ONLINE | Responsável de Cibersegurança

A Lei n.º 46/2018, de 13 de agosto, veio estabelecer o Regime Jurídico da Segurança do Ciberespaço (RJSC), transpondo a Diretiva (UE) 2016/1148 (Diretiva SRI).

O RJSC aplica-se às entidades da Administração Pública, aos operadores de infraestruturas críticas, aos operadores de serviços essenciais, aos prestadores de serviços digitais, bem como a quaisquer outras entidades que utilizem redes e sistemas de informação.

O Decreto-Lei n.º 65/2021, de 30 de julho, veio regulamentar o RJSC e prevê obrigações relativas a vários aspetos centrais, designadamente:
• Estabelece os requisitos mínimos de segurança das redes e dos sistemas de informação que devem ser cumpridos
• Estabelece os requisitos de notificação obrigatória de incidentes que afetem a segurança das redes e dos sistemas de informação
• Estabelece a obrigação de designar e comunicar ao Centro Nacional de Cibersegurança (CNCS) o respetivo Responsável de Segurança.

O Responsável de Segurança, cuja função está descrita no Quadro Nacional de Referência para a Cibersegurança, publicado pelo CNCS em 2019, tem como responsabilidades, designadamente:

• Garantir a segurança da informação da organização;
• Promover e gerir as medidas adotadas em matéria de requisitos de segurança e de notificação de incidentes;
• Definir os requisitos de segurança da informação, alinhados com os objetivos da organização;
• Documentar e reportar à gestão de topo;
• Conhecer os processos chave da organização.

Entrou em vigor a 16 de janeiro de 2023 a Diretiva SRI 2 (Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho de 14 de dezembro de 2022) que estabelece um conjunto mais extenso de requisitos de cibersegurança para as organizações. Esta Diretiva abrange mais entidades e sectores. Os Estados-Membros devem transpor os novos requisitos para a legislação nacional e aplicá-los a partir de 18 de outubro de 2024.

No final da ação, os formandos devem ser capazes de exercer adequadamente a função de “Responsável de Cibersegurança”, sendo capazes de, designadamente:

- Interpretar corretamente os conceitos e requisitos do RJSC e legislação complementar (já com a nova Diretiva SRI 2);
- Avaliar a maturidade da organização, em matéria de cibersegurança;
- Inventariar e categorizar os ativos de informação essenciais para a prestação dos serviços
- Realizar a análise de risco dos ativos de informação;
- Identificar as medidas técnicas e organizativas adequadas para gerir os riscos, baseado na metodologia do QNRSC;
- Elaborar o Plano de Cibersegurança da organização, em conformidade com o RJSC;
- Construir uma Política e respetivos Procedimentos de Gestão de Ciberincidentes
- Elaborar o Relatório Anual de Cibersegurança, em conformidade com o RJSC;
- Desenhar um Plano de Ação para a conformidade da organização com o RJSC;
- Elaborar os relatórios e outros documentos obrigatórios, em conformidade com o RJSC;
- Adotar boas práticas em matéria de gestão da cibersegurança.

Módulo 01 : Enquadramento Normativo do RJSC (1h)
- A interpretação adequada dos conceitos e requisitos do RJSC e do restante quadro normativo aplicável;
- Legislação e Regime Sancionatório.

Módulo 02 : O “Responsável de Cibersegurança” e “Ponto de Contato Permanente” (0.5h)
- Conteúdo funcional e responsabilidades;
 - Exercício n.º 1.

Módulo 03 : Política de Segurança da Informação (PSI) (1.5h)
- Segurança Informática e Ciberhigiene;
- Princípios orientadores da elaboração/atualização da PSI;
- Análise de modelos de PSI, alinhados com a ISO/IEC 27001;
- Exercício n.º 2.

Módulo 04 : Inventariação de ativos (1h)
- Abordagem à gestão dos ativos (essenciais) e dos equipamentos de rede;
- Abordagem à classificação de criticidade do ativo: alta, média e baixa; 
- Abordagem aos diagramas de rede;
- Exercício n.º 3 e n.º 4.

Módulo 05 : Análise de Risco (2h)
- A análise de risco e requisitos de segurança;
- Quadros de ameaças, vulnerabilidades, impacto, probabilidade, classificação do risco e matrizes de avaliação do risco (heatmaps);
- Tolerância ao Risco, Estratégias de Mitigação e Registo de Riscos;
- Abordagem à Metodologia de Gestão do Risco proposta na ISO/IEC 27005;
- Exercício n.º 5.                         

Módulo 06 : Medidas técnicas e organizativas (2h)
- Abordagem ao Quadro Nacional de Referência de Cibersegurança (QNRSC);
- Análise de medidas técnicas e organizativas adequadas para gerir os riscos;
- Exercício n.º 6.

Módulo 07 : Plano de Cibersegurança (1h)
- Os requisitos do Plano de Cibersegurança;
- Análise de modelo;
• Exercício n.º 7.

Módulo 08 : Gestão de Incidentes de Cibersegurança (2h)
- O Ciclo de Vida do Incidente: as fases da gestão de incidentes de cibersegurança
- Taxonomia;
- Deteção dos incidentes de cibersegurança, a análise da perigosidade e do impacto na organização;
- Notificação de incidentes;
- Análise de modelo;
- Exercício n.º 8.

Módulo 09 : Auditoria e Monitorização da Cibersegurança (1h)
- Responsabilidades do Responsável de Cibersegurança;
- Abordagem à auditoria de cibersegurança: a estrutura típica do plano de auditoria
- Análise de modelo;
- Métricas de cibersegurança para monitorização e acompanhamento.

Módulo 10 : Relatório Anual de Cibersegurança (1h)
- Os requisitos do Relatório Anual para conformidade com o RJSC;
- Análise de modelo;
- Exercício n.º 9.

Módulo 11 : Plano de Ação para a conformidade com o RJSC (1h)
- Linha temporal de aplicação do regime jurídico;
- Análise de modelo de plano de ação, com 9 etapas, para a conformidade com o RJSC;
- Exercício n.º 10.

Módulo 12: A nova Diretiva NIS 2 (1h)
- Apresentação da nova Diretiva SRI2, que entrou em vigor a 16 de janeiro de 2023.
- Apresentação do conjunto mais extenso e harmonizado de requisitos de cibersegurança para as organizações, designadamente, o reforço dos requisitos de segurança, a abordagem da segurança das cadeias de abastecimento, o agilizar das obrigações de informação e a introdução de medidas de supervisão e aplicação mais rigorosos, incluindo sanções harmonizadas em toda a UE. A nova Diretiva SRI2 abrange mais entidades e sectores. 

Módulo 13 : Apresentação dos Dossiers Finais (2.5h)
- Apresentação dos exercícios n.º1 a n.º10, constituintes do Dossier Final, e respetiva avaliação.

Módulo 14 : Passos seguintes (0.5h)
- Tendências e desafios futuros.

Serão utilizadas as metodologias, expositiva, interrogativa e ativa, fomentadora da participação dos formandos.

Dinamização de exercícios e simulações.

Como entidade Formadora Certificada pela DGERT a AEP, no final do curso, vai emitir Certificados de Formação Profissional de acordo com a legislação em vigor.

Para ter aprovação devem verificar-se cumulativamente as seguintes condições:

• assiduidade igual ou superior a 80% da carga horária total da ação (18 horas)
• aproveitamento igual ou superior a 50% no trabalho prático (Dossier Final)

Nos restantes casos é emitido um Certificado de Frequência.

Henrique Necho

- Profissional certificado na área da cibersegurança e da proteção de dados, com mais de 25 anos de atividade profissional desenvolvida na área dos Sistemas de Informação, tanto no sector privado como no público.
- Certificado CISM (Certified Information Security Manager) e CISA (Certified Information Security Auditor) pelo ISACA
- Certificado ISO/IEC 27001 Lead Implementer e ISO/IEC 27005 Risk Manager
- Technical Expert do European Privacy Seal certification
- Fundador e diretor-executivo da "NECHO TECHLAW" 

Maria José Lima

- Jurista, com mais de 20 anos de atividade profissional
- Especialista em direito da cibersegurança

- Profissionais designados pela entidade patronal para o exercício das funções de Responsável de Cibersegurança

- Profissionais que pretendam vir a exercer as funções de Responsável de Cibersegurança

- Responsáveis de Sistemas e Tecnologias de Informação

- Consultores IT

- Auditores IT

- Encarregados da Proteção de Dados

As CONDIÇÕES GERAIS DE PARTICIPAÇÃO são aplicáveis às modalidades de formação presencial e online.
A inscrição pressupõe o conhecimento e aceitação das Condições Gerais de Participação, disponíveis em: 
https://aeportugal.pt/pt/condicoes-gerais-de-participacao