NIS2 Portugal

0% personalizado
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Em conformidade com a Diretiva NIS2 (UE) 2022/2555 e Lei n.º 59/2025
Organização:
[NOME DA ORGANIZAÇÃO]
Versão:
[1.0]
Data de Aprovação:
[DATA]
Responsável:
[NOME DO RESPONSÁVEL]

Índice

  1. Preâmbulo
  2. Objetivos da Política
  3. Âmbito de Aplicação
  4. Princípios Fundamentais
  5. Responsabilidades
  6. Gestão de Riscos de Cibersegurança
  7. Controlos de Segurança (Artigo 21.º NIS2)
  8. Gestão de Ativos
  9. Controlo de Acessos
  10. Gestão de Incidentes de Segurança
  11. Continuidade de Negócio e Recuperação de Desastres
  12. Segurança da Cadeia de Fornecimento
  13. Formação e Sensibilização
  14. Conformidade e Auditoria
  15. Revisão e Atualização
1.

Preâmbulo

A presente Política de Segurança da Informação é estabelecida por [NOME DA ORGANIZAÇÃO] em cumprimento das obrigações decorrentes da Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho (Diretiva NIS2) e da sua transposição para o ordenamento jurídico português através da Lei n.º 59/2025.

Esta política reflete o compromisso do órgão de gestão da organização com a segurança da informação, a proteção de dados e a resiliência operacional, reconhecendo que a cibersegurança é um elemento estratégico fundamental para a continuidade das operações e a proteção dos interesses de todas as partes interessadas.

Enquadramento Legal: Diretiva (UE) 2022/2555 (NIS2), Lei n.º 59/2025, Regulamento (UE) 2016/679 (RGPD), Lei n.º 58/2019 (Lei de Proteção de Dados)

Aprovação: Esta política foi aprovada pelo órgão de gestão em [DATA DE APROVAÇÃO] e é de cumprimento obrigatório por todos os colaboradores, prestadores de serviços e terceiros com acesso aos sistemas e informação da organização.

2.

Objetivos da Política

A presente política tem como objetivos principais:

  • Proteger a confidencialidade, integridade e disponibilidade da informação e dos sistemas de informação da organização;
  • Estabelecer o quadro de gestão de riscos de cibersegurança em conformidade com o Artigo 21.º da Diretiva NIS2;
  • Definir responsabilidades claras ao nível do órgão de gestão, quadros superiores e todos os colaboradores;
  • Garantir a conformidade com os requisitos legais e regulamentares aplicáveis;
  • Promover uma cultura de segurança através da formação e sensibilização contínua;
  • Assegurar a continuidade das operações críticas através de planos eficazes de continuidade de negócio;
  • Proteger a cadeia de fornecimento através da gestão adequada dos riscos de terceiros;
  • Garantir a resposta adequada a incidentes de segurança da informação e ciberataques.
Referência NIS2: Artigo 21.º - Medidas de gestão de riscos de cibersegurança
3.

Âmbito de Aplicação

3.1. Entidades Abrangidas

Esta política aplica-se a:

  • [NOME DA ENTIDADE] e todas as suas unidades organizacionais;
  • Todos os colaboradores, independentemente do tipo de vínculo contratual;
  • Prestadores de serviços, fornecedores e parceiros com acesso aos sistemas ou informação da organização;
  • Órgãos sociais e membros do órgão de gestão.

3.2. Ativos Abrangidos

A política abrange todos os ativos de informação, incluindo:

  • Sistemas de informação, redes e infraestruturas TIC;
  • Dados em formato digital e físico;
  • Aplicações e software;
  • Equipamentos informáticos e dispositivos móveis;
  • Documentação técnica e operacional;
  • Propriedade intelectual e informação confidencial.

3.3. Localização Geográfica

Esta política aplica-se a todas as operações da organização em [PORTUGAL / UNIÃO EUROPEIA / OUTRAS LOCALIZAÇÕES].

4.

Princípios Fundamentais

A segurança da informação na organização baseia-se nos seguintes princípios:

4.1. Confidencialidade

A informação é acessível apenas a pessoas autorizadas, garantindo que dados sensíveis e confidenciais não são divulgados indevidamente.

4.2. Integridade

A informação e os sistemas são protegidos contra modificações não autorizadas, garantindo a exatidão e completude dos dados.

4.3. Disponibilidade

Os sistemas e a informação estão acessíveis e operacionais quando necessário, minimizando interrupções de serviço.

4.4. Autenticidade

A identidade dos utilizadores e a origem da informação são verificáveis de forma fiável.

4.5. Responsabilização

Todas as ações nos sistemas são rastreáveis aos respetivos utilizadores através de registos adequados.

4.6. Defesa em Profundidade

Múltiplas camadas de segurança são implementadas para proteger ativos críticos.

4.7. Menor Privilégio

Os utilizadores recebem apenas os acessos estritamente necessários para desempenhar as suas funções.

4.8. Melhoria Contínua

A segurança da informação é objeto de revisão e melhoria contínua, adaptando-se à evolução das ameaças e tecnologias.

5.

Responsabilidades

Requisito NIS2: Artigo 20.º - Governação (responsabilidades do órgão de gestão)

5.1. Órgão de Gestão

O órgão de gestão é responsável por:

  • Aprovar a Política de Segurança da Informação e garantir a sua implementação;
  • Supervisionar as medidas de gestão de riscos de cibersegurança;
  • Participar em formação obrigatória sobre cibersegurança;
  • Aprovar investimentos e recursos necessários para a segurança da informação;
  • Avaliar a eficácia das medidas implementadas;
  • Responder perante as autoridades competentes pelo cumprimento das obrigações NIS2.

5.2. Responsável pela Segurança da Informação (CISO/RISI)

Identificação: [NOME E CARGO DO CISO]

Responsabilidades:

  • Coordenar a implementação desta política;
  • Gerir o programa de gestão de riscos de cibersegurança;
  • Reportar ao órgão de gestão sobre o estado da segurança;
  • Coordenar a resposta a incidentes de segurança;
  • Garantir a conformidade com requisitos legais e regulamentares;
  • Promover a formação e sensibilização em cibersegurança.

5.3. Responsáveis de Departamento

  • Garantir o cumprimento desta política nas suas áreas de responsabilidade;
  • Identificar e comunicar riscos de segurança;
  • Assegurar que os colaboradores recebem formação adequada;
  • Participar na classificação e proteção de ativos de informação;
  • Colaborar na gestão de incidentes de segurança.

5.4. Todos os Colaboradores

  • Cumprir integralmente esta política e procedimentos associados;
  • Proteger as credenciais de acesso;
  • Reportar imediatamente incidentes ou suspeitas de segurança;
  • Participar nas ações de formação obrigatórias;
  • Utilizar os sistemas e informação apenas para fins profissionais autorizados;
  • Proteger os ativos da organização contra perda, roubo ou acesso não autorizado.

5.5. Equipa de Tecnologias de Informação

  • Implementar e manter controlos técnicos de segurança;
  • Gerir vulnerabilidades e aplicar patches de segurança;
  • Monitorizar sistemas e redes para detetar anomalias;
  • Executar cópias de segurança e testar procedimentos de recuperação;
  • Apoiar a resposta a incidentes de segurança.
6.

Gestão de Riscos de Cibersegurança

Requisito NIS2: Artigo 21.º, n.º 1 - Medidas baseadas na abordagem de todos os riscos

6.1. Abordagem de Gestão de Riscos

A organização adota uma abordagem estruturada de gestão de riscos de cibersegurança baseada em:

  • Identificação e inventariação de ativos críticos;
  • Avaliação de ameaças e vulnerabilidades;
  • Análise de impacto e probabilidade;
  • Tratamento de riscos (mitigar, transferir, aceitar ou evitar);
  • Monitorização e revisão contínua.

Metodologia: [ISO 27005 / NIST CSF / OUTRA METODOLOGIA]

6.2. Avaliação de Riscos

Avaliações formais de risco são realizadas:

  • Anualmente, de forma abrangente;
  • Sempre que ocorram mudanças significativas nos sistemas ou processos;
  • Após incidentes de segurança relevantes;
  • Quando novos serviços ou tecnologias são implementados.

6.3. Apetite ao Risco

O órgão de gestão define o nível de risco aceitável para a organização em [BAIXO / MÉDIO / OUTRO], estabelecendo critérios claros para aceitação, mitigação ou transferência de riscos.

6.4. Documentação e Reporte

Todos os riscos identificados são documentados num registo de riscos, que é:

  • Atualizado regularmente;
  • Reportado ao órgão de gestão trimestralmente;
  • Utilizado para orientar decisões de investimento em segurança;
  • Sujeito a auditoria interna e externa.
7.

Controlos de Segurança (Artigo 21.º NIS2)

Requisito NIS2: Artigo 21.º, n.º 2 - Medidas mínimas de cibersegurança

Em conformidade com o Artigo 21.º da Diretiva NIS2, a organização implementa as seguintes medidas técnicas e organizacionais:

7.1. Políticas de Análise de Riscos e Segurança dos Sistemas

NIS2 Art. 21.º(2)(a)

  • Avaliação regular de riscos de cibersegurança (conforme secção 6);
  • Análise de impacto para sistemas críticos;
  • Segurança by design em novos desenvolvimentos;
  • Testes de segurança antes da entrada em produção;
  • Revisão periódica da arquitetura de segurança.

Periodicidade: Avaliações anuais e após mudanças significativas.

7.2. Tratamento de Incidentes

NIS2 Art. 21.º(2)(b)

  • Plano de Resposta a Incidentes documentado e aprovado;
  • Equipa de Resposta a Incidentes (CSIRT) identificada: [EQUIPA/CONTACTO];
  • Procedimentos de deteção, análise, contenção e recuperação;
  • Notificação obrigatória ao CSIRT nacional e autoridade competente;
  • Análise post-incidente e lições aprendidas.

Tempo de Resposta: Notificação inicial em 24h, análise detalhada em 72h (conforme Lei n.º 59/2025).

7.3. Continuidade de Negócio e Gestão de Crises

NIS2 Art. 21.º(2)(c)

  • Plano de Continuidade de Negócio (PCN) para serviços essenciais;
  • Plano de Recuperação de Desastres (PRD) testado regularmente;
  • Sistemas de backup e recuperação com RTOs e RPOs definidos;
  • Procedimentos de gestão de crises e comunicação;
  • Testes anuais de simulação de crise.

Objetivos: RTO [X horas], RPO [X horas]

7.4. Segurança da Cadeia de Fornecimento

NIS2 Art. 21.º(2)(d)

  • Avaliação de riscos de segurança de fornecedores e prestadores de serviços;
  • Cláusulas contratuais de segurança obrigatórias;
  • Auditorias a fornecedores críticos;
  • Gestão de acessos de terceiros;
  • Monitorização contínua de fornecedores de alto risco.

Responsável: [DEPARTAMENTO/RESPONSÁVEL]

7.5. Medidas de Aquisição, Desenvolvimento e Manutenção de Sistemas

NIS2 Art. 21.º(2)(e)

  • Requisitos de segurança em processos de aquisição;
  • Desenvolvimento seguro de software (SDLC);
  • Testes de segurança e análise de código;
  • Gestão de patches e atualizações de segurança;
  • Controlo de mudanças com avaliação de impacto em segurança.

SLA Patches Críticos: [X dias após disponibilização]

7.6. Práticas de Avaliação da Eficácia de Medidas de Gestão de Riscos

NIS2 Art. 21.º(2)(f)

  • Auditorias internas de segurança anuais;
  • Testes de penetração e avaliações de vulnerabilidades;
  • Indicadores de desempenho de segurança (KPIs);
  • Revisão de métricas de segurança pelo órgão de gestão;
  • Certificações externas: [ISO 27001 / OUTRA]

7.7. Práticas de Higiene Cibernética e Formação

NIS2 Art. 21.º(2)(g)

  • Programa de sensibilização em cibersegurança para todos os colaboradores;
  • Formação específica para órgão de gestão e funções críticas;
  • Simulações de phishing e engenharia social;
  • Políticas de passwords robustas;
  • Práticas de trabalho remoto seguro;
  • Gestão segura de dispositivos móveis.

Formação Obrigatória: Anualmente para todos, trimestralmente para órgão de gestão.

7.8. Políticas e Procedimentos de Criptografia

NIS2 Art. 21.º(2)(h)

  • Encriptação de dados sensíveis em repouso e em trânsito;
  • Uso de TLS 1.2+ para comunicações;
  • Gestão segura de chaves criptográficas;
  • Encriptação de dispositivos móveis e portáteis;
  • Assinaturas digitais para integridade de dados críticos.

Algoritmos aprovados: [AES-256, RSA-2048+, etc.]

7.9. Segurança de Recursos Humanos, Controlo de Acessos e Gestão de Ativos

NIS2 Art. 21.º(2)(i)

  • Verificações de antecedentes para funções sensíveis;
  • Acordos de confidencialidade (NDAs);
  • Controlo de acessos baseado em funções (RBAC);
  • Revisão periódica de privilégios de acesso;
  • Processos de onboarding e offboarding seguros;
  • Inventário completo de ativos de TI;
  • Classificação de ativos e informação.

7.10. Autenticação Multifator e Comunicações Seguras

NIS2 Art. 21.º(2)(j)

  • Autenticação multifator (MFA) obrigatória para acessos remotos;
  • MFA para contas privilegiadas e acesso a sistemas críticos;
  • Soluções de comunicação segura para informação sensível;
  • VPN para acesso remoto a redes corporativas;
  • Segurança de voz e videoconferência.

MFA obrigatório para: Acessos remotos, administradores, sistemas financeiros, dados pessoais.

8.

Gestão de Ativos

8.1. Inventário de Ativos

A organização mantém um inventário atualizado de todos os ativos de TI, incluindo:

  • Hardware (servidores, workstations, dispositivos móveis, equipamentos de rede);
  • Software (aplicações, sistemas operativos, bases de dados);
  • Dados e bases de dados;
  • Serviços cloud e SaaS;
  • Documentação e procedimentos;
  • Propriedade intelectual.

Responsável pelo inventário: [DEPARTAMENTO TI]

8.2. Classificação de Informação

Toda a informação é classificada segundo os seguintes níveis:

  • PÚBLICA: Informação destinada ao público em geral;
  • INTERNA: Informação para uso interno, sem impacto significativo se divulgada;
  • CONFIDENCIAL: Informação sensível cuja divulgação pode prejudicar a organização;
  • RESTRITA: Informação altamente sensível com acesso estritamente controlado.

8.3. Proprietários de Ativos

Cada ativo crítico tem um proprietário designado responsável por:

  • Classificar o ativo;
  • Definir controlos de segurança apropriados;
  • Autorizar acessos;
  • Garantir a proteção adequada durante todo o ciclo de vida.

8.4. Tratamento e Eliminação Segura

  • Procedimentos de eliminação segura de dados (wiping, destruição física);
  • Desmantelamento seguro de equipamentos;
  • Certificados de destruição para ativos sensíveis;
  • Proteção de dados em equipamentos reutilizados ou vendidos.
9.

Controlo de Acessos

9.1. Política de Controlo de Acessos

Os acessos aos sistemas e informação seguem os princípios de:

  • Menor privilégio: Utilizadores recebem apenas os acessos necessários;
  • Segregação de funções: Funções críticas são separadas;
  • Need-to-know: Acesso baseado na necessidade de conhecer;
  • Revisão regular: Privilégios revistos trimestralmente.

9.2. Gestão de Identidades

  • Contas únicas e pessoais (proibição de contas partilhadas);
  • Processo formal de autorização de acessos;
  • Desativação imediata de contas de colaboradores cessados;
  • Revisão anual de todas as contas ativas;
  • Contas privilegiadas com autenticação forte obrigatória.

9.3. Autenticação

  • Passwords com complexidade mínima: [mínimo 12 caracteres, maiúsculas, minúsculas, números, símbolos];
  • Rotação de passwords: [90 dias];
  • Autenticação multifator (MFA) para acessos críticos;
  • Bloqueio de conta após [5] tentativas falhadas;
  • Gestão segura de passwords (proibição de armazenamento em texto claro).

9.4. Acessos Remotos

  • VPN obrigatória para acesso remoto a recursos corporativos;
  • MFA obrigatória para todos os acessos remotos;
  • Segmentação de rede para acessos remotos;
  • Monitorização de sessões remotas;
  • Aprovação formal para acesso remoto.

9.5. Acessos Privilegiados

  • Contas de administrador separadas das contas normais;
  • Gestão de passwords privilegiadas (PAM/vault);
  • Logging completo de ações privilegiadas;
  • Aprovação dual para mudanças críticas;
  • Revisão semanal de atividades privilegiadas.
10.

Gestão de Incidentes de Segurança

Requisito NIS2: Artigos 23.º e 24.º - Notificação de incidentes significativos

10.1. Definição de Incidente

Um incidente de segurança é qualquer evento que comprometa ou possa comprometer a confidencialidade, integridade ou disponibilidade de sistemas ou informação.

10.2. Classificação de Incidentes

  • CRÍTICO: Impacto grave nos serviços essenciais;
  • ALTO: Impacto significativo em operações ou dados;
  • MÉDIO: Impacto limitado mas requer ação;
  • BAIXO: Impacto mínimo, monitorização necessária.

10.3. Reporte de Incidentes

Contacto para reporte: [email/telefone do CSIRT]

Todos os colaboradores devem reportar imediatamente:

  • Suspeitas de malware ou ransomware;
  • Tentativas de phishing ou engenharia social;
  • Acessos não autorizados;
  • Perda ou roubo de equipamentos;
  • Anomalias em sistemas ou redes;
  • Violações de dados pessoais.

10.4. Processo de Resposta

  1. Deteção e Reporte: Identificação e comunicação imediata;
  2. Análise e Classificação: Avaliação de gravidade e impacto;
  3. Contenção: Isolamento e limitação de danos;
  4. Erradicação: Eliminação da causa raiz;
  5. Recuperação: Restauro de operações normais;
  6. Análise Post-Incidente: Lições aprendidas e melhorias.

10.5. Notificação Regulatória

Incidentes significativos são notificados conforme Lei n.º 59/2025:

  • Alerta Inicial: Até 24 horas após conhecimento;
  • Notificação de Incidente: Até 72 horas (se aplicável);
  • Relatório Intermédio: Até 1 mês (se investigação em curso);
  • Relatório Final: Após resolução completa.

CSIRT Nacional: [CNCS - Centro Nacional de Cibersegurança]

Autoridade Competente: [ANACOM / Outra]

10.6. Comunicação de Incidentes

  • Plano de comunicação interna e externa;
  • Porta-voz designado: [NOME/CARGO];
  • Coordenação com relações públicas e jurídico;
  • Comunicação a clientes/utilizadores afetados quando aplicável;
  • Proteção de reputação organizacional.
11.

Continuidade de Negócio e Recuperação de Desastres

11.1. Plano de Continuidade de Negócio (PCN)

A organização mantém um PCN documentado que garante a continuidade dos serviços essenciais em caso de:

  • Ciberataques (ransomware, DDoS, etc.);
  • Falhas de sistemas críticos;
  • Desastres naturais;
  • Pandemias ou emergências de saúde pública;
  • Falhas de fornecedores críticos.

11.2. Análise de Impacto de Negócio (BIA)

Serviços críticos identificados: [Listar serviços essenciais]

Para cada serviço crítico são definidos:

  • RTO (Recovery Time Objective): Tempo máximo aceitável de indisponibilidade;
  • RPO (Recovery Point Objective): Perda máxima aceitável de dados;
  • MTPD (Maximum Tolerable Period of Disruption): Tempo máximo de interrupção total.

11.3. Estratégias de Continuidade

  • Sites alternativos ou capacidade cloud para sistemas críticos;
  • Redundância de infraestruturas críticas;
  • Procedimentos de trabalho manual/alternativo;
  • Acordos com fornecedores alternativos;
  • Equipas de contingência treinadas.

11.4. Backups e Recuperação

  • Backups diários de sistemas críticos;
  • Regra 3-2-1: 3 cópias, 2 suportes diferentes, 1 off-site;
  • Backups offline (air-gapped) contra ransomware;
  • Testes de recuperação trimestrais;
  • Retenção: [30 dias locais, 1 ano arquivo];
  • Encriptação de backups.

11.5. Testes e Exercícios

O PCN é testado através de:

  • Testes de mesa: Semestralmente;
  • Simulações: Anualmente;
  • Exercícios completos: A cada 2 anos;
  • Documentação de resultados e ações de melhoria.

Próximo teste agendado: [DATA]

11.6. Revisão e Atualização

O PCN é revisto e atualizado:

  • Anualmente;
  • Após incidentes significativos;
  • Quando há mudanças nos processos de negócio;
  • Após testes que identifiquem gaps.
12.

Segurança da Cadeia de Fornecimento

Requisito NIS2: Artigo 21.º(2)(d) - Segurança de relações com fornecedores

12.1. Avaliação de Fornecedores

Todos os fornecedores e prestadores de serviços com acesso a sistemas ou dados são avaliados quanto a:

  • Políticas e práticas de segurança da informação;
  • Certificações de segurança (ISO 27001, SOC 2, etc.);
  • Histórico de incidentes de segurança;
  • Capacidade de resposta a incidentes;
  • Conformidade com RGPD e NIS2;
  • Subcontratação e cadeia de fornecimento alargada.

12.2. Classificação de Fornecedores

Fornecedores são classificados por nível de risco:

  • CRÍTICO: Acesso a sistemas essenciais ou dados sensíveis;
  • ALTO: Acesso a sistemas ou dados importantes;
  • MÉDIO: Acesso limitado a sistemas não críticos;
  • BAIXO: Sem acesso a sistemas ou dados.

12.3. Requisitos Contratuais

Contratos com fornecedores incluem obrigatoriamente:

  • Cláusulas de segurança da informação e confidencialidade;
  • Direito a auditoria (para fornecedores críticos);
  • Obrigação de notificação de incidentes;
  • Requisitos de conformidade legal;
  • Condições de rescisão por falhas de segurança;
  • Proteção de dados e conformidade RGPD;
  • SLAs de segurança e disponibilidade.

12.4. Gestão de Acessos de Terceiros

  • Autorização formal antes de conceder acessos;
  • Princípio do menor privilégio;
  • Contas temporárias com data de expiração;
  • Monitorização de atividades de terceiros;
  • Revogação imediata no fim do contrato;
  • MFA obrigatória para acessos remotos.

12.5. Monitorização e Revisão

  • Revisão anual de fornecedores críticos;
  • Auditorias a fornecedores de alto risco;
  • Monitorização de notícias sobre incidentes em fornecedores;
  • Reavaliação após incidentes de segurança;
  • Planos de contingência para fornecedores críticos.
13.

Formação e Sensibilização

Requisito NIS2: Artigo 21.º(2)(g) - Formação em cibersegurança

13.1. Programa de Sensibilização

A organização implementa um programa contínuo de sensibilização que aborda:

  • Políticas de segurança da informação;
  • Proteção de dados pessoais (RGPD);
  • Deteção de phishing e engenharia social;
  • Gestão segura de passwords;
  • Trabalho remoto seguro;
  • Segurança de dispositivos móveis;
  • Reporte de incidentes;
  • Ameaças emergentes.

13.2. Formação Obrigatória

Todos os colaboradores:

  • Formação inicial no onboarding;
  • Formação anual de atualização (mínimo 2 horas);
  • Testes de conhecimento;
  • Taxa de conclusão obrigatória: 100%.

Órgão de Gestão:

  • Formação específica sobre riscos de cibersegurança;
  • Atualização trimestral sobre ameaças;
  • Cumprimento do Artigo 20.º NIS2.

Funções Técnicas (TI, Segurança):

  • Formação técnica avançada;
  • Certificações profissionais incentivadas;
  • Participação em conferências e workshops.

13.3. Simulações e Testes

  • Campanhas de phishing simulado trimestrais;
  • Exercícios de resposta a incidentes;
  • Testes de engenharia social;
  • Medição de taxas de clique e reporte.

13.4. Campanhas de Comunicação

  • Newsletter mensal de segurança;
  • Alertas sobre ameaças atuais;
  • Posters e materiais visuais;
  • Intranet com recursos de segurança;
  • Reconhecimento de boas práticas.

13.5. Avaliação de Eficácia

A eficácia do programa é medida através de:

  • Taxa de conclusão de formações;
  • Resultados de testes de conhecimento;
  • Taxa de clique em phishing simulado;
  • Taxa de reporte de incidentes;
  • Inquéritos de cultura de segurança.

Meta: Taxa de clique em phishing [< 5%]

14.

Conformidade e Auditoria

14.1. Requisitos Legais e Regulamentares

A organização garante conformidade com:

  • Diretiva (UE) 2022/2555 (NIS2);
  • Lei n.º 59/2025 (transposição NIS2 em Portugal);
  • Regulamento (UE) 2016/679 (RGPD);
  • Lei n.º 58/2019 (Lei de Proteção de Dados);
  • Regulamentos setoriais aplicáveis: [Identificar regulamentos específicos do setor];
  • Normas técnicas relevantes (ISO 27001, NIST, etc.).

14.2. Programa de Auditoria

Auditorias Internas:

  • Auditoria anual de segurança da informação;
  • Auditorias específicas por domínio (controlos de acesso, backups, etc.);
  • Follow-up de ações corretivas;
  • Responsável: [Auditoria Interna / CISO]

Auditorias Externas:

  • Auditoria externa a cada [2 anos];
  • Certificações: [ISO 27001 / Outra];
  • Testes de penetração anuais;
  • Assessments de vulnerabilidades.

14.3. Monitorização de Conformidade

  • Dashboard de KPIs de segurança;
  • Reporte trimestral ao órgão de gestão;
  • Registo de não conformidades;
  • Planos de ação para gaps identificados;
  • Tracking de ações corretivas.

14.4. Supervisão e Fiscalização

A organização colabora com as autoridades competentes:

  • Autoridade Competente NIS2: [ANACOM / Outra];
  • CNPD: Para questões de proteção de dados;
  • CNCS: Centro Nacional de Cibersegurança;
  • Disponibilização de informação e documentação quando solicitado;
  • Participação em inspeções e auditorias regulatórias.

14.5. Tratamento de Não Conformidades

Quando identificadas não conformidades:

  • Análise de causa raiz;
  • Plano de ação corretiva com prazos;
  • Aprovação pelo órgão de gestão (se crítica);
  • Implementação e verificação;
  • Documentação e lições aprendidas.
15.

Revisão e Atualização

15.1. Periodicidade de Revisão

Esta política é revista e atualizada:

  • Anualmente: Revisão completa programada;
  • Após incidentes significativos: Quando revelam gaps na política;
  • Alterações legais: Quando há mudanças na legislação aplicável;
  • Mudanças organizacionais: Fusões, aquisições, mudanças de negócio;
  • Evolução tecnológica: Adoção de novas tecnologias significativas.

Próxima revisão agendada: [DATA]

15.2. Processo de Atualização

  1. Recolha de inputs (auditorias, incidentes, mudanças legais);
  2. Proposta de alterações pelo CISO;
  3. Consulta às partes interessadas;
  4. Aprovação pelo órgão de gestão;
  5. Comunicação da nova versão;
  6. Formação sobre alterações significativas;
  7. Arquivo da versão anterior.

15.3. Controlo de Versões

Todas as versões são controladas com:

  • Número de versão;
  • Data de aprovação;
  • Resumo de alterações;
  • Aprovador;
  • Arquivo de versões anteriores.

15.4. Comunicação e Divulgação

A política atualizada é:

  • Publicada na intranet;
  • Comunicada a todos os colaboradores;
  • Incluída no processo de onboarding;
  • Acessível a todas as partes interessadas;
  • Disponibilizada às autoridades quando solicitado.

15.5. Responsável pela Gestão desta Política

Proprietário da Política: [CISO / Responsável pela Segurança]

Aprovador: [CEO / Órgão de Gestão]

Contacto: [email/telefone]

Histórico de Versões

Versão Data Alterações Aprovador
1.0 [DATA] Versão inicial [NOME]

Este documento foi criado em conformidade com a Diretiva (UE) 2022/2555 (NIS2) e Lei n.º 59/2025.
Template disponibilizado por NIS2 Portugal - https://nis2portugal.pt