ONLINE | NIS2 para Executivos - Governação Executiva e Responsabilidade Pessoal

Capacitar os participantes para compreender, assumir e documentar de forma estruturada as responsabilidades dos órgãos de gestão em matéria de cibersegurança, ao abrigo do DL 125/2025, integrando a gestão do risco, a supervisão executiva, a tomada de decisão estratégica e o cumprimento das obrigações legais associadas.

No final da formação, os participantes deverão ser capazes de:

• Interpretar o enquadramento jurídico da Diretiva NIS2 e do DL 125/2025, identificando o seu impacto direto na governação organizacional;
• Reconhecer e explicar as responsabilidades indelegáveis dos órgãos de gestão previstas no artigo 25.º, incluindo os riscos de responsabilidade pessoal;
• Distinguir claramente funções de governação executiva das funções técnicas e operacionais de cibersegurança, assegurando uma adequada separação de papéis entre Board e CISO;
• Aprovar, supervisionar e acompanhar políticas e medidas de gestão de riscos de cibersegurança, em conformidade com os artigos 26.º a 29.º;
• Definir critérios de apetite ao risco e formalizar decisões de aceitação de risco residual, assegurando a sua adequada documentação;
• Interpretar indicadores executivos de risco (KPI/KRI) e dashboards estratégicos, utilizando-os como instrumento de supervisão regular;
• Avaliar a qualificação de incidentes significativos e compreender as obrigações de notificação às autoridades competentes e aos destinatários dos serviços, nos termos dos artigos 40.º e seguintes;
• Identificar e analisar os principais riscos contraordenacionais e sancionatórios associados ao incumprimento, incluindo coimas, sanções acessórias e medidas de execução;
• Preparar a organização para ações de supervisão, auditoria ou aplicação de medidas de execução pela autoridade de cibersegurança competente, assegurando a existência de evidência documental adequada;
• Integrar a cibersegurança na agenda estratégica do órgão de gestão, enquadrando-a como componente estruturante da governação, da continuidade operacional e da sustentabilidade organizacional

DIA 1 - RESPONSABILIDADE E ARQUITETURA DE GOVERNAÇÃO

MÓDULO 1 | ÂMBITO, RESPONSABILIDADE E EXPOSIÇÃO EXECUTIVA
Sessão Síncrona: 2h

• Diretiva NIS2 vs DL 125/2025
• Entidades essenciais, importantes e publicas relevantes
• Art. 25.º — responsabilidade indelegável
• Erros estruturais típicos da Gestão de Topo

Exercício prático (trabalhado no Dossier)
Autodiagnóstico Executivo: “A minha organização está protegida?”

Preenchimento de:

• Checklist de responsabilidade do órgão de gestão

Aprende a:

• Determinar enquadramento da entidade
• Avaliar risco pessoal
• Identificar lacunas críticas
• Priorizar decisões imediatas

MÓDULO 2 | MODELO DE GOVERNAÇÃO NIS2
Sessão Síncrona: 2h

• Designação formal do Responsável de Cibersegurança - CISO (Art. 31.º)
• Designação formal do Ponto de Contacto Permanente 24/7 – SpoC (Art. 32.º)
• Dever de registo (Art. 35.º)
• Certificação (Art. 34.º)
• Organograma executivo
• Matriz RACI
• Roadmap executivo 120 dias

Exercício prático:

• Construção preliminar:
• Organograma NIS2
• Matriz de accountability

Trabalha no Dossier:

• Modelo de despacho de nomeação
• Roadmap executivo inicial

Aprende a:

• Estruturar governação formal
• Criar cadeia clara de responsabilidade
• Garantir proteção documental inicial

DIA 2 - GESTÃO DO RISCO E SUPERVISÃO DO BOARD

MÓDULO 3 | METODOLOGIA DE GESTÃO DE RISCO E APETITE AO RISCO
Sessão Síncrona: 2h

• Sistema de gestão de risco (Art. 26.º)
• Proporcionalidade e matriz de risco
• ISO 27005 (visão executiva)
• Definição de apetite ao risco
• Cadeia de abastecimento (Art. 28.º)

Exercício:
Definição de apetite ao risco executivo
Trabalha no Dossier:

• Declaração formal de apetite ao risco
• Política de gestão de risco (versão executiva)

Aprende a:

• Interpretar relatórios técnicos
• Decidir com base no risco
• Supervisionar fornecedores críticos
• Integrar risco na estratégia

MÓDULO 4 | RISCO RESIDUAL, DASHBOARD E SUPERVISÃO
Sessão Síncrona: 2h

• Gestão de risco residual (Art. 29.º)
• Ata formal de aceitação de risco
• KPI/KRI mínimos para o Board
• Relatório anual (Art. 30.º)
• Supervisão e auditorias CNCS (Arts. 53.º-58.º)

Exercício: 
Construção de dashboard mínimo executivo.
Trabalha no Dossier:

• Modelo de ata de aceitação de risco
• Estrutura de dashboard executivo
• Checklist de auditoria

Aprende a:

• Formalizar decisões de risco
• Criar evidência documental
• Antecipar inspeções
• Proteger juridicamente o órgão de gestão

DIA 3 - INCIDENTES, SANÇÕES E REAÇÃO EXECUTIVA

MÓDULO 5 | INCIDENTES, NOTIFICAÇÃO E NOTIFICAÇÃO
Sessão Síncrona: 2h

• Incidente significativo (Art. 40.º)
• Critérios de decisão
• Interface CNCS + CNPD
• Notificação faseada (24h/72h/24h/30d)
• Comunicação a clientes (Art. 48.º)

Exercício: 
Matriz decisória: “Incidente significativo ou não?”
Trabalha no Dossier:

• Matriz de decisão
• Procedimento integrado de notificação
• Modelo de comunicação externa

Aprende a:

• Decidir sob pressão
• Reduzir risco sancionatório
• Supervisionar comunicação institucional

MÓDULO 6 | REGIME SANCIONATÓRIO E REAÇÃO EXECUTIVA
Sessão Síncrona: 2h

• Contraordenações (Arts. 61.º-70.º)
• Coimas máximas
• Dolo, culpa grave e interdição
• Mapa de exposição a coimas
• Suspensão e interdição
• Medidas de execução
• Recorrer ou não recorrer
• Gestão reputacional
• Simulação Executiva de Crise NIS 2 (tabletop)

Exercício
Simulação executiva de crise.

Trabalha no Dossier:

• Playbook de resposta
• Gestão de crise comunicacional

Aprende a:

• Tomar decisões estratégicas em crise
• Avaliar risco de coima
• Estruturar defesa institucional
• Proteger reputação organizacional

TRABALHO ASSÍNCRONO (1h30)
Adaptação do Dossier Executivo à realidade da organização
O participante deve:

1. Completar a declaração de apetite ao risco
2. Identificar CISO e SPoC (ou confirmar inexistência)
3. Mapear 3 riscos prioritários
4. Preencher matriz de incidente significativo
5. Identificar lacunas críticas

Este trabalho serve de base à mentoria.

MENTORIA INDIVIDUAL (30min.)
Objetivo:

• Validar decisões estratégicas
• Ajustar Dossier à realidade organizacional
• Identificar riscos críticos
• Identificar necessidades estruturais

SIMULAÇÃO EXECUTIVA DE CRISE NIS 2 (TABLETOP)
O Tabletop é um dos pontos altos da formação.
Simula:

• Incidente significativo com impacto operacional e reputacional
• Pressão mediática
• Pedido de informação da autoridade
• Dilema de notificação
• Exposição sancionatória
• Necessidade de decisão em tempo real

O exercício expõe:

• Lacunas de governação
• Ausência de formalização
• Falta de apetite ao risco definido
• Inexistência de dashboard
• Fragilidade do modelo de supervisão

E conduz naturalmente à pergunta: “Estamos preparados para isto na nossa organização?”
 

A formação adota uma metodologia ativa, executiva e orientada para a tomada de decisão estratégica, privilegiando a aplicação prática no contexto organizacional dos participantes.

O curso estrutura-se segundo uma abordagem integrada jurídico-estratégica, combinando exposição conceptual, análise aplicada e produção de evidência executiva.

A metodologia integra:

• Exposição estruturada do enquadramento jurídico e estratégico, com foco nas responsabilidades dos órgãos de gestão previstas no DL 125/2025;
• Análise orientada de cenários reais e casos práticos, centrados na decisão executiva e na responsabilização institucional;
• Discussão dirigida de dilemas estratégicos, promovendo reflexão crítica entre pares;
• Simulação de tomada de decisão em contexto de incidente significativo, incluindo qualificação do incidente, obrigação de notificação e gestão reputacional;
• Trabalho autónomo orientado, com base no Dossier Executivo de Governação NIS2;
• Sessão de mentoria individual (30min.) destinada à validação das decisões estratégicas e à adaptação dos instrumentos à realidade concreta da organização.

Sessões Síncronas
As sessões síncronas decorrem em formato online interativo (12 horas), privilegiando:

• Debate estratégico entre decisores;
• Análise das implicações práticas das obrigações legais;
• Construção progressiva de instrumentos de governação;
• Estruturação de decisões documentadas.

A participação ativa é incentivada através de exercícios práticos integrados nos módulos, com aplicação direta aos documentos do Dossier Executivo.

Componente Assíncrona (1h30)
A componente assíncrona consiste na utilização orientada do Dossier Executivo de Governação NIS2, composto por modelos, políticas, checklists, matrizes decisórias, dashboards e guias estratégicos.

Os participantes deverão adaptar estes instrumentos ao contexto da sua organização, nomeadamente:

• Definição preliminar de apetite ao risco;
• Identificação de lacunas críticas de governação;
• Mapeamento de riscos prioritários;
• Estruturação da arquitetura de responsabilidades.

Esta etapa permite transformar a formação em processo real de implementação.

Mentoria Individual (30min.)
A mentoria individual destina-se a:

• Validar decisões estratégicas assumidas;
• Clarificar dúvidas específicas;
• Ajustar os instrumentos do Dossier Executivo à estrutura e perfil de risco da entidade;
• Identificar necessidades adicionais de maturidade organizacional.

A metodologia está orientada exclusivamente para decisores, centrando-se na compreensão das responsabilidades de governação, na supervisão estratégica e na capacidade de tomada de decisão documentada.

Não se trata de formação técnica de configuração ou implementação tecnológica, mas de um programa executivo de governação e proteção institucional.

A avaliação das aprendizagens assenta numa abordagem contínua, qualitativa e orientada para a aplicação prática dos conteúdos no contexto real da organização representada pelo participante.

Tendo em conta a natureza executiva do programa, a avaliação não incide sobre competências técnicas de configuração ou implementação tecnológica, mas sobre a capacidade de compreensão, decisão estratégica e estruturação documental das responsabilidades de governação previstas no DL 125/2025.

A avaliação integra os seguintes elementos:

1. Participação Ativa nas Sessões Síncronas
Será valorizada a participação nos debates estratégicos, a intervenção na análise de cenários executivos e a contribuição nos exercícios práticos desenvolvidos em cada módulo, nomeadamente:

• Autodiagnóstico executivo inicial;
• Definição de apetite ao risco;
• Exercício de qualificação de incidente significativo;
• Simulação de tomada de decisão em contexto de crise.

A participação ativa permite evidenciar a compreensão das responsabilidades legais e a capacidade de aplicação dos conceitos à realidade organizacional.

2. Aplicação Prática no Dossier Executivo de Governação NIS2
A componente assíncrona (1h30) constitui parte integrante da avaliação.
Os participantes deverão demonstrar:

• Capacidade de adaptar os instrumentos do Dossier Executivo à sua organização;
• Identificação de lacunas críticas de governação;
• Estruturação preliminar de decisões estratégicas (ex.: apetite ao risco, nomeação de funções críticas, mapa de riscos prioritários).

A evidência pode assumir a forma de documentos parcialmente preenchidos, reflexões estruturadas ou identificação fundamentada de necessidades de implementação.

3. Validação em Mentoria Individual (30min.)
A sessão de mentoria individual permite avaliar:

• A coerência das decisões estratégicas assumidas;
• A compreensão das responsabilidades do órgão de gestão;
• A capacidade de integrar risco, supervisão e obrigações legais;
• O grau de maturidade organizacional identificado.

A mentoria funciona como momento de consolidação das aprendizagens e validação da aplicação prática dos instrumentos de governação.

Critério Global de Avaliação
A avaliação considera como critérios principais:

• Compreensão adequada do enquadramento jurídico;
• Capacidade de distinguir decisão executiva de execução técnica;
• Estruturação de modelo básico de governação NIS2;
• Aplicação fundamentada dos instrumentos do Dossier Executivo;
• Capacidade de tomada de decisão documentada.

A conclusão com aproveitamento pressupõe:

• Frequência mínima 70% das sessões síncronas;
• Participação ativa nas sessões;
• Realização da componente assíncrona;
• Participação na mentoria individual.

Esta metodologia assegura coerência entre objetivos pedagógicos, conteúdos, instrumentos de governação e evidência prática, promovendo uma aprendizagem orientada para decisão executiva responsável e documentada
 

O curso é assegurado por uma dupla sénior técnico-jurídica com experiência real em governação executiva, implementação de sistemas de cibersegurança e análise de regimes sancionatórios.

Henrique Necho

• Engenheiro IT | CEO da NECHO TECHLAW
• 30 anos de experiência em sistemas de informação e cibersegurança
• CISM | CISA | CIPP/E
• PhD em Engineering and Public Policy
• Especialista em NIS2, GDPR e AI Act
• Consultor principal em projetos de conformidade NIS1 e NIS2
• CISO de entidade pública relevante (Grupo A)

Mª José Necho

• Jurista especializada em Ciências Jurídico-Económicas
• 25 anos de experiência
• Esperiência em procedimentos contraordenacionais e regimes sancionatórios
• Auditora Interna de Qualidade ISO 9001
• Certificado de Competências Pedagógicas (CCP)

Co-responsável pelo módulo 6 sobre o Regime Sancionatório e a Reação Executiva

O curso “NIS2 para Executivos – Governação Executiva e Responsabilidade Pessoal” destina-se a dirigentes e membros de órgãos de gestão que assumem responsabilidades estratégicas e legais em matéria de governação organizacional, risco e conformidade.

É especialmente dirigido a:

• Membros de Conselhos de Administração
• Administradores executivos e não executivos
• Membros de Comissões Executivas
• Diretores-Gerais e Diretores de 1.ª linha
• Presidentes e Vogais de Conselhos Diretivos
• Dirigentes superiores da Administração Pública
• Secretários-Gerais e Diretores de Serviços
• Responsáveis por áreas de risco, compliance e auditoria interna
• Membros de Comissões de Auditoria ou Comissões de Risco

O programa é particularmente relevante para:

• Entidades essenciais e importantes ao abrigo do DL 125/2025
• Entidades públicas relevantes
• Organizações com exposição significativa a risco digital
• Grupos empresariais com múltiplas entidades sujeitas ao regime

Não é um curso técnico para equipas de IT.
Destina-se a quem decide, aprova, supervisiona e responde institucional e pessoalmente pelo cumprimento do Regime Jurídico da Cibersegurança.                 

As CONDIÇÕES GERAIS DE PARTICIPAÇÃO são aplicáveis às modalidades de formação presencial e online. A inscrição pressupõe o conhecimento e aceitação das Condições Gerais de Participação, disponíveis em: 
https://aeportugal.pt/pt/condicoes-gerais-de-participacao