WEBINAR | NIS2 - Órgãos de Gestão e Direção: responsabilidade, supervisão e decisões indelegáveis

A entrada em vigor do Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025 - transposição da Diretiva NIS2) em 3 de abril de 2026 introduz uma mudança estrutural no modelo de responsabilidade pela cibersegurança:

A responsabilidade pela cibersegurança deixa de ser apenas técnica e passa a ser uma responsabilidade direta dos órgãos de gestão, direção e administração (Art.º 25.º do RJC).

Os membros dos órgãos de direção e administração passam a ter obrigações legais concretas:

• Dever de supervisão ativa das medidas de cibersegurança
• Obrigação de assegurar formação regular em cibersegurança
• Aprovação formal das medidas de gestão de risco
• Responsabilidade pessoal em caso de incumprimento, com dolo ou culpa grave
• Indelegabilidade - a responsabilidade não pode ser transferida ao Responsável de Cibersegurança (CISO) ou a terceiros

Com coimas até €10M ou 2% do volume de negócios mundial para entidades essenciais, o risco deixa de ser operacional - torna-se estratégico e pessoal. A coima pessoal pode chegar a €200.000 para os titulares do órgão de gestão.

Janela crítica
O Art.º 65.º prevê uma janela até abril de 2027 para entidades que demonstrem ter um procedimento interno de adaptação documentado em curso. O pedido de dispensa de coima é fundamentado - não automático. Este é o momento de decisão.

11h30 | Abertura
Enquadramento institucional e relevância da NIS2 para a gestão
Alexandre Almeida, Administrador da AEP


11h40 | Keynote Speaker
Henrique Necho, CEO NECHO TECHLAW , CISM , CISA, CIPP/E, ISO 27001 LI, Responsável de Cibersegurança, Entidade Pública Relevante Grupo A
 

• Como ler a NIS2 do ponto de vista da gestão executiva
• O que mudou?
  • Entrada em vigor a 3 de abril de 2026 - sem período de graça
  • Quem é abrangido e com que classificação (EE · EI · EPR)
  • Obrigações imediatas vs diferidas (~2028)
  • Coimas até €10M · Coima pessoal até €200.000 · Interdição temporária

 

• Responsabilidade
  • O que o OD tem de aprovar, supervisionar e assegurar
  • Formação obrigatória do OD - é item de auditoria, não sugestão
  • Relatório anual assinado pelo CISO - aprovado pelo OD
  • Decisões indelegáveis: aceitação de risco · aprovação de orçamento · prioridade estratégica

 

• O que Exigir?
  • O que pedir ao CISO - as 5 perguntas que o Board deve colocar
  • Como distinguir evidência real de "conformidade em PowerPoint"
  • O Dossier Executivo de Implementação NIS2® - o que é e o que contém

 

• Incidentes
  • Quando é um incidente "significativo"
  • Quem decide notificar · quem aprova · prazo de 24h ao CNCS
  • Cenário real: Board às 09h00 - o que diz o CEO quando o CISO liga?

 

• Ponte para a ação: "A lei é clara. A questão é: o que tem hoje para demonstrar?"

 

• Evidência prática
  • Caso real - gestor ou organização já em processo de conformidade
  • Ponto de partida · decisão tomada pelo Board · resultado mensurável

12h10 | Testemunhos e Q&A

12h30 | Encerramento
Paula Silvestre, Diretora da área Competitividade e Formação da AEP