ONLINE | NIS2 - Conformidade Prática para Responsáveis de Cibersegurança

A Diretiva (UE) 2022/2555 (NIS 2) estabelece um novo regime europeu de governação dos riscos de cibersegurança, impondo obrigações reforçadas de gestão de risco, reporte, supervisão e responsabilidade direta dos órgãos de gestão, direção e administração das entidades abrangidas.

Em Portugal, a Lei n.º 59/2025 autoriza o Governo a transpor a Diretiva NIS 2, estando em fase final de aprovação o Regime Jurídico da Cibersegurança (RJC), que entrará em vigor brevemente.

Este novo enquadramento legal submeterá centenas de organizações portuguesas à supervisão da Autoridade Nacional de Cibersegurança (CNCS) e das Autoridades de Supervisão setoriais, exigindo, entre outros:

✅ Adoção de um sistema integrado de gestão de riscos de cibersegurança, alinhado com a estratégia corporativa.
✅ Implementação comprovável de medidas técnicas e organizativas mínimas em nove domínios específicos.
✅ Designação formal do Responsável de Cibersegurança (CISO) e do Ponto de Contacto Único, com reporte à gestão de topo.
✅ Aprovação explícita do risco residual pelo órgão de gestão.
✅ Notificação obrigatória de incidentes à Autoridade Nacional de Cibersegurança em 24h, 72h e 30 dias.
✅ Relatório anual de governação da cibersegurança para entidades essenciais.
✅ Auditorias periódicas e provas de conformidade contínua perante a Autoridade de Supervisão.
✅ Formação contínua dos órgãos de gestão e equipas críticas em governação e risco digital.

O regime sancionatório prevê coimas até €10 milhões ou 2% do volume de negócios global, estabelecendo responsabilidade solidária dos órgãos de gestão, tornando o incumprimento um risco legal, operacional e reputacional real.
 

No final da ação, os formandos deverão ser capazes de:

1. Conformidade Jurídico-Regulamentar
Interpretar e aplicar o enquadramento legal NIS2:

• Classificar corretamente a organização como Entidade Essencial, Importante ou Pública Relevante, com base nos critérios da Diretiva (UE) 2022/2555 e do Regime Jurídico da Cibersegurança (RJC).
• Mapear obrigações específicas aplicáveis à entidade (Art. 25º responsabilidade órgãos gestão, Art. 27º medidas mínimas, Art. 29º aprovação risco residual, Art. 30º relatório anual, Art. 31º designação CISO, Art. 32º ponto contacto).
• Compreender o regime sancionatório (Art. 61º-67º RJC) e as consequências do incumprimento, incluindo coimas até €10 milhões ou 2% do volume de negócios global e responsabilidade pessoal da administração.
• Distinguir e integrar os requisitos da NIS2, do Regulamento (UE) 2024/2690 (medidas mínimas), do QNRCS (Quadro Nacional de Referência), do QACC (Quadro de Avaliação) e das normas ISO 27001/27005.
• Navegar a arquitetura institucional portuguesa: competências do CNCS, CERT.PT, autoridades setoriais e Comissão Nacional de Avaliação, identificando a autoridade supervisora aplicável à organização.

2. Implementação Técnica-Operacional
Implementar as 10 medidas mínimas de cibersegurança obrigatórias:

• Implementar as 10 medidas mínimas estabelecidas no Art. 21º da Diretiva NIS2 e detalhadas no Regulamento (UE) 2024/2690 (Art. 8º-17º):
  • Medida 1: Gestão de incidentes (deteção, resposta, CSIRT/SOC, playbooks)
  • Medida 2: Continuidade de atividades (BIA, backup 3-2-1-1-0, DR plan, RTO/RPO)
  • Medida 3: Segurança da cadeia de abastecimento (due diligence fornecedores, cláusulas contratuais, NIST SP 1305)
  • Medida 4: Segurança aquisição/desenvolvimento sistemas
  • Medida 5: Eficácia das medidas (monitorização contínua, auditorias, métricas)
  • Medida 6: Autenticação multifator (MFA - TOTP/FIDO2, roadmap implementação 3-6 meses)
  • Medida 7-10: Comunicações seguras, criptografia e segurança recursos humanos (onboarding/offboarding, sensibilização)
• Realizar análise de risco formal utilizando a metodologia ISO/IEC 27005:2022 e a ferramenta MONARC (Model for Analysis of Risks), incluindo:
  • Identificação de ativos críticos (IT e OT)
  • Valorização CIA (Confidencialidade, Integridade, Disponibilidade)
  • Análise ameaças e vulnerabilidades
  • Cálculo de risco bruto e residual
  • Definição de medidas de tratamento priorizadas
• Desenvolver procedimento notificação de incidentes ao CNCS em conformidade com o Art. 40º-44º (notificação precoce 24h, atualização 72h, relatório final 30 dias), utilizando templates oficiais e testando o processo através de simulações.
• Construir playbooks operacionais para cenários críticos (ransomware, DDoS, data breach, phishing) seguindo a framework NIST SP 800-61r3, com fases de preparação, deteção, contenção, erradicação, recuperação e lições aprendidas.
• Avaliar e mitigar riscos da cadeia de abastecimento (supply chain), aplicando due diligence técnica e geopolítica (Art. 18º NIS2 + DORA inspiração), mapeando fornecedores críticos e integrando cláusulas de segurança em contratos.

3. Gestão do Risco e Governança
Estruturar o sistema de governação da cibersegurança:

• Desenvolver o sistema de gestão dos riscos de cibersegurança (Art. 26º RJC), integrando:
  • Matriz de risco MONARC com 15-50 riscos identificados
  • Apetite e tolerância ao risco documentados
  • Aprovação formal do risco residual pelo Conselho de Administração (Art. 29º)
  • Plano de tratamento de riscos priorizado
• Implementar estrutura de governação alinhada com o Art. 25º (responsabilidade solidária órgãos gestão), definindo:
  • Organograma de cibersegurança (CISO, Security Ops, Risk & Compliance)
  • Comité de Cibersegurança (composição, frequência, agenda tipo)
  • Papéis e responsabilidades (RACI matrix)
  • Segregação de funções e escalamento decisional
• Definir e monitorizar KPIs e KRIs de cibersegurança para reporte executivo (dashboard conformidade %, riscos Alto/Muito Alto, cobertura MFA, tempo médio deteção incidentes, vulnerabilidades críticas não-corrigidas).
• Avaliar maturidade organizacional utilizando o QNRCS e o QACC, identificando gaps nas 8 dimensões (Identificação, Proteção, Deteção, Resposta, Recuperação, Gestão Fornecedores, Governação, Avaliação) e planeando medidas de melhoria contínua.
• Integrar cibersegurança com RGPD, coordenando obrigações NIS2 com requisitos de proteção de dados pessoais (Art. 79º violação dados pessoais, cooperação CISO-DPO).

4. Auditoria e Supervisão
Preparar a organização para auditorias da autoridade supervisora:

• Construir evidence repository audit-ready, estruturando documentação de conformidade por:
  • 10 medidas mínimas (políticas, procedimentos, evidências de teste)
  • Nomenclatura ISO 27001 (política, controlos, registos, atas)
  • Controlo de versões e gestão de acessos
  • Estrutura de pastas recomendada (digital + física)
• Executar mock audit autoridade supervisão simulado (role-play auditor vs auditado), identificando:
  • Red flags típicos (documentação sem aprovação formal, risco residual não aceite pelo board, testes não realizados, evidências inexistentes)
  • Questões críticas que auditor fará (aprovação política pelo CA? Última auditoria interna? Teste DR plan?)
  • Estratégias de resposta eficaz (apresentar evidências, admitir gaps com plano correção, evitar respostas vagas)
• Elaborar checklist de evidências por medida mínima, mapeando:
  • Documentos obrigatórios (políticas, atas CA, relatórios teste, logs)
  • Estado atual (existe/não existe/desatualizado)
  • Localização exata (SharePoint, OneDrive, arquivo físico)
  • Prioridade de criação (crítico/importante/desejável)
• Preparar relatório anual de governação (Art. 30º - apenas Entidades Essenciais), incluindo:
  • Síntese medidas implementadas
  • Incidentes reportados no período
  • Testes e auditorias realizados
  • KPIs e evolução maturidade
  • Plano melhoria próximo ano
• Gerir processo de certificação (opcional mas recomendado), escolhendo entre:
  • DNP TS 4577-1:2023 (esquema português, selo digital de cibersegurança, reconhecimento nacional)
  • EC QNRCS (esquema CNCS, alinhamento direto QNRCS)
  • ISO/IEC 27001:2022 (reconhecimento internacional, complexidade alta)
  • Analisando custo/benefício/prazo/reconhecimento

5. Comunicação Executiva e Liderança
Comunicar eficazmente com a gestão de topo e stakeholders:

• Elaborar e apresentar planos de conformidade à Gestão, Direção e Administração, estruturando:
  • Sumário executivo (1 página: contexto legal, situação atual, plano, investimento, decisão requerida)
  • Business case ROI (investimento conformidade vs custo coimas + incidentes)
  • Roadmap faseado 24 meses (Fase 0 obrigações imediatas → Fase 4 maturidade)
  • Orçamento realista CAPEX/OPEX (ferramentas €X, recursos humanos €Y, consultoria €Z)
• Traduzir requisitos técnicos em linguagem executiva, adaptando comunicação para:
  • Board/Administração (risco negócio, responsabilidade pessoal, reputação)
  • CFO (orçamento, payback period, TCO 3 anos)
  • Linhas negócio (impacto operacional, downtime, customer experience)
  • Equipas técnicas (implementação, ferramentas, procedimentos)
• Conduzir comunicação de crise em incidentes significativos (Art. 44º notificação pública se impacto utilizadores), seguindo o Referencial CNCS de Comunicação de Crise:
  • Comunicação interna (colaboradores, administração)
  • Comunicação externa (clientes, parceiros, fornecedores, media)
  • Coordenação com CNCS, CERT.PT e autoridades setoriais

Gestão reputacional pós-incidente

• Promover cultura organizacional de segurança, implementando:
  • Programa de sensibilização anual (Art. 27º al. g) com phishing simulation, e-learning, newsletters
  • Championing executivo (administração comunica importância cibersegurança)
  • Incentivos positivos (reconhecimento comportamentos seguros)
  • Métricas culturais (taxa participação formações, reporte incidentes, cliques phishing)
• Envolver gestão de topo no ciclo decisório de cibersegurança, assegurando:
  • Aprovação formal políticas e orçamento (Art. 25º responsabilidade não-delegável)
  • Aceitação risco residual Alto/Muito Alto (Art. 29º)
  • Revisão trimestral/semestral KPIs em Comité ou CA
  • Participação em tabletop exercises (awareness situacional).

DELIVERABLE FINAL DO CURSO:
Ao concluir o curso, cada formando elabora um Plano Executivo Conformidade NIS2 aplicável à sua organização
 

Sessão 1 – Enquadramento Legal e Responsabilidades Executivas
Duração: 3h síncronas + 2h assíncronas

Objetivos:
Conteúdos:
Prática:
Componente Assíncrona (2h):
Sessão 2 – Quadro Institucional, Obrigações Imediatas e Certificação
Duração: 3h síncronas + 2h assíncronas

Objetivos:
Conteúdos:

• Arquitetura Institucional Nacional:
  • Competências do CNCS (Artigos 19.º e 20.º) e do CERT.PT.
  • Papel das autoridades setoriais e da Comissão Nacional de Avaliação da Cibersegurança (Art. 18.º).
  • Coordenação entre entidades essenciais, importantes e prestadores de serviços digitais.
• Obrigações dos Órgãos de Gestão, Direção e Administração:
  • Responsabilidade solidária da administração e gestão (Art. 25.º).
  • Obrigações imediatas: Art. 31.º (designação do CISO), Art. 32.º (ponto de contacto único) e Art. 8.º (qualificação e autoidentificação das entidades).
  • Preparação e apresentação de relatórios à gestão de topo.
• Instrumentos e Certificação:
  • QNRCS (Quadro Nacional de Referência em Cibersegurança) e QACC (Quadro de Avaliação da Conformidade e Capacidade).
  • Esquemas de certificação: DNP TS 4577-1, EC QNRCS e ISO/IEC 27001 – vantagens, limitações e complementaridade.
  • Critérios de decisão: custo, reconhecimento internacional, auditoria Autoridade de Supervisão e contexto organizacional.
  • Recomendações conservadoras: “DNP TS 4577-1 – opção válida para conformidade nacional; ISO 27001 – referência global (‘gold standard’)”.

Prática:

• Exercício 2: Decisão Executiva de Certificação.

Componente Assíncrona (2h):

• Gap Analysis 10 Medidas Mínimas. Auto-avaliar conformidade atual organização vs. 10 medidas mínimas Reg. 2024/2690. Produz base Secção 3.1 Plano Final (30% trabalho).
• Template_S2_Gap_Analysis_10Medidas.xlsx

Sessão 3 – Gestão do Risco da Cibersegurança (ISO 27005 + MONARC Hands-on)
Duração: 3h síncronas + 2h assíncronas

Objetivos:

• Aplicar metodologias estruturadas de identificação, análise e avaliação de riscos de cibersegurança em conformidade com o Art. 26.º da PL 7.
• Determinar o apetite e tolerância ao risco e avaliar o risco residual (Art. 29.º da PL 7) em contexto organizacional.
• Integrar as práticas da ISO/IEC 27005:2022 e da Dimensão D do QNRCS – Gestão de Risco
• Utilizar a ferramenta MONARC para construir e interpretar uma matriz de risco aplicada à organização.

Conteúdos:

• Enquadramento normativo: Sistema de gestão de riscos de cibersegurança (Art.º 26.º da PL 7). Conceitos-chave: ameaça, vulnerabilidade, impacto, probabilidade e risco residual.
• Metodologias internacionais de gestão de risco: ISO/IEC 27005:2022.
• Dimensão D do QNRCS – correspondência e indicadores de maturidade.
• Aplicação prática da metodologia MONARC (Model for the Analysis of Risks).
• Integração da gestão de risco com governação e reporting executivo.

Prática:

• Exercício 3: Workshop MONARC hands-on.

Componente Assíncrona (2h):

• Análise Risco MONARC. Matriz risco formal ISO 27005 aplicada à sua organização. Produz Secção 3.2 + Anexo A do Plano Final (25% trabalho total).
• Template_S3_Matriz_Riscos.docx + MONARC

Sessão 4 – Medidas Mínimas I: Incidentes e Continuidade de Atividades
Duração: 3h síncronas + 2h assíncronas

Objetivos:

• Desenvolver estratégias de resposta, recuperação e continuidade de operações em conformidade com a Diretiva NIS2 e o Regulamento (UE) 2024/2690.
• Cumprir as obrigações de notificação e reporte de incidentes ao CNCS, garantindo a rastreabilidade e comunicação eficaz.
• Aplicar frameworks e normas internacionais (NIST SP 800-61r3, ISO 22301) no contexto das Medidas Mínimas de Cibersegurança (Art.º 27.º).
• Integrar mecanismos de comunicação de crise e gestão da reputação com base no Referencial CNCS.

Conteúdos:

• Enquadramento normativo:
  • Art.º 27.º da NIS2 - Medidas de cibersegurança obrigatórias.
  • Art.º 8.º e 9.º do Regulamento (UE) 2024/2690 – Gestão de incidentes e continuidade de atividades.
• Medida 1 – Gestão de Incidentes:
  • NIST SP 800-61r3: fases da resposta (preparação, deteção, contenção, erradicação e lições aprendidas).
  • Estrutura e operação de um SOC, ferramentas (SIEM, EDR, SOAR).
  • Tipologia de incidentes e cadeia de reporte (interno e externo).
  • Desenvolvimento de playbooks e testes de resposta.
• Medida 2 – Notificação e Comunicação:
  • Obrigações de notificação (Art. 40.º - 45.º) e coordenação com CNCS e CSIRT.
  • Processo end-to-end de notificação ao CNCS: deteção, avaliação, reporte inicial, atualização e relatório final.
  • Exemplo prático: caso nacional de ataque ransomware e análise de resposta.
  • Comunicação de crise: referenciais CNCS e boas práticas de gestão reputacional.
• Medida 3 – Continuidade de Atividades:
  • Art.º 9.º do Regulamento 2024/2690 – requisitos mínimos.
  • Avaliação de impacto (BIA) e definição de RTO/RPO.
  • Estratégias de backup e recuperação: modelo 3-2-1-1-0.
  • Planos de continuidade (BCP) e gestão de crises organizacionais.

Prática:

• Exercício 3: Tabletop Exercise Ransomware.

Componente Assíncrona (2h):

• Plano Resposta Incidentes. Procedimento notificação CNCS + Playbook ransomware. Produz Secção 6.2 + Anexos C/D do Plano Final (15% trabalho).
• Template_S4_Resposta_Incidentes.docx

Sessão 5 - Medidas Mínimas II: Cadeia de Abastecimento e Segurança RH
Duração: 3h síncronas + 2h assíncronas

Objetivos:

• Implementar as medidas mínimas de cibersegurança relacionadas com a cadeia de abastecimento e a gestão segura de recursos humanos, conforme o Art.º 27.º da NIS2 e o Regulamento (UE) 2024/2690.
• Compreender os riscos de dependência tecnológica e geopolítica e aplicar controlos mitigadores adequados.
• Integrar práticas de segurança organizacional no ciclo de vida dos colaboradores, incluindo recrutamento, onboarding, sensibilização e offboarding.
• Alinhar as práticas internas com o QNRCS – Dimensão E (Gestão de Fornecedores e Parceiros) e a NIST SP 1305 - Cybersecurity Supply Chain Risk Management.

Conteúdos:

• Enquadramento normativo:
  • Art.º 27.º da NIS2 e Art.º 10.º–11.º do Regulamento (UE) 2024/2690.
  • Medidas mínimas relacionadas com cadeia de abastecimento e segurança dos recursos humanos.
  • Responsabilidades do CISO e da gestão de topo no controlo de terceiros.
• Medida 4 – Cadeia de Abastecimento:
  • Avaliação de riscos da cadeia de fornecimento (técnicos, contratuais e geopolíticos).
  • Integração com o QNRCS – Dimensão E: Gestão de Fornecedores e Parceiros.
  • Abordagem à NIST SP 1305.
  • Vendor Risk Management e Supply Chain Mapping - Cláusulas contratuais de segurança e mecanismos de auditoria a fornecedores.
• Medida 5 – Segurança dos Recursos Humanos:
  • O Ciclo de Vida do Funcionário.
  • Procedimentos de recrutamento seguro, onboarding e offboarding com verificação de devolução de ativos e perfis.
  • Segregação de funções e controlo de acessos baseado no princípio do menor privilégio.
  • Programas de sensibilização contínua e cultura de segurança (Art.º 27.º, n.º 2, al. g).
  • Gestão de incidentes internos e conduta ética.

Prática:

• Exercício 5-A: Avaliação do Risco da Cadeia de Abastecimento
• Exercício 5-B: Simulação de Cessação Segura de Funções de funcionário

Componente Assíncrona (2h):

• Gestão Cadeia de Abastecimento. Mapeamento fornecedores críticos + due diligence. Produz Secção 5.3 + Anexo E do Plano Final (10% trabalho).
• Template_S5_Supply_Chain.xlsx + Template_S5_Secao_5.3.docx

Sessão 6 – Medidas Mínimas III e Governação
Duração: 3h síncronas + 2h assíncronas

Objetivos:

• Estruturar o modelo de governação da cibersegurança em conformidade com a NIS2, o Regulamento (UE) 2024/2690 e o RJC.
• Implementar mecanismos de monitorização contínua da eficácia das medidas técnicas e organizativas (Art.º 27.º).
• Aplicar métricas e indicadores de desempenho (KPIs e KRIs) que sustentem o reporte executivo e a melhoria contínua.
• Compreender as obrigações de reporte, registo e responsabilidade solidária dos órgãos de gestão (Artigos 30.º, 35.º–37.º).
• Reforçar a cultura organizacional de segurança e a integração com o QNRCS.

Conteúdos:

• Enquadramento normativo e medidas associadas:
  • Medida 5 – Eficácia das Medidas:
    • Monitorização contínua, auditorias internas, métricas de controlo técnico e dashboards executivos.
    • Ciclo PDCA aplicado à cibersegurança: planeamento, execução, verificação e melhoria.
  • Medida 6 – Segurança TIC e Autenticação Multifator (MFA):
    • Conceitos e métodos (TOTP, Push, FIDO2, biometria).
    • Estratégias de implementação: roadmap 3 meses, políticas de MFA adaptativas e gestão de exceções.
  • Medida 7 – Entidades Públicas Relevantes:
    • Cooperação interinstitucional e reporte centralizado ao CNCS.
    • Integração com plataformas nacionais de gestão de incidentes e partilha de informação.
• Governança e Accountability:
  • Art.º 30.º – Relatório anual de governação da cibersegurança.
  • Art.º 35.º–37.º – Deveres de registo, gestão de nomes de domínio e acesso controlado.
  • Responsabilidade solidária da gestão de topo (órgãos de gestão, direção e administração da Entidade).
  • Modelos de reporte à da gestão de topo (formato e frequência).
  • KPIs/KRIs de maturidade: tempo de resposta, percentagem de sistemas com MFA, eficácia de controlos, taxa de sensibilização.
  • Cultura de segurança e gestão da mudança organizacional.
• Integração com o QNRCS:
  • Correspondência entre as Dimensões G (Governança) e H (Avaliação e Melhoria).
  • Utilização dos indicadores CNCS para avaliação contínua.

Prática:

• Exercício 6-A: Elaboração de Dashboard de Maturidade NIS
• Exercício 6-B: Apresentação de Dashboard ao Board

Componente Assíncrona (2h):

• Governança e KPIs. Estrutura governação cibersegurança + dashboard KPIs. Produz Secção 4.3 do Plano Final (10% trabalho).
• Template_S6_Governance_Dashboard.xlsx + Template_S6_Secao_4.3.docx

Sessão 7 – Supervisão, Sanções e Mock Audit de Supervisor
Duração: 3h síncronas + 2h assíncronas

Objetivos:

• Preparar a organização para uma auditoria real da Autoridade de Supervisão, compreendendo as exigências documentais, o ciclo de evidências e as práticas de resposta a auditores.
• Conhecer o regime sancionatório aplicável à NIS2 (Artigos 61.º–67.º) e as suas implicações financeiras, reputacionais e de governação.
• Desenvolver competências de gestão pós-certificação, incluindo manutenção de conformidade, recertificação e melhoria contínua.
• Simular, em contexto prático, o processo de mock audit da Autoridade de Supervisão, consolidando boas práticas de preparação e comportamento durante auditorias.

Conteúdos:

• Enquadramento normativo e institucional:
  • Art.º 30.º – Relatório anual e dever de reporting ao CNCS.
  • Art.º 54.º a 57.º - Medidas de supervisão, execução e bloqueio
  • Art.º 61.º a 68.º – Regime sancionatório (contraordenações leves, graves e muito graves).
  • Art.º 66.º – Critérios de determinação da medida da coima.
  • Art.º 79.º – Violação de dados pessoais e responsabilidade cumulativa (RGPD).
  • Estrutura e poder de supervisão do CNCS e das autoridades competentes.
• Processo de Supervisão e Auditoria da Autoridade de Supervisão:
  • Tipologia de auditorias: iniciais, de manutenção e de follow-up.
  • Anatomia de uma auditoria típica da Autoridade de Supervisão:
    • Fases: planeamento, execução, entrevistas, recolha e validação de evidências, relatório final.
    • Requisitos documentais e formato de evidências (políticas, registos, logs, atas).
    • Gestão do ciclo de evidência: criação, controlo de versões, acesso e confidencialidade.
  • Evidence Repository Blueprint: estrutura recomendada de pastas (estilo ISO 27001), naming conventions, controlo de acesso e versionamento.
• Gestão Pós-Certificação e Melhoria Contínua:
  • Manutenção de conformidade e auditorias internas.
  • Elaboração e execução de planos de ação corretiva.
  • Gestão da recertificação (anual ou bienal) e da comunicação contínua com o CNCS.
  • Integração com o QNRCS – Dimensão H (Avaliação e Melhoria Contínua).

Prática:

• Exercício 7-A: Mock Audit de autoridade de supervisão simulado (Role-Play)
• Exercício 7-B: Hot Wash Debrief em Plenário

Componente Assíncrona (2h):

• Gap Analysis Atualizada + Checklist Evidências. Refinar gap analysis com aprendizagens mock audit + preparar checklist evidências auditoria real. Atualiza Secção 3.1 do Plano Final (5% trabalho) + cria ferramenta gestão ongoing (Checklist).
• Template_S7_Gap_Analysis_Revista.docx + Template_S7_Checklist_Evidencias.xlsx.

Sessão 8 – Roadmap, Casos Setoriais e Encerramento
Duração: 3h síncronas + 2h assíncronas

Objetivos:

• Traduzir os requisitos legais e normativos da NIS2 em ações práticas de implementação organizacional.
• Integrar as aprendizagens do curso na elaboração de planos setoriais de conformidade NIS2, adaptados à realidade de cada tipo de entidade.
• Desenvolver competências de comunicação executiva, apresentando resultados e prioridades ao conselho de administração.
• Consolidar a rede profissional entre CISOs e definir oportunidades de desenvolvimento pós-curso.
• Conteúdos:
• Planeamento e Execução da Conformidade:
  • Estruturação do Roadmap NIS2 a 24 meses – fases 0 → 4 (diagnóstico, planeamento, implementação, monitorização e melhoria).
  • Definição de prioridades e quick wins (curto, médio e longo prazo).
  • Orçamentação realista: faixa de referência 25.000 – 40.000 € no 1.º ano (entidades médias), com variação conforme maturidade e contexto.
  • Gestão de dependências, recursos e monitorização.
• Comunicação Executiva:
  • Estrutura de apresentação à gestão e topo: narrativa de risco, impacto e investimento.
  • Construção de Executive Deck de 20 slides com mensagem orientada a decisão.
• Casos Práticos Setoriais:
  • Trabalho em grupos temáticos:
    • Saúde, Financeiro, Telecomunicações, Indústria/Logística, Administração Pública e Energia/Utilities (focus OT/SCADA).
  • Aplicação prática dos requisitos NIS2 e Regulamento 2024/2690 a cada setor.
  • Análise comparativa de riscos, dependências e medidas prioritárias.
• Encerramento e Próximos Passos:
  • Síntese das aprendizagens-chave e reforço do plano individual de conformidade.
  • Continuidade de desenvolvimento: community of practice, webinars e office hours.
  • Avaliação final e orientações finais

Prática:

• Exercício 8-A: Roadmap & Orçamentação
• Exercício 8-B: Consolidação do Plano Executivo Final

Componente Assíncrona (2h):

• CONSOLIDAÇÃO PLANO EXECUTIVO FINAL. Integrar todos os deliverables S1-S7 num documento profissional coeso de 20-30 páginas.
• Template_S8_Plano_Executivo_COMPLETO.docx.
• Feedback individualizado do plano.

A avaliação dos formandos é contínua e baseada em evidências de aprendizagem e as boas práticas de formação executiva.

São considerados três momentos de avaliação principais:

1️. Participação e envolvimento nas sessões síncronas (30%)
2️. Realização de exercícios e atividades práticas (30%)
3️. Trabalho Final Individual (40%)
O Formando chega a Sessão 8 com 80% trabalho pronto. Últimos 5 dias = refinamento, não criação do zero.

A avaliação é de natureza diagnóstica, formativa e sumativa, privilegiando a aplicação prática e a transferência de conhecimento para o contexto profissional.

O feedback é assegurado ao longo do curso através de:

Henrique Necho

• CISO/DPO certificado: CISM, CISA (ISACA), ISO 27001 LI, ISO 27005 RM
• Implementação de sistemas de gestão da cibersegurança (NIS 1, ISO 27001, ISO 27005);
• Consultoria e auditoria em conformidade regulatória (NIS2, RGPD, DORA);
• Certificações Privacidade: CIPP/E, CIPM, CIPT (IAPP)
• MBA + 25 anos experiência Sistemas Informação
• Responsável Cibersegurança designado de entidade sector público PT
• CCP Formador e experiência DGERT/AEP
• 500+ horas formação profissional lecionadas

Este curso destina-se a profissionais com responsabilidades de decisão e liderança em conformidade NIS2, nomeadamente: 

TARGET PRIMÁRIO (recomendado prioritariamente):
• RESPONSÁVEIS DE CIBERSEGURANÇA (CISO)
Profissionais designados ou a designar nos termos do Art. 31º do RJC, com responsabilidade operacional pela implementação e manutenção da conformidade NIS2.
• DIRETORES DE TECNOLOGIA E SISTEMAS DE INFORMAÇÃO
CIOs, CTOs e responsáveis de infraestrutura tecnológica com accountability sobre medidas técnicas de cibersegurança e continuidade operacional.
• COMPLIANCE OFFICERS E DPOs
Gestores de conformidade regulatória, Data Protection Officers e responsáveis de gestão de risco empresarial (CROs) com overlap NIS2-RGPD-ISO.

TARGET SECUNDÁRIO (fortemente recomendado):
• ÓRGÃOS DE GESTÃO, ADMINISTRAÇÃO E DIREÇÃO
Administradores executivos, membros de Conselho de Administração e gestores de topo de entidades classificadas como Essenciais ou Importantes, com responsabilidade solidária nos termos do Art. 25º NIS2.
• GESTORES DE PROJETOS DE CONFORMIDADE
Project managers responsáveis pela implementação de programas NIS2, coordenação interdepartamental e eporting executivo.

TARGET TERCIÁRIO (profissionais externos):
• CONSULTORES E AUDITORES
Consultores de cibersegurança, auditores de sistemas de informação e assessores jurídicos tecnológicos que prestem serviços a organizações abrangidas pelo RJC.   

REQUISITOS DE ACESSO
EXPERIÊNCIA PROFISSIONAL (alternativa A ou B):

A) 2+ anos de experiência em funções de liderança, gestão ou coordenação nas áreas de:
- Tecnologias de Informação e Comunicação (TIC)
- Cibersegurança ou segurança da informação
- Gestão de risco empresarial ou operacional
- Auditoria de sistemas ou compliance regulatório
- Governação tecnológica ou transformação digital
OU
B) Exercício atual de funções executivas ou de direção (C-level, administração, gestão intermédia) em entidades abrangidas pela NIS2, independentemente da área de formação base.

CONHECIMENTOS BASE:
• Compreensão geral de segurança da informação (conceitos CIA - Confidencialidade, Integridade, Disponibilidade; noções de ciber risco)
• Familiaridade com estruturas organizacionais e processos de gestão (reporting hierárquico, governação, compliance, auditoria)
• Competência digital intermédia (utilização MS Office, ferramentas colaborativas cloud, plataformas e-learning).

COMPETÊNCIAS LINGUÍSTICAS:
• Domínio da língua portuguesa (C1/C2) com capacidade de interpretação de textos jurídicos e técnicos complexos
• Inglês técnico básico útil mas não obrigatório (materiais principais em português; alguns referenciais internacionais NIST disponíveis versão inglesa.


ESTE CURSO NÃO É ADEQUADO PARA:
• Técnicos operacionais (sysadmins, analistas SOC, engenheiros de rede) sem responsabilidade decisória ou gestão de equipas - o curso é estratégico/executivo, não hands-on técnico de configuração.
• Recém-licenciados ou profissionais juniores sem experiência organizacional - o curso assume contexto de responsabilidade por processos empresariais.
• Profissionais que procuram exclusivamente formação técnica operacional (pentesting, incident response hands-on, configuração SIEM/EDR/firewall) - o foco é conformidade regulatória e governação.
• Organizações claramente fora do âmbito NIS2 (micro-empresas <50 colaboradores em setores não-críticos) sem interesse em certificação voluntária.

NOTA IMPORTANTE:
O curso privilegia MATURIDADE DECISÓRIA e RESPONSABILIDADE ORGANIZACIONAL sobre experiência técnica específica.
Um administrador com 20 anos de gestão empresarial mas formação não-TIC beneficiará mais deste curso que um técnico júnior de cibersegurança sem poder decisório. 

A NIS2 responsabiliza PESSOALMENTE os órgãos de gestão, administração e direção (Art. 25º), independentemente da sua formação técnica - este curso capacita-os para exercerem essa responsabilidade com confiança e conformidade legal.

Certificações prévias (ISO 27001 Lead Auditor, CISM, CISSP, CIPP, etc.) são valorizadas mas NÃO obrigatórias.

As CONDIÇÕES GERAIS DE PARTICIPAÇÃO são aplicáveis às modalidades de formação presencial e online. A inscrição pressupõe o conhecimento e aceitação das Condições Gerais de Participação, disponíveis em: 
https://aeportugal.pt/pt/condicoes-gerais-de-participacao