, Cargo, Contacto]

Porta-voz Suplente: [Nome, Cargo, Contacto]

Nota: APENAS os porta-vozes designados podem fazer declarações públicas ou aos media durante uma crise.

8.

Procedimentos de Recuperação

8.1. Recuperação de Infraestruturas de TI

Passo 1: Avaliação de Danos
  • Identificar sistemas e componentes afetados
  • Avaliar integridade de dados e backups
  • Determinar causa raiz (se seguro fazer)
  • Priorizar recuperação conforme BIA
  • Responsável: [Equipa TI]
  • Tempo Estimado: [1-2 horas]
Passo 2: Isolamento e Contenção
  • Isolar sistemas comprometidos da rede
  • Prevenir propagação de malware/ataque
  • Preservar evidências para análise forense
  • Desativar contas comprometidas
  • Responsável: [Equipa Segurança]
  • Tempo Estimado: [30min - 1 hora]
Passo 3: Ativação de Sistemas Alternativos
  • Iniciar sistemas em datacenter alternativo/cloud
  • Redirecionar tráfego de rede (DNS, load balancers)
  • Ativar redundâncias e failovers
  • Validar conectividade e funcionalidade
  • Responsável: [Equipa Infraestruturas]
  • Tempo Estimado: [2-4 horas]
Passo 4: Restauro de Dados
  • Identificar último backup válido (pre-incidente)
  • Validar integridade dos backups
  • Restaurar dados conforme RPO
  • Verificar consistência de dados restaurados
  • Responsável: [DBA/Equipa Backup]
  • Tempo Estimado: [2-6 horas]
Passo 5: Testes e Validação
  • Testes funcionais de sistemas críticos
  • Validação de integridade de dados
  • Testes de conectividade end-to-end
  • Aprovação para retorno ao serviço
  • Responsável: [Equipa QA/Ops]
  • Tempo Estimado: [1-2 horas]
Passo 6: Retorno ao Serviço
  • Comunicação de retorno aos utilizadores
  • Ativação gradual de serviços (se aplicável)
  • Monitorização reforçada
  • Suporte técnico em alerta
  • Responsável: [Gestor de Serviço]
  • Tempo Estimado: [1-2 horas]

8.2. Recuperação de Operações de Negócio

  • Relocalização de Equipas: Mobilizar para local alternativo em [Endereço]
  • Equipamentos: Ativar stock de equipamentos de emergência (laptops, telemóveis, etc.)
  • Acesso Remoto: Configurar VPN e acessos para trabalho remoto
  • Comunicações: Redirecionar linhas telefónicas, ativar call centers alternativos
  • Processos Manuais: Ativar procedimentos em papel para operações críticas (checklist em anexo)

8.3. Recuperação de Instalações Físicas

  • Avaliação de Segurança: Verificar segurança estrutural antes de reocupação
  • Serviços Essenciais: Energia, AVAC, água, comunicações
  • Limpeza e Descontaminação: Se necessário (incêndio, inundação)
  • Equipamentos: Substituição de equipamentos danificados
  • Fornecedor: [Empresa de Facility Management]
9.

Backups e Restauro

Requisito NIS2: Artigo 21.º(2)(c) - Gestão de cópias de segurança e recuperação em caso de desastre

9.1. Estratégia de Backup

A organização implementa uma estratégia de backup baseada na Regra 3-2-1:

  • 3 cópias dos dados (1 primária + 2 backups)
  • 2 tipos de media diferentes (disco local + cloud/tape)
  • 1 cópia off-site (geograficamente separada)

Adicional (Regra 3-2-1-1-0):

  • +1 cópia offline (air-gapped, protegida contra ransomware)
  • 0 erros (verificação regular de integridade)

9.2. Calendário de Backups

Sistema/Dados Frequência Tipo Retenção Localização
[Base de Dados Principal] [A cada 6h] [Incremental] [30d local, 1 ano cloud] [Local + AWS S3]
[Servidores de Aplicação] [Diário] [Full semanal, diff diário] [14d local, 90d cloud] [NAS + Azure]
[Configurações de Rede] [Diário + após mudanças] [Full] [90 dias] [Git + Cloud]
[Ficheiros Colaboradores] [Contínuo (sync)] [Sincronização] [Versionamento 30d] [OneDrive/SharePoint]

9.3. Procedimentos de Restauro

  1. Identificação da Necessidade: Determinar dados/sistemas a restaurar e ponto no tempo
  2. Seleção do Backup: Identificar backup apropriado (último válido antes do incidente)
  3. Verificação de Integridade: Validar checksums e integridade do backup
  4. Restauro Teste (se tempo permitir): Testar em ambiente isolado
  5. Restauro Produção: Executar restauro para ambiente de produção
  6. Validação: Verificar dados restaurados, testes funcionais
  7. Documentação: Registar procedimento e resultados

SLA de Restauro:

  • Dados críticos: [2-4 horas]
  • Dados importantes: [8-12 horas]
  • Dados normais: [24-48 horas]

9.4. Testes de Backup e Recuperação

A eficácia dos backups é validada através de:

  • Testes Mensais: Restauro de amostra aleatória de ficheiros
  • Testes Trimestrais: Restauro completo de sistema não-crítico
  • Testes Anuais: Restauro completo de sistema crítico em ambiente DR
  • Validação Contínua: Verificação automática de integridade de backups

Próximo teste agendado: [DATA]

Responsável pelos testes: [Nome/Equipa]

9.5. Proteção de Backups

  • Encriptação: Todos os backups encriptados com [AES-256]
  • Controlo de Acesso: Acesso restrito a administradores autorizados
  • Imutabilidade: Backups com write-once-read-many (WORM) protection
  • Air-gap: Cópia offline desconectada da rede
  • Monitorização: Alertas de falhas de backup, tentativas de acesso

9.6. Fornecedor de Backup

Solução de Backup: [Veeam/Commvault/Outra]

Armazenamento Cloud: [AWS/Azure/GCP]

Suporte 24/7: [Contacto fornecedor]

10.

Testes e Exercícios

10.1. Programa de Testes

O BCP é testado regularmente através de exercícios de complexidade crescente:

Tipo de Teste Frequência Âmbito Participantes Duração
Teste de Mesa (Tabletop) Semestral Discussão de cenários hipotéticos Equipa de Gestão de Crises 2-4 horas
Simulação Técnica Trimestral Teste de procedimentos técnicos (failover, restauro) Equipas TI 4-8 horas
Exercício Funcional Anual Simulação realista sem impacto em produção Todas as equipas relevantes 1 dia
Exercício Completo (Full-scale) A cada 2 anos Ativação real de site DR, com interrupção controlada Toda a organização 2-3 dias

10.2. Cenários de Teste

Os exercícios abordam diversos cenários, incluindo:

  • Ransomware: Encriptação de sistemas críticos
  • Falha de Datacenter: Indisponibilidade total do datacenter principal
  • DDoS: Ataque de negação de serviço prolongado
  • Falha de Fornecedor: ISP ou cloud provider indisponível
  • Desastre Natural: Incêndio, inundação das instalações
  • Pandemia: Indisponibilidade de >50% do pessoal
  • Violação de Dados: Exfiltração de dados sensíveis

10.3. Avaliação e Melhoria

Após cada teste/exercício:

  1. Debriefing Imediato: Reunião com participantes (hot wash-up)
  2. Relatório de Teste: Documentação de resultados, tempos, problemas
  3. Identificação de Gaps: Análise de falhas ou deficiências
  4. Plano de Ação: Ações corretivas com responsáveis e prazos
  5. Atualização do BCP: Incorporação de lições aprendidas
  6. Reporte ao Órgão de Gestão: Apresentação de resultados e recomendações

10.4. Métricas de Sucesso

Os testes são avaliados contra as seguintes métricas:

  • RTO Alcançado: Sistemas recuperados dentro do RTO definido? (Meta: 100%)
  • RPO Alcançado: Perda de dados dentro do RPO? (Meta: 100%)
  • Ativação do BCP: BCP ativado em <30min? (Meta: >90%)
  • Comunicação: Stakeholders notificados dentro de SLAs? (Meta: >95%)
  • Restauro de Backups: Backups restaurados com sucesso? (Meta: 100%)
  • Coordenação: Equipa de Crises coordenada eficazmente? (Avaliação qualitativa)

10.5. Calendário de Testes

Próximos testes agendados:

  • Teste de Mesa: [DATA]
  • Simulação Técnica: [DATA]
  • Exercício Funcional: [DATA]
  • Exercício Completo: [DATA]

Responsável pela coordenação de testes: [Nome/Cargo]

11.

Fornecedores Críticos

Requisito NIS2: Artigo 21.º(2)(d) - Segurança da cadeia de fornecimento

11.1. Identificação de Fornecedores Críticos

Fornecedores cuja indisponibilidade impactaria a continuidade dos serviços essenciais:

Fornecedor Serviço Criticidade SLA Contacto Emergência Alternativa
[ISP Principal] [Conectividade Internet] [Crítico] [99.9%] [Tel 24/7] [ISP Backup]
[Cloud Provider] [IaaS/PaaS] [Crítico] [99.95%] [Portal/Tel] [Cloud alternativo]
[Fornecedor Energia] [Energia Elétrica] [Crítico] [N/A] [Avarias] [Geradores]
[Adicionar fornecedor] [Serviço] [Nível] [SLA] [Contacto] [Alternativa]

11.2. Gestão de Dependências de Fornecedores

Para cada fornecedor crítico:

  • Avaliação de BCP do Fornecedor: Verificar que o fornecedor tem plano de continuidade próprio
  • Cláusulas Contratuais: SLAs, obrigações de notificação, penalidades
  • Redundância: Fornecedor alternativo ou solução de backup
  • Contactos de Emergência: Disponibilidade 24/7
  • Revisão Regular: Anual ou após incidentes do fornecedor

11.3. Procedimentos em Caso de Falha de Fornecedor

  1. Deteção: Identificação de indisponibilidade do serviço do fornecedor
  2. Notificação: Contacto imediato com fornecedor para ETR
  3. Avaliação de Impacto: Determinar impacto nos serviços próprios
  4. Decisão: Aguardar recuperação vs. ativar alternativa
  5. Ativação de Alternativa: Se ETR > tolerável, mudar para fornecedor/solução alternativa
  6. Comunicação: Informar stakeholders internos/externos
  7. Monitorização: Acompanhar resolução e planear retorno

11.4. Acordos de Nível de Serviço (SLAs)

SLAs com fornecedores críticos incluem:

  • Disponibilidade mínima garantida
  • Tempo máximo de resolução de incidentes
  • Janelas de manutenção acordadas
  • Obrigação de notificação prévia de mudanças
  • Penalidades por incumprimento
  • Direito a auditar o BCP do fornecedor
12.

Revisão e Manutenção

12.1. Periodicidade de Revisão

Este Plano de Continuidade de Negócio é revisto e atualizado nas seguintes situações:

  • Revisão Anual Completa: Revisão abrangente de todos os componentes do BCP
  • Após Ativação Real: Sempre que o BCP for ativado em situação real
  • Após Testes Significativos: Quando exercícios revelarem gaps ou melhorias necessárias
  • Mudanças Organizacionais: Fusões, aquisições, reestruturações, novos serviços
  • Mudanças Tecnológicas: Implementação de novos sistemas críticos
  • Mudanças em Fornecedores: Novos fornecedores críticos ou mudanças de fornecedor
  • Alterações Legais: Mudanças na legislação NIS2 ou outros requisitos
  • Após Incidentes Externos: Lições aprendidas de incidentes no setor

Próxima revisão completa agendada: [DATA]

12.2. Processo de Atualização

  1. Recolha de Inputs: Resultados de testes, auditorias, mudanças organizacionais
  2. Proposta de Alterações: Responsável pelo BCP propõe atualizações
  3. Validação Técnica: Revisão por equipas TI, operações, segurança
  4. Aprovação: Órgão de gestão aprova alterações significativas
  5. Atualização do Documento: Nova versão publicada
  6. Comunicação: Distribuição da versão atualizada a todos os envolvidos
  7. Formação: Briefing sobre alterações significativas
  8. Arquivo: Versão anterior arquivada com controlo de versões

12.3. Controlo de Versões

Todas as versões do BCP são controladas com:

  • Número de Versão: Formato X.Y (X=major, Y=minor)
  • Data de Aprovação: Data oficial de entrada em vigor
  • Resumo de Alterações: Changelog detalhado
  • Aprovador: Membro do órgão de gestão que aprovou
  • Distribuição: Lista de quem recebeu a versão

12.4. Manutenção de Componentes do BCP

Além do documento principal, os seguintes componentes requerem manutenção regular:

  • Contactos de Emergência: Revisão trimestral, atualização imediata quando necessário
  • Lista de Fornecedores Críticos: Revisão semestral
  • Inventário de Sistemas: Atualização contínua, validação trimestral
  • RTOs e RPOs: Revisão anual ou após mudanças de negócio
  • Procedimentos Técnicos: Atualização após mudanças em sistemas
  • Localização de Backups: Verificação mensal

12.5. Responsabilidades de Manutenção

Proprietário do BCP: [Nome e Cargo]

Responsabilidades:

  • Coordenar revisões periódicas
  • Gerir processo de atualização
  • Garantir distribuição de versões atualizadas
  • Manter controlo de versões
  • Reportar estado do BCP ao órgão de gestão

12.6. Formação Contínua

  • Novos Colaboradores: Briefing sobre BCP no onboarding
  • Equipa de Gestão de Crises: Formação anual + após atualizações
  • Equipas Técnicas: Formação em procedimentos específicos
  • Órgão de Gestão: Atualização anual sobre estado do BCP
  • Todos os Colaboradores: Sensibilização sobre papel no BCP

12.7. Auditoria e Conformidade

O BCP é auditado para garantir conformidade com:

  • Diretiva NIS2 (UE) 2022/2555 - Artigo 21.º(2)(c)
  • Lei n.º 59/2025 (transposição NIS2 em Portugal)
  • Normas ISO 22301 (Business Continuity Management)
  • Requisitos setoriais aplicáveis

Frequência de Auditoria: [Anual interna, a cada 2 anos externa]

Última Auditoria: [DATA]

Próxima Auditoria: [DATA]

Histórico de Versões

Versão Data Alterações Aprovador
1.0 [DATA] Versão inicial do BCP [NOME DO APROVADOR]

Este Plano de Continuidade de Negócio foi criado em conformidade com a Diretiva (UE) 2022/2555 (NIS2) - Artigo 21.º(2)(c) e Lei n.º 59/2025.
Template disponibilizado por NIS2 Portugal - https://nis2portugal.pt