Field notes

NIS 2 está em vigor. O seu regulador não vai esperar.

Como passar de "li a diretiva" para "consigo implementá-la" em 5 dias. De 4 a 8 de maio, online.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy6 min de leitura
NIS 2 Is Live. Your Regulator Won’t Wait.

Sem rodeios

O prazo de transposição da Diretiva NIS 2 foi outubro de 2024. A maioria dos Estados-membros da UE já a transpôs para a legislação nacional ou está na fase final desse processo. Os mecanismos de execução estão a ser implementados. As autoridades reguladoras estão a reforçar os seus quadros. Os enquadramentos de supervisão estão a entrar em vigor.

E no entanto, quando falo com CISOs, responsáveis de conformidade e gestores de TI em toda a Europa, a conversa é quase sempre a mesma:

"Sabemos que a NIS 2 nos é aplicável. Lemos a diretiva. Mas ainda não começámos a implementar."

Se é esse o seu caso, este artigo é o seu alerta. E a sua solução.

O fosso de que ninguém fala

A NIS 2 é uma diretiva, não um manual.

Diz-lhe O QUE precisa de alcançar. Não lhe diz COMO chegar lá. E é no "como" que a maioria das organizações fica completamente bloqueada.

Tem mais de 50 páginas de texto jurídico. Compreende o âmbito, os setores, as obrigações de reporte. Mas quando chega a segunda-feira de manhã e precisa efetivamente de construir um enquadramento de governação, realizar uma avaliação de risco que satisfaça o Artigo 21, implementar a resposta a incidentes com prazos de alerta precoce de 24 horas e de notificação de 72 horas, e documentar as medidas de segurança da cadeia de abastecimento...

Por onde começa?

Esse fosso, entre compreender a diretiva e implementá-la, é exatamente onde os profissionais ficam bloqueados durante meses. E meses é tempo que não tem.

O que distingue a NIS 2 de tudo o resto que já fez

Se já trabalhou com ISO 27001, GDPR ou outros enquadramentos de segurança, pode pensar que a NIS 2 é mais uma caixa de conformidade para marcar. Não é. Eis porquê:

  • Responsabilidade pessoal da gestão. A NIS 2 responsabiliza pessoalmente a gestão de topo. Não a organização. Você. Se é o CISO ou o responsável de conformidade, o dedo aponta para si quando as coisas correm mal.
  • Reporte obrigatório de incidentes com prazos fixos. 24 horas para um alerta precoce. 72 horas para uma notificação completa. Sem flexibilidade, sem "voltamos a falar na semana que vem".
  • A segurança da cadeia de abastecimento não é opcional. Não pode simplesmente dizer "confiamos nos nossos fornecedores". Precisa de avaliações documentadas, obrigações contratuais e monitorização.
  • Coimas que pesam. Até €10 milhões ou 2% do volume de negócios anual global para entidades essenciais. E a sua organização pode ser identificada publicamente.
  • Obrigações transfronteiriças. Se opera em vários Estados-membros da UE, está a lidar com múltiplas transposições nacionais da mesma diretiva. Complexidade multiplicada.

A ISO 27001 é uma excelente base. Mas não cobre os prazos obrigatórios de reporte da NIS 2, os seus requisitos setoriais específicos, nem as disposições de responsabilidade da gestão. Precisa do guia específico para a NIS 2.

As 5 perguntas que o seu regulador vai fazer

Quando a autoridade nacional bater à sua porta, e vai bater, eis o que vai querer ver:

  • Governação: Tem um enquadramento de governação de cibersegurança com funções, responsabilidades e supervisão da gestão claramente definidas? Consegue provar que a gestão de topo está ativamente envolvida?
  • Gestão do risco: Realizou uma avaliação de risco formal? Está documentada? Está associada a controlos específicos? Consegue demonstrar como estabeleceu prioridades?
  • Resposta a incidentes: Tem um plano de resposta a incidentes testado? Cumpre as obrigações de reporte de 24h/72h? Já o exercitou efetivamente?
  • Cadeia de abastecimento: Como avalia e gere os riscos de cibersegurança na sua cadeia de abastecimento? Que contratos, controlos e monitorização tem implementados?
  • Melhoria contínua: Como mede a sua postura de cibersegurança? Que métricas reporta? Como testa e melhora ao longo do tempo?

Se não consegue responder às cinco perguntas com evidências, documentação e segurança, tem um gap de conformidade. E esse gap tem um preço.

4 a 8 de maio: feche o gap em 5 dias

É aqui que entra o nosso curso NIS 2 Directive Lead Implementer.

De 4 a 8 de maio, realizamos uma turma online em direto, em inglês, que o acompanha ao longo de todo o processo de implementação da NIS 2. Não a teoria. Não o texto normativo. A metodologia concreta.

Eis como é a semana:

DiaFocoSeg, 4 de maioFundamentos da NIS 2, requisitos, delimitação do âmbito da organização, início do projeto de implementaçãoTer, 5 de maioEstrutura de governação, funções e responsabilidades, gestão de ativos, metodologia de gestão do riscoQua, 6 de maioControlos de cibersegurança, segurança da cadeia de abastecimento, gestão de incidentes, enquadramentos de gestão de crisesQui, 7 de maioContinuidade de negócio, programas de sensibilização e formação, testes, métricas e monitorização, melhoria contínua

Em poucas semanas, é um NIS 2 Directive Lead Implementer certificado.

O que leva consigo na prática

Vou ser específico, porque "vai aprender muito" não é uma proposta de valor:

  • Um roteiro de implementação completo que pode apresentar ao seu conselho de administração na segunda-feira de manhã. Não "notas de uma formação", mas um plano estruturado com fases, marcos e entregáveis.
  • Enquadramentos de resposta a incidentes que cumprem os prazos obrigatórios de reporte de 24h/72h da NIS 2. Documentados, testados, defensáveis.
  • Uma metodologia de avaliação de risco construída em torno de cenários reais, não de exemplos teóricos. Saberá como avaliar, priorizar e documentar riscos de forma a satisfazer os auditores.
  • Abordagens de segurança da cadeia de abastecimento que vão além de "os nossos fornecedores assinaram um NDA". Enquadramentos de avaliação concretos, requisitos contratuais e monitorização contínua.
  • A credencial PECB Certified NIS 2 Directive Lead Implementer reconhecida em toda a Europa e respaldada pela nossa garantia Certified or Refunded.
  • O tipo de confiança que vem de saber exatamente o que está a fazer, sem adivinhar.

Por que este curso é diferente

Existem outros cursos sobre NIS 2. A maioria é ministrada por formadores que leem diapositivos sobre a diretiva. Não é isso que acontece aqui.

Sou um CISO em exercício. Realizo implementações da NIS 2 para organizações em toda a Europa. Quando ensino resposta a incidentes, é porque construí programas de resposta a incidentes. Quando ensino gestão do risco, é porque já estive perante auditores a defender avaliações de risco. Os exemplos neste curso são reais. A metodologia está testada. As histórias de batalha são minhas.

Não é um exercício teórico. É uma transferência intensiva e condensada de know-how de implementação por parte de alguém que faz este trabalho todos os dias.

E se não passar no exame? Reembolsamos. É a nossa garantia Certified or Refunded. Sem letra pequena. Sem condições além de concluir o curso e realizar o exame.

É para si?

Este curso foi criado para profissionais que já leram o suficiente sobre a NIS 2 e estão prontos para a implementar:

  • CISOs e gestores de segurança a liderar (ou prestes a liderar) projetos de conformidade com a NIS 2
  • Responsáveis de GRC e conformidade com a missão de traduzir a diretiva em realidade operacional
  • Gestores de TI em setores de infraestrutura crítica: energia, transportes, saúde, serviços digitais e os restantes 18 setores agora incluídos no âmbito
  • Consultores que aconselham clientes sobre a NIS 2 e precisam da credencial para o suportar
  • Gestores de risco a integrar os requisitos da NIS 2 em enquadramentos de risco empresarial

Não é o perfil adequado? Se procura uma introdução de alto nível ao que é a NIS 2 e a quem se aplica, o nosso curso NIS 2 Foundation é o melhor ponto de partida. O percurso Lead Implementer pressupõe que já ultrapassou o "o quê" e está pronto para o "como".

Garanta o seu lugar

NIS 2 Directive Lead Implementer

4 a 8 de maio de 2025 | Online em Direto | Inglês

Exame de Certificação PECB Incluído | 31 Créditos CPD

Garantia Certified or Refunded

Os lugares são limitados. Mantemos as turmas pequenas para garantir interação real, perguntas reais e respostas reais.

→ Reserve o seu lugar agora

Quer receber a próxima nota de campo na sua caixa de entrada?

A newsletter The GRC Brief. Cinco ligações e um breve comentário, todas as segundas-feiras às 8h CET. Leitura de três minutos.