1.1 Objetivos do Programa

Este programa de formação visa [criar uma cultura de segurança resiliente] na [Nome da Organização], através de [formação contínua, simulações práticas e campanhas de sensibilização].

Objetivos Principais:

• Reduzir o Risco Humano: Diminuir taxa de cliques em phishing de [atual: 15%] para [objetivo: <5%] em [12 meses]
• Aumentar Reportes: Alcançar taxa de reporte de incidentes de [>60%] através de [formação específica e canais simplificados]
• Conformidade NIS2: Assegurar que [100% dos colaboradores] recebem [formação anual obrigatória]
• Mudança Comportamental: Criar [campeões de segurança em cada departamento] que promovem [boas práticas diariamente]

1.2 Âmbito de Aplicação

O programa aplica-se a [todos os colaboradores, contratados e terceiros com acesso a sistemas], incluindo:

• Colaboradores Internos: [~500 pessoas em todas as localizações]
• Staff Técnico: [TI, DevOps, Segurança - ~50 pessoas]
• Gestão de Topo: [C-Level, Board - ~10 pessoas]
• Terceiros: [Fornecedores com acesso privilegiado - ~30 pessoas]

1.3 Requisitos Legais e Normativos

NIS2 Artigo 20: [Formação obrigatória em cibersegurança para todos os colaboradores]

ISO 27001:2022 A.6.3: [Sensibilização, educação e formação em segurança da informação]

GDPR Artigo 32(4): [Medidas para garantir formação do pessoal que processa dados pessoais]

Frameworks de Referência: [NIST SP 800-50, SANS Security Awareness Maturity Model Level 3]

1.4 Governança do Programa

Security Awareness Manager: [Responsável pelo planeamento, execução e medição do programa]

CISO: [Aprovação estratégica, budget e definição de KPIs]

Recursos Humanos: [Integração em onboarding, tracking de conclusões]

Security Champions Network: [1 champion por departamento, promove formação localmente]

Comité de Revisão: Reunião [trimestral] para análise de [métricas, eficácia e ajustes ao programa]

2.1 Nível 1: Todos os Colaboradores (Formação Base Obrigatória)

Público: [Todos os colaboradores sem exceção]

Duração: [2 horas anuais + micro-learning mensal (15 min)]

Formato: [E-learning interativo, vídeos curtos, quizzes gamificados]

Conteúdos Principais:

• Reconhecimento de phishing e engenharia social
• Gestão segura de passwords e MFA
• Proteção de dados pessoais (GDPR básico)
• Reporte de incidentes de segurança
• Segurança em trabalho remoto
• Política de uso aceitável de sistemas

Avaliação: [Quiz final com mínimo 80% de acerto]

Frequência: [Anual + onboarding para novos colaboradores]

2.2 Nível 2: Staff TI e Gestores de Segurança (Formação Técnica)

Público: [Equipas de TI, DevOps, administradores de sistemas, SOC]

Duração: [16 horas anuais (2 dias) + certificações específicas]

Formato: [Formação presencial/virtual, hands-on labs, simulações]

Conteúdos Principais:

• Secure coding practices (OWASP Top 10)
• Hardening de sistemas operativos e aplicações
• Resposta a incidentes e forensics básico
• Threat intelligence e análise de malware
• Cloud security (AWS/Azure/GCP)
• Container security e DevSecOps

Certificações Recomendadas: [CompTIA Security+, CISSP, CEH, OSCP]

Frequência: [Trimestral + workshops mensais]

2.3 Nível 3: Gestão de Topo e Órgãos de Administração (Formação Estratégica)

Público: [C-Level (CEO, CFO, CTO), Board members, diretores]

Duração: [4 horas semestrais + briefings mensais (30 min)]

Formato: [Executive sessions presenciais, webinars, relatórios executivos]

Conteúdos Principais:

• Panorama de ameaças e tendências de cibersegurança
• Conformidade NIS2 e responsabilidade legal da gestão
• Governança de cibersegurança e gestão de risco
• Business continuity e disaster recovery
• Ciber-seguros e transferência de risco
• Supply chain security e risco de terceiros

Certificação Recomendada: [CISM (Certified Information Security Manager)]

Frequência: [Semestral + threat briefings mensais]

2.4 Nível 4: Funções Especializadas (Formação Avançada Específica)

Públicos Especializados:

• DPO e Compliance: [GDPR avançado, DPIAs, gestão de violações - 8h anuais]
• Procurement: [Vendor risk assessment, due diligence de segurança - 4h anuais]
• Legal: [Ciber-lei, contratos com cláusulas de segurança - 4h anuais]
• Financeiro: [Fraude digital, BEC (Business Email Compromise) - 4h anuais]
• Marketing: [Brand protection, social media security - 4h anuais]

Formato: [Workshops específicos de função, role-based simulations]

3.1 Phishing e Segurança de Email

Objetivo: [Capacitar colaboradores a identificar e reportar tentativas de phishing]

Conteúdos:

• Sinais de alerta em emails suspeitos: [urgência artificial, links suspeitos, remetentes desconhecidos]
• Tipos de phishing: [Spear phishing, whaling, BEC, vishing, smishing]
• Verificação de legitimidade: [Hover sobre links, verificar domínios, contactar remetente por canal alternativo]
• Procedimento de reporte: [Botão "Report Phishing" no Outlook, email security@empresa.pt]

Método de Ensino: [Simulações mensais de phishing com feedback imediato]

3.2 Engenharia Social

Objetivo: [Reconhecer e resistir a técnicas de manipulação psicológica]

Conteúdos:

• Táticas comuns: [Pretexting, baiting, quid pro quo, tailgating]
• Gatilhos psicológicos: [Urgência, autoridade, medo, reciprocidade]
• Proteção de informação sensível: [Nunca partilhar passwords, validar identidade em pedidos incomuns]
• Casos práticos: [Cenários reais de ataques de engenharia social]

Método de Ensino: [Role-playing, vídeos de casos reais, quizzes interativos]

3.3 Segurança de Passwords

Objetivo: [Criar e gerir passwords fortes e únicas]

Conteúdos:

• Requisitos de passwords: [Mínimo 12 caracteres, complexidade, sem reutilização]
• Uso de password managers: [1Password, Bitwarden - formação prática]
• Passphrases: [Técnica de frases memoráveis longas]
• Riscos de reutilização: [Credential stuffing, impact de violações]

Método de Ensino: [Demonstração prática de password manager, quiz de verificação]

3.4 Autenticação Multi-Fator (MFA)

Objetivo: [Compreender importância e usar corretamente MFA]

Conteúdos:

• Tipos de fatores: [Algo que sabe (password), tem (token), é (biometria)]
• Métodos MFA: [SMS (menos seguro), TOTP apps (recomendado), FIDO2/WebAuthn (mais seguro)]
• Setup e uso: [Configuração de Microsoft Authenticator / Google Authenticator]
• MFA fatigue attacks: [Não aprovar notificações não solicitadas]

Método de Ensino: [Tutorial passo-a-passo, hands-on setup session]

3.5 Proteção de Dados (GDPR)

Objetivo: [Entender responsabilidades na proteção de dados pessoais]

Conteúdos:

• Definição de dados pessoais: [PII, dados sensíveis, categorias especiais]
• Princípios GDPR: [Licitude, minimização, exatidão, limitação de conservação]
• Direitos dos titulares: [Acesso, retificação, apagamento, portabilidade]
• Violações de dados: [Obrigação de reporte em 72h, procedimentos internos]

Método de Ensino: [Casos práticos, scenarios de decisão, quiz final]

3.6 Reporte de Incidentes

Objetivo: [Saber identificar e reportar incidentes de segurança rapidamente]

Conteúdos:

• O que constitui incidente: [Phishing, malware, perda de dispositivo, acesso não autorizado]
• Canais de reporte: [Email: security@empresa.pt, Tel: +351 XXX XXX XXX, Portal interno]
• Informação a fornecer: [Quando, onde, o quê, quem, impacto observado]
• Cultura de não-culpabilização: [Reportar é sempre a decisão correta]

Método de Ensino: [Simulação de incidente com prática de reporte]

3.7 Navegação Segura na Internet

Objetivo: [Usar a internet de forma segura em contexto profissional]

Conteúdos:

• Verificação de sites seguros: [HTTPS, certificados válidos, reputação do site]
• Downloads seguros: [Apenas de fontes oficiais, verificar extensões de ficheiros]
• Extensões de browser: [Instalar apenas aprovadas, riscos de permissões excessivas]
• Redes Wi-Fi públicas: [Usar VPN corporativa, evitar transações sensíveis]

Método de Ensino: [Demonstração de navegação segura, checklist visual]

3.8 Segurança de Dispositivos Móveis

Objetivo: [Proteger smartphones e tablets corporativos]

Conteúdos:

• Lock screen obrigatório: [PIN/biometria, timeout de 2 minutos]
• Instalação de apps: [Apenas de app stores oficiais, verificar permissões]
• Perda ou roubo: [Reportar imediatamente, remote wipe disponível]
• BYOD policies: [Separação de dados pessoais/corporativos, MDM]

Método de Ensino: [Tutorial de configuração segura, policies BYOD]

3.9 Segurança Física

Objetivo: [Proteger ativos físicos e prevenir acessos não autorizados]

Conteúdos:

• Clean desk policy: [Documentos sensíveis trancados, ecrãs bloqueados quando ausente]
• Tailgating prevention: [Não segurar portas, validar badges]
• Visitors management: [Sempre acompanhados, badges visíveis]
• Destruição segura: [Shredding de documentos, wiping de dispositivos]

Método de Ensino: [Vídeo de boas práticas, audit de secretárias]

3.10 Trabalho Remoto Seguro

Objetivo: [Manter segurança ao trabalhar fora do escritório]

Conteúdos:

• VPN obrigatória: [Sempre que aceder a recursos corporativos remotamente]
• Ambiente de trabalho seguro: [Privacy screens, não trabalhar em locais públicos com dados sensíveis]
• Rede doméstica: [Mudar password default do router, WPA3 encryption]
• Segurança de videochamadas: [Fundos neutros, atenção a documentos visíveis]

Método de Ensino: [Guia de remote work security, checklist diário]

4.1 Formação de Onboarding

Timing: [Primeira semana de emprego, antes de acesso a sistemas]

Duração: [2 horas de formação inicial]

Conteúdo:

• Políticas de segurança da organização
• Uso aceitável de sistemas e dados
• Setup de MFA e password manager
• Canais de reporte de incidentes
• Assinatura de termos de responsabilidade

Formato: [Sessão presencial + módulo e-learning]

Aprovação obrigatória: [Quiz com 100% de acerto antes de acesso a sistemas]

4.2 Micro-learning Modules

Frequência: [Mensal]

Duração: [10-15 minutos por módulo]

Formato: [Vídeos curtos, infográficos interativos, mini-quizzes]

Temas Rotativos:

• Janeiro: [Password hygiene]
• Fevereiro: [Phishing trends]
• Março: [Data protection]
• Abril: [Social engineering]
• Maio: [Mobile security]
• Junho: [Remote work best practices]

Plataforma: [LMS integrado com email reminders]

Gamificação: [Badges, leaderboard, prémios trimestrais]

4.3 Campanhas de Phishing Simulado

Frequência: [Mensal]

Ferramenta: [KnowBe4, Cofense, Proofpoint Security Awareness]

Abordagem:

• Dificuldade progressiva: [Começar com simulações óbvias, aumentar sofisticação gradualmente]
• Variedade de técnicas: [Phishing genérico, spear phishing, BEC, link malicioso, anexo suspeito]
• Feedback imediato: [Ao clicar, landing page educativa com explicação do erro]
• Positive reinforcement: [Email de parabéns a quem reportou corretamente]

Política de "Clicadores Persistentes": [3+ cliques em 6 meses = formação adicional obrigatória 1-on-1]

Exclusões: [Executivos durante períodos sensíveis (acquisitions, IR), com coordenação prévia]

4.4 Sessões Presenciais / Webinars

Frequência: [Trimestral para todos, mensal para staff técnico]

Duração: [1 hora por sessão]

Formato:

• Lunch & Learn: [Sessões ao almoço, tópico específico, Q&A]
• Town Halls de Segurança: [CISO apresenta panorama de ameaças, incidentes recentes (anonimizados), roadmap]
• Workshops práticos: [Tabletop exercises, incident response simulation]
• Guest speakers: [Especialistas externos, vítimas de ataques (case studies)]

Gravação: [Todas as sessões gravadas e disponíveis no portal de formação]

4.5 Plataforma LMS (Learning Management System)

Plataforma: [Moodle, TalentLMS, Cornerstone OnDemand]

Funcionalidades:

• Catálogo de cursos com percursos personalizados por função
• Tracking automático de conclusões e compliance
• Quizzes e avaliações com reporting
• Certificados digitais de conclusão
• Integração com HR systems para onboarding automático
• Mobile app para aprendizagem on-the-go

Conteúdo Disponível: [200+ módulos, biblioteca de recursos, políticas e procedimentos]

Reporting: [Dashboards de compliance por departamento, alertas para formações expiradas]

4.6 Campanhas de Sensibilização

Canais:

• Email newsletters: [Mensais, "Security Spotlight", dicas práticas]
• Posters e screensavers: [Temas rotativos, mensagens curtas impactantes]
• Intranet: [Portal de segurança com recursos, FAQs, notícias]
• Slack/Teams channels: [#security-tips com dicas diárias, #threat-intel]
• Eventos temáticos: [Cybersecurity Awareness Month (outubro), Data Privacy Day (28 janeiro)]

Branding: [Identidade visual consistente, mascote de segurança, slogan interno]

5.1 Planeamento Anual

Q1 (Janeiro - Março):

• Janeiro: [Kickoff do programa anual, Data Privacy Day campaign]
• Fevereiro: [Formação Nível 1 obrigatória para todos]
• Março: [Workshop técnico para staff TI: Secure Coding]

Q2 (Abril - Junho):

• Abril: [Formação GDPR para compliance e legal teams]
• Maio: [Executive briefing para gestão de topo]
• Junho: [Remote work security campaign]

Q3 (Julho - Setembro):

• Julho: [Incident response tabletop exercise]
• Agosto: [Formação para novos Security Champions]
• Setembro: [Revisão mid-year de KPIs e ajustes ao programa]

Q4 (Outubro - Dezembro):

• Outubro: [Cybersecurity Awareness Month - eventos especiais, concursos]
• Novembro: [Formação especializada para procurement: Vendor Risk]
• Dezembro: [Revisão anual, planning 2025, holiday scam awareness]

5.2 Atividades Trimestrais Recorrentes

Atividade	Frequência	Responsável	Duração
Security Town Hall	Trimestral	CISO	1 hora
Technical Workshops (TI)	Trimestral	Security Team	2 horas
Executive Briefing	Semestral	CISO	2 horas
Security Champions Meeting	Trimestral	Awareness Manager	1 hora
Compliance Training Refresh	Anual	DPO + Security	2 horas

5.3 Simulações Mensais de Phishing

Mês	Tema da Simulação	Técnica	Dificuldade
Janeiro	Password reset request	Link malicioso	Fácil
Fevereiro	HR policy update	Anexo PDF	Média
Março	CEO urgent request (BEC)	Spear phishing	Difícil
Abril	Tax return reminder	Link gov.pt fake	Média
Maio	IT support ticket	Credential harvesting	Fácil
Junho	Summer party invitation	Social engineering	Média
Julho	Vacation request approval	Spoofed sender	Difícil
Agosto	Office 365 storage full	Urgency tactic	Fácil
Setembro	Vendor invoice payment	BEC financeiro	Difícil
Outubro	Cybersecurity quiz (legit!)	Positivo - não é phishing	N/A
Novembro	Black Friday deals	Shopping scam	Média
Dezembro	Holiday bonus notification	Emotional manipulation	Difícil

6.1 Métricas Comportamentais Primárias

KPI 1: Taxa de Clique em Phishing Simulado

Definição: Percentagem de colaboradores que clicam em links ou abrem anexos em simulações de phishing

Objetivo: <5%

Baseline atual: [15%]

Fórmula: (Cliques em phishing / Total de emails enviados) × 100

Frequência de medição: Mensal

Benchmarking: Industry average ~10-15%, organizações maduras <5%

KPI 2: Taxa de Reporte de Phishing

Definição: Percentagem de simulações de phishing corretamente reportadas

Objetivo: >60%

Baseline atual: [25%]

Fórmula: (Reportes corretos de phishing / Total de emails enviados) × 100

Frequência de medição: Mensal

Nota: Métrica mais importante que taxa de clique - reporte proativo é comportamento desejado

KPI 3: Tempo Médio de Reporte (MTTR - Mean Time To Report)

Definição: Tempo médio entre receção do email de phishing simulado e reporte correto

Objetivo: <5 minutos

Baseline atual: [45 minutos]

Fórmula: Soma de (Timestamp reporte - Timestamp envio) / Número de reportes

Frequência de medição: Mensal

KPI 4: Rácio de Resiliência (Non-Clickers)

Definição: Percentagem de colaboradores que nunca clicaram em simulações de phishing nos últimos 12 meses

Objetivo: >80%

Baseline atual: [60%]

Fórmula: (Colaboradores com 0 cliques em 12 meses / Total de colaboradores) × 100

Frequência de medição: Trimestral

KPI 5: Taxa de Conformidade com Políticas de Passwords

Definição: Percentagem de colaboradores que usam password manager e têm MFA ativo

Objetivo: >95%

Baseline atual: [70%]

Verificação: Telemetria de password manager + relatórios MFA do Azure AD/Okta

Frequência de medição: Mensal

6.2 Métricas de Aprendizagem Secundárias

KPI 6: Taxa de Conclusão de Formação Obrigatória

Definição: Percentagem de colaboradores que completaram formação anual obrigatória no prazo

Objetivo: 100%

Prazo: [Até 31 de março de cada ano]

Fórmula: (Formações concluídas / Total de colaboradores) × 100

Tracking: LMS automático com alertas para gestores de não-completers

KPI 7: Pontuação Média em Testes de Conhecimento

Definição: Média das pontuações em quizzes de avaliação pós-formação

Objetivo: >80%

Baseline atual: [72%]

Pass mark: 80% - re-take obrigatório se inferior

Frequência de medição: Contínua

KPI 8: Taxa de Retenção de Conhecimento (após 90 dias)

Definição: Percentagem de conhecimento retido 90 dias após formação inicial

Objetivo: >70%

Método: Quiz surpresa 90 dias após conclusão da formação obrigatória

Frequência de medição: Anual (amostra representativa)

6.3 Métricas Operacionais

KPI 9: Cobertura de Formação por Departamento

Definição: Percentagem de colaboradores formados em cada departamento

Objetivo: 100% em todos os departamentos

Reporting: Dashboard com breakdown por departamento, alertas para <90%

Frequência de medição: Mensal

KPI 10: Tempo Médio até Conclusão de Novos Módulos

Definição: Dias entre lançamento de novo módulo e conclusão por colaborador

Objetivo: <7 dias

Tracking: LMS analytics

Frequência de medição: Por módulo lançado

KPI 11: Taxa de Participação em Sessões ao Vivo

Definição: Percentagem de inscritos que participam em webinars/workshops

Objetivo: >75%

No-show rate: Objetivo <25%

Melhoria: Reminders automatizados, incentivos, timing otimizado

KPI 12: Custo por Colaborador Formado

Definição: Budget total do programa / Número de colaboradores formados

Benchmark: €200-300 por colaborador/ano

Cálculo atual: [Budget total: €150,000 / 500 colaboradores = €300/pessoa]

Inclui: Plataforma LMS, simulações phishing, formadores, conteúdo, ferramentas

6.4 Métricas de Impacto em Segurança

KPI 13: Redução de Incidentes Causados por Erro Humano

• Definição: Comparação ano-a-ano de incidentes causados por colaboradores
• Objetivo: Redução de 50% face ao ano anterior
• Fonte: SIEM, ticketing de incidentes, análise de root cause

KPI 14: Reportes Proativos de Phishing Real

• Definição: Número de phishing reais reportados antes de causar impacto
• Objetivo: Aumentar 100% face a baseline
• Indica: Cultura de segurança proativa e vigilância

KPI 15: Security Culture Score

• Definição: Questionário anual de cultura de segurança (escala 1-5)
• Objetivo: Score médio >4.0
• Dimensões avaliadas: Awareness, atitude, comportamento, normas, responsabilidades, comunicação

7.1 Relatórios Mensais

Audiência: [Security Team, HR, department managers]

Conteúdo:

• Resultados de simulações de phishing do mês
• Taxa de conclusão de módulos obrigatórios
• Top 3 departamentos com melhor performance
• Bottom 3 departamentos que requerem atenção
• Clicadores persistentes que necessitam formação adicional
• Novos módulos lançados e engagement

Formato: [Dashboard visual + PDF report]

7.2 Relatórios Trimestrais

Audiência: [CISO, C-Level, comité de governança]

Conteúdo:

• Análise de tendências de KPIs vs. objetivos
• Comparação com quarter anterior e mesmo período ano passado
• Melhores e piores performers (departamentos)
• ROI do programa (redução de risco, prevenção de incidentes)
• Recomendações de ajustes ao programa
• Budget tracking e forecast

Formato: [Executive summary + apresentação + dashboard interativo]

7.3 Relatório Anual

Audiência: [Board, auditors, reguladores (se aplicável)]

Conteúdo:

• Visão geral do programa anual executado
• Performance vs. todos os KPIs definidos
• Conquistas e milestones atingidos
• Incidentes de segurança evitados graças ao programa
• Benchmarking com indústria
• Certificações e reconhecimentos obtidos
• Plano estratégico para ano seguinte
• Conformidade com NIS2, ISO 27001, GDPR

Formato: [Documento formal + apresentação ao Board]

7.4 Análise de Tendências

Métricas de Tendência:

• Progressão temporal de phishing click rate: [Gráfico mensal mostrando diminuição ao longo do ano]
• Curva de aprendizagem: [Correlação entre número de simulações e melhoria de performance]
• Sazonalidade: [Identificar meses com pior performance (ex: dezembro - época festiva)]
• Impacto de campanhas: [Melhoria após cada campanha de sensibilização]

Ferramentas: [Power BI, Tableau, dashboards customizados]

7.5 Melhoria Contínua

Ciclo PDCA (Plan-Do-Check-Act):

• Plan: [Planeamento anual baseado em risk assessment e gaps identificados]
• Do: [Execução do programa conforme calendário]
• Check: [Medição de KPIs, análise de eficácia, feedback de colaboradores]
• Act: [Ajustes baseados em resultados - novos conteúdos, métodos diferentes, timing otimizado]

Fontes de Feedback:

• Questionários pós-formação (NPS, qualidade do conteúdo)
• Focus groups com Security Champions
• Análise de incidentes reais (lessons learned)
• Benchmarking com peers da indústria

Revisões do Programa: [Trimestral com comité, ajustes táticos mensais]

8.1 Alinhamento com CNCS (Centro Nacional de Cibersegurança)

Transposição NIS2 em Portugal: [Aguardando legislação nacional, expectativa de publicação em 2024]

Requisitos Esperados:

• Formação obrigatória para todos os colaboradores de entidades essenciais e importantes
• Registos de formação disponíveis para auditorias do CNCS
• Programas de sensibilização específicos para gestão de topo
• Relatórios de eficácia de formação em incidentes reportados

Contacto CNCS: [cert@cncs.gov.pt para questões de conformidade]

8.2 Integração com GDPR e CNPD

Formação GDPR Obrigatória:

• Todos os colaboradores: [Módulo GDPR básico (1 hora)]
• Processadores de dados: [Formação avançada em proteção de dados (4 horas)]
• Responsáveis por tratamento: [Certificação GDPR específica]

Conteúdos GDPR Específicos:

• Direitos dos titulares dos dados (GDPR Capítulo III)
• Notificação de violações à CNPD em 72 horas
• DPIAs obrigatórias para tratamentos de alto risco
• Transferências internacionais de dados

Evidências de Conformidade: [Certificados de conclusão, registos de formação para auditorias CNPD]

8.3 Localização em Português

Idioma: [Todo o conteúdo em português de Portugal]

Contexto Local:

• Exemplos e casos práticos de empresas portuguesas
• Referências à legislação portuguesa (Código Penal Art. 6º - crimes informáticos)
• Contactos e entidades nacionais (CNCS, CNPD, PSP/PJ - UNC3T)
• Ameaças específicas ao mercado português

Datas e Eventos: [Dia Europeu da Proteção de Dados (28 jan), Mês da Cibersegurança (outubro)]

8.4 Requisitos Sectoriais Específicos

Sector Bancário e Financeiro:

• Banco de Portugal: [Aviso nº 3/2021 sobre risco operacional e segurança]
• Formação adicional: [Fraude, AML/CFT, PSD2 security]

Sector da Saúde:

• SPMS/SNS: [Requisitos de cibersegurança para prestadores de cuidados]
• Formação adicional: [Proteção de dados de saúde, RGPD reforçado]

Sector Energético:

• DGEG/REN: [Requisitos de segurança para infraestruturas críticas]
• Formação adicional: [ICS/SCADA security, proteção de OT]

Telecomunicações:

• ANACOM: [Regulamentação específica de segurança]
• Formação adicional: [5G security, proteção de redes]

8.5 Documentação e Evidências para Auditorias

Registos Obrigatórios a Manter:

• Lista de todos os colaboradores e respetivo estado de formação
• Certificados de conclusão de formação (arquivo mínimo: 5 anos)
• Resultados de simulações de phishing (anonimizados para auditorias externas)
• Atas de reuniões do comité de governança do programa
• Relatórios trimestrais e anuais de KPIs
• Planos de melhoria implementados

Formato: [Exportável em PDF, disponível em plataforma LMS, backup em sistema documental]

Acesso: [DPO, CISO, auditores internos/externos, reguladores (mediante pedido formal)]