Addon NIS2

O pacote de políticas Addon NIS2 consolida quatro políticas empresariais desenvolvidas de forma rigorosa, estruturadas para maximizar a conformidade organizacional com os requisitos em evolução da Diretiva NIS2 da União Europeia. Cada política funciona como um domínio de controlo direcionado, permitindo a adoção em todo o sistema de melhores práticas para gestão de riscos, testes de segurança, divulgação de vulnerabilidades e autenticação segura em diversas unidades de negócio e tecnologia. P41 – Política de Gestão de Risco de Dependência de Fornecedores fornece mecanismos robustos para identificar e mitigar riscos sistémicos da cadeia de abastecimento. Detalha como as organizações devem manter um registo de dependência de fornecedores, realizar avaliações de riscos regulares e aplicar limites de risco de concentração, incluindo estratégias de diversificação e planeamento de reversão para fornecedores críticos. A política exige revisões anuais e liga o risco da cadeia de abastecimento diretamente ao planeamento de continuidade de negócio e ao ambiente de recuperação em caso de desastre. Os quadros de governação exigem reporte às autoridades e escalonamento quando ocorrem cenários de dependência de alto risco ou incumprimento de terceiros, cumprindo necessidades regulamentares e práticas de gestão de riscos. P40 – Política de Testes de Segurança e Red-Teaming estrutura um programa abrangente de validação técnica para redes, aplicações e infraestrutura. Prescreve varreduras de vulnerabilidades periódicas, testes de penetração e exercícios de red team, cobrindo domínios cibernéticos e físicos quando relevante. A política assegura que todos os testes são devidamente delimitados, autorizados e registados, e que os planos de remediação para vulnerabilidades identificadas são acompanhados e verificados. As constatações dos testes alimentam diretamente o tratamento de riscos, ciclos de melhoria contínua e são revistas em processos de gestão e auditoria — apoiando mandatos regulamentares para medição de eficácia e garantia técnica. P39 – Política de Divulgação Coordenada de Vulnerabilidades define um processo claro para aceitar, rever, remediar e divulgar vulnerabilidades. Especifica regras de safe harbor para reportantes externos (incluindo investigadores, parceiros e clientes), aplica resposta rápida através de uma Equipa de Resposta a Vulnerabilidades dedicada e gere comunicações internas e externas para avisos. A política está alinhada com a Diretiva NIS2 e orientações da ENISA, garantindo que existem canais públicos para divulgação, proteção legal para reportantes de boa-fé e que os prazos de remediação e práticas de divulgação correspondem a normas internacionais. Métricas e revisões pós-mortem são integrais para melhoria contínua do processo. P38 – Política de Comunicações Seguras e autenticação multifator (tipo PME) foi concebida para ser implementável por organizações com estruturas de segurança simplificadas e sem Centro de Operações de Segurança (SOC) dedicado. Exige autenticação multifator para todos os pontos de acesso e contas privilegiadas, e requer canais cifrados para todas as comunicações internas e de emergência. A política inclui responsabilidades específicas de utilizadores, administradores de TI e Alta direção, e permite exceções documentadas com controlos compensatórios quando existirem limitações técnicas. Auditorias contínuas e formação regular reforçam a adoção, enquanto a governação assegura atualizações rápidas em linha com alterações regulamentares e do panorama de ameaças. Em conjunto, estas políticas criam uma base forte e defensável de conformidade com a Diretiva NIS2, mapeando de forma rigorosa requisitos legais, técnicos e de reporte da UE, e oferecendo playbooks operacionais detalhados para equipas de TI, risco, conformidade, aquisição, Gestão de fornecedores e funções executivas.