Resources
Material de referência GRC testado em campo, escrito por um CISO em exercício. Artigos, pilares aprofundados, uma enciclopédia em crescimento e uma newsletter semanal que não desperdiça o seu tempo.
Blog
Artigos curtos sobre regulamentação, auditorias e o dia a dia do CISO.
Pillars
Os guias completos sobre NIS 2, DORA, ISO 27001, AI Act e mais.
Encyclopedia
Definições em linguagem clara de todos os termos que encontrará em campo.
Newsletter
Cinco ligações selecionadas sobre regulamentação cibernética na UE. Sem rodeios.
Latest

A cibersegurança e a segurança pessoal assentam nas mesmas bases: contexto, consciência situacional, defesas em camadas e capacidade de resposta. Eis porque a segurança não é apenas uma profissão; é uma mentalidade que se aplica em todos os contextos.
Read
Focado em ISO? Em auditoria? Em governance técnica? Uma comparação direta entre PECB, ISACA e Exin; e qual o percurso de certificação que se alinha efetivamente aos seus objetivos de carreira em GRC.
Read
NIS2 torna-se aplicável em 2026 e o mundo para os CISOs muda consideravelmente. Aqui está a análise direta do que muda efetivamente: governação, sanções, responsabilidades do Conselho de Administração, risco na cadeia de fornecimento, reporte de incidentes e expectativas operacionais.
ReadDeep dives
Pillar
Abrangidos: 18 setores, entidades de média dimensão (50+ ETI / 10M+ de volume de negócios) e superiores. Dois escalões, essenciais e importantes, com diferente intensidade de supervisão.Dez medidas de gestão de riscos de cibersegurança ao abrigo do Artigo 21. A diretiva diz o quê; a ISO 27001 é o como mais comum.Notificação de incidentes: alerta precoce em 24 horas, notificação em 72 horas, relatório completo ao fim de um mês. Defina o percurso antes de precisar dele.A responsabilidade pessoal e a prestação de contas pela gestão são agora explícitas. O conselho de administração está em causa, não apenas o CISO.O estado de transposição varia de país para país; verifique a sua autoridade nacional antes de presumir que o texto da UE se aplica tal como está.
Ler o guiaPillar
Aplica-se a cerca de 20 categorias de entidades financeiras, mais os prestadores terceiros de TIC críticos designados, desde 17 January 2025.Cinco pilares. O registo de terceiros (Pilar 4) e os testes de resiliência (Pilar 3, incluindo TLPT para as entidades significativas) são os mais operacionais e os mais auditados.Para as entidades significativas, testes de penetração baseados em ameaças de três em três anos, supervisionados pela autoridade nacional ao abrigo do TIBER-EU.Os prestadores terceiros de TIC críticos são supervisionados diretamente pelas European Supervisory Authorities (ESAs). O seu risco de concentração passa agora a ter relevância ao nível da UE.Combine com a ISO 22301 para o BCMS, a ISO 27001 para a gestão do risco de TIC, e o Lead Operational Resilience Manager para a camada voltada para o regulador.
Ler o guiaPillar
A Foundation é o pré-requisito. Dá o vocabulário e o modelo mental do sistema de gestão. Dois dias, exame de 1 hora.A Lead Implementer (5 dias) ensina-o a construir o ISMS, a redigir a SoA, a conduzir o tratamento do risco e a operar o ciclo de revisão pela gestão.A Lead Auditor (5 dias) ensina-o a planear e a liderar auditorias de terceira parte ou internas. Uma mentalidade diferente: evidências, amostragem, técnica de entrevista, relato.A maioria dos CISOs e responsáveis de segurança faz a Lead Implementer. Auditores internos e consultores das Big Four fazem a Lead Auditor. Fazer ambas é comum ao longo de 12 a 18 meses.Taxas de aprovação em turmas PECB com formador: 99,1% à primeira tentativa nas nossas formações; a média de mercado situa-se entre 80% e 85% consoante o parceiro.
Ler o guiaVocabulary
AI Risk Manager é a credencial (PECB / ISACA emergente) para profissionais que gerem programas de risco específicos de IA: risco de modelo, viés, deriva, transparência, risco de modelo de terceiros. Camada operacional que complementa a ISO 42001 (nível de sistema) e o AI Act (camada regulatória). Acompanhamento habitual de um CISO ou Lead AI Auditor.
AAIA é a credencial avançada da ISACA para auditoria de sistemas, modelos e governação de IA. Mais recente (a partir de 2024). Requer CISA ou equivalente. Concebida para auditores sénior que pretendem adquirir competências em IA, alinhada com a ISO 42001 e as obrigações de alto risco do AI Act.
A ANSSI é a agência nacional de cibersegurança francesa, sob tutela do Primeiro-Ministro desde 2009. É a autoridade nacional em matéria de política de cibersegurança em França, qualifica produtos e prestadores de serviços, publica o EBIOS Risk Manager e atua como autoridade competente para a transposição do NIS 2. As suas qualificações (SecNumCloud, PVID, PASSI) são o padrão de referência no setor público francês.
A ENISA é a agência de cibersegurança da UE, com sede em Atenas. Apoia os Estados-Membros e as instituições da UE em matéria de política de cibersegurança, cooperação operacional e o quadro de certificação da UE. Está operacionalmente envolvida na cooperação ao abrigo do NIS 2, nas normas de execução do DORA e na linha de base de segurança do AI Act. O seu relatório anual sobre o panorama de ameaças é a publicação anual mais citada.
O apetite ao risco é a quantidade e o tipo de risco que a organização está disposta a aceitar para atingir os seus objetivos. Definido ao nível executivo ou do conselho de administração, por escrito. Sem ele, cada decisão de tratamento do risco é um julgamento pessoal da equipa de risco, e a auditoria vai destrui-lo. Associar com a tolerância ao risco (o desvio tolerado em torno do apetite).
A certificação ISO inicial divide-se em fase 1 (revisão da documentação e prontidão, normalmente 1 a 2 dias) e fase 2 (auditoria de evidências operacionais, 2 a 5 dias). A fase 1 confirma que o sistema de gestão existe no papel; a fase 2 verifica se funciona na prática. A maioria das auditorias de fase 2 "reprovadas" resulta de problemas da fase 1 que ninguém corrigiu no intervalo.
The GRC Brief
Regulamentação cibernética na UE, conclusões de auditoria, modelos e breves comentários. De um CISO em exercício. Gratuito. Sem rodeios.
Subscrever The GRC Brief