Governação e Aprovação
- Policy de Cibersegurança (template para aprovação em board)
- Dashboard de Supervisão para Administradores (métricas não-técnicas)
- Template de Ata de Aprovação de Medidas
O que mudou com a NIS 2
A transposição da Diretiva NIS 2 para o ordenamento jurídico português trouxe uma mudança significativa: a cibersegurança passou a ser uma responsabilidade expressa dos órgãos de gestão.
O Artigo 25.º do DL 125/2025 estabelece quatro obrigações não delegáveis:
- Aprovar as medidas de gestão dos riscos de cibersegurança
- Supervisionar a implementação dessas medidas
- Avaliar periodicamente a sua eficácia
- Assegurar a realização de formação em cibersegurança
Enquadramento Legal
As organizações qualificadas como entidades essenciais ou importantes ficam sujeitas a um regime de supervisão pelo Centro Nacional de Cibersegurança (CNCS), que inclui:
- Obrigação de registo e notificação de incidentes
- Implementação de medidas técnicas e organizacionais
- Sujeição a auditorias e pedidos de informação
- Regime sancionatório em caso de incumprimento
A formação dos órgãos de gestão é uma das obrigações verificáveis em sede de supervisão.
Esta formação foi desenhada para dar resposta direta à alínea d) do Artigo 25.º, proporcionando aos administradores e gestores de topo o conhecimento necessário para tomar decisões informadas e demonstrar conformidade.
Executive Brief — Governação da Cibersegurança (DL 125/2025)
Síntese executiva para Conselhos de Administração e órgãos de direção: responsabilidades diretas, risco sancionatório e evidência documental necessária para demonstrar conformidade.
- Responsabilidade não delegável da gestão de topo
- Coimas e sanções com impacto direto na Administração
- Checklist de evidência documental e deveres de supervisão
Descarregar Executive Brief (PDF) Uso exclusivo AEP Formação
Uma formação pensada para quem decide
Este não é um curso técnico de cibersegurança. É uma formação executiva que traduz obrigações legais em decisões práticas de gestão.
Foco em Governação
Aprenda a aprovar medidas, supervisionar sem microgerir e avaliar eficácia com métricas de gestão.
Linguagem de Negócio
Traduzimos risco técnico em risco financeiro e operacional — investimento, priorização e retorno.
Aplicação Imediata
Templates, checklists e guias de decisão utilizáveis no dia seguinte.
Evidência Documental
Certificação e toolkit completo — prova clara de cumprimento da obrigação de formação.
Conformidade Legal
Cumpre o Art.º 25.º com certificação e evidência documental para auditorias.
Capacitação Estratégica
Decisões informadas sobre investimentos, prioridades e aprovação de medidas.
Preparação Prática
Toolkit executivo alinhado com o DL 125/2025 e práticas do CNCS.
Quem Lidera Esta Formação
Formação executiva conduzida por especialistas com experiência real em governação, regulação e decisão estratégica.
Henrique Necho
CISO | CEO NECHO TECHLAW
30 anos de experiência em cibersegurança, governação e decisão executiva.
CISM CISA CIPP/E PhD Engineering & Public Policy NIS2 · GDPR · AI Act
“O meu trabalho não é ensinar a configurar sistemas. É capacitar decisores para aprovar investimentos, supervisionar riscos e agir com confiança.”
Mª José Lima
Jurista Especializada em Direito Digital
Especialista em regime sancionatório, supervisão e conformidade regulatória.
- Procedimentos contraordenacionais
- Supervisão e auditorias CNCS
- Certificado de Competências Pedagógicas (CAP/CCP)
Lidera o módulo sobre supervisão, sanções e simulação de auditoria.
Programa: 12 Horas de Capacitação Executiva
Três sessões online de 4 horas. Formato executivo: direto, prático, focado em decisão.
Todos os módulos incluem ferramentas aplicáveis imediatamente.
Sessão 1 | 10 abril
Módulo 1 — Enquadramento Legal e Âmbito
- DL 125/2025: objeto, âmbito e exclusões
- Qualificação de entidades (essencial/importante/pública relevante)
- CNCS, CERT.PT e Quadro Nacional de Referência de Cibersegurança
- Exercício: Autoclassificação e análise de gap
Output: Compreensão clara do enquadramento da sua organização
Módulo 2 — Responsabilidades do Órgão de Gestão
- Artigo 25.º: análise detalhada das 4 obrigações não delegáveis
- Conceito de due diligence em matéria de cibersegurança
- Evidências documentais que demonstram cumprimento
- Caso prático: Análise de conformidade organizacional
Output: Checklist de verificação para administradores
Sessão 2 | 17 abril
Módulo 3 — Sistema de Gestão e Medidas Obrigatórias
- Artigo 26.º: sistema de gestão dos riscos de cibersegurança
- Artigo 27.º: 10 medidas técnicas e organizacionais — o que significam e como aprovar
- Artigo 28.º: gestão de riscos da cadeia de fornecimento
- Quantificação de risco: vulnerabilidades → impacto financeiro
- Exercício: priorização de investimentos (quick wins vs. estruturantes)
Output: Template de aprovação de orçamento de cibersegurança
Módulo 4 — Estrutura de Governação
- Artigo 31.º: responsável de cibersegurança (CISO) — como recrutar e avaliar
- Artigo 32.º: ponto de contacto permanente — requisitos e implementação
- Artigo 30.º: relatório anual e prestação de informação ao CNCS
- Artigo 35.º: registo em plataforma eletrónica
Output: Job description CISO + KPIs de supervisão para board
Sessão 3 | 24 abril
Módulo 5 — Gestão e Notificação de Incidentes
- Artigos 40.º–41.º: prazos (24h / 72h / 30 dias)
- Critérios de qualificação de incidentes significativos
- Artigo 48.º: comunicação aos destinatários dos serviços
- Exercício cronometrado: “Primeiros 60 minutos”
Output: Runbook executivo para gestão de crise
Módulo 6 — Simulação de Crise (Tabletop Exercise)
- Cenário realista de ataque ransomware
- Distribuição de papéis: CEO, CFO, CISO, Comunicação, Jurídico, Administrador
- Três rondas de decisão com injects e pressão temporal
- Debriefing estruturado: o que funcionou, o que melhorar
Objetivo: Testar processos de decisão antes de enfrentar uma situação real
Módulo 7 — Supervisão, Auditorias e Regime Sancionatório
- Artigos 53.º–56.º: poderes do CNCS
- Artigos 61.º–70.º: coimas e critérios de atenuação
- Preparação para auditoria: documentação e evidências
- Role-play: simulação de auditoria CNCS (15 perguntas típicas)
Output: Guião de preparação para inspeção
Módulo 8 — Plano de Ação Individual
- Síntese dos pontos críticos do DL 125/2025
- Plano de ação personalizado (prioridades imediatas e médio prazo)
- Discussão coletiva: barreiras e estratégias de implementação
Output: Plano de conformidade adaptado à realidade da sua organização
Toolkit Executivo NIS 2: Ferramentas Prontas a Usar
Incluído na formação, recebe um conjunto completo de templates profissionais, desenvolvidos por especialistas e alinhados com o DL 125/2025 e as práticas do CNCS.
Avaliação e Decisão
- Checklist de Due Diligence (verificação de conformidade)
- Template de Quantificação de Risco (tradução técnica → financeira)
- Framework de Priorização de Investimentos
Estrutura Organizacional
- Job Description CISO + Critérios de Avaliação
- KPIs de Supervisão de Cibersegurança para Board
- Template de Relatório Anual (Art. 30.º)
Gestão de Incidentes
- Plano de Comunicação de Crise
- Minuta de Notificação ao CNCS (24h/72h/30 dias)
- Runbook: Primeiros 60 Minutos de Resposta a Incidente
Preparação para Auditoria
- Guião de Preparação para Inspeção CNCS
- Checklist de Documentação e Evidências
- Guia Prático para Administradores
Nota: o toolkit é disponibilizado como material de apoio aos participantes inscritos.
Perguntas Frequentes
Esta formação requer conhecimentos técnicos prévios?
Não. Foi desenhada especificamente para administradores e gestores sem formação técnica em cibersegurança. Usamos linguagem de gestão, não jargão técnico.
Como se relaciona com a obrigação legal de formação?
O Artigo 25.º, nº1, alínea d) estabelece que os órgãos de gestão devem "assegurar a realização, com periodicidade regular, de ações de formação em cibersegurança". Esta formação responde diretamente a essa obrigação, com certificação e toolkit que constituem evidência documental.
Já temos um CISO. Ainda preciso desta formação?
Sim. A designação de um CISO (Artigo 31º) é obrigatória, mas não substitui as responsabilidades não-delegáveis do órgão de gestão. O CISO implementa; o board aprova, supervisiona e avalia. Esta formação capacita-o para exercer essas funções de forma informada.
A minha organização é uma PME. Isto aplica-se a nós?
Se a sua PME está qualificada como entidade essencial ou importante nos termos do DL 125/2025 (normalmente por atuar em setores críticos), sim. O diploma não faz distinção por dimensão de empresa.
Como posso saber se a minha empresa está abrangida?
O Módulo 1 da formação inclui um exercício de autoclassificação. Mas pode contactar-nos previamente para esclarecimento: formacao@aeportugal.pt
Posso enviar colaboradores em vez de participar?
A formação está desenhada para titulares de órgãos de gestão. Colaboradores técnicos devem frequentar a formação especializada "NIS 2 - Conformidade Prática para Responsáveis de Cibersegurança" (também disponível na AEP).
Que evidência terei de que cumpri a obrigação de formação?
Certificado DGERT, Toolkit Executivo documentado e Plano de Ação assinado. Tudo o que constitui evidência adequada em sede de auditoria.
Haverá outras edições?
Sim. Esta é a edição de abril em formato laboral (sextas-feiras). Há uma edição em maio em formato intensivo. Para informações sobre calendário: formacao@aeportugal.pt
Posso participar de fora de Portugal?
Sim, a formação é online. Contudo, o DL 125/2025 aplica-se a entidades estabelecidas em Portugal ou que prestem serviços em território nacional.
Próximos passos
A conformidade com o DL 125/2025 exige conhecimento, estrutura e evidências documentadas. Esta formação proporciona os três.
Ao inscrever-se, vai:
- Cumprir a obrigação legal de formação estabelecida no Art. 25.º
- Adquirir conhecimento para tomar decisões informadas sobre cibersegurança
- Receber toolkit completo com templates profissionais prontos a usar
- Demonstrar due diligence perante stakeholders e entidades supervisoras
- Preparar a sua organização para auditorias do CNCS
