Artigo 20.º

Governação

1. Os Estados-Membros devem assegurar que os órgãos de direção das entidades essenciais e importantes aprovam as medidas de gestão dos riscos de cibersegurança tomadas por essas entidades em cumprimento do disposto no artigo 21.o, supervisionam a sua aplicação e podem ser responsabilizados por infrações cometidas pelas entidades referidas nesse artigo.

O presente número aplica-se sem prejuízo do direito nacional no que respeita às regras em matéria de responsabilidade aplicáveis às instituições públicas, bem como à responsabilidade dos funcionários públicos e dos funcionários eleitos ou nomeados.

2. Compete igualmente aos Estados-Membros garantir que os membros do órgão de direção das entidades essenciais e importantes sejam obrigados a frequentar ações de formação e incentivar as entidades essenciais e importantes a oferecer regularmente ações de formação semelhantes aos seus trabalhadores, a fim de adquirirem conhecimentos e competências suficientes para identificarem e avaliarem as práticas de gestão dos riscos de cibersegurança, bem como o seu impacto nos serviços prestados pela entidade.

Perguntas frequentes

Que responsabilidades têm os órgãos de direção sob a diretiva NIS2?

Os órgãos de direção das entidades importantes e essenciais têm a responsabilidade de aprovar e acompanhar as medidas adotadas para gerir riscos de segurança cibernética e podem ser sujeitos a responsabilização caso haja falhas nestas funções, respeitando contudo as leis nacionais específicas relativas à responsabilidade dos funcionários públicos ou nomeados em cada Estado.

Que tipo de formação sobre segurança cibernética os dirigentes das entidades essenciais devem ter?

As pessoas que fazem parte dos órgãos de direção das entidades essenciais e importantes devem participar obrigatoriamente em ações de formação específicas sobre segurança cibernética que permitam ganhar conhecimentos e competências suficientes para compreender, identificar e avaliar os riscos e as práticas relacionadas com a segurança informática e o seu impacto nos serviços prestados.

Os trabalhadores das entidades essenciais também devem receber formação sobre cibersegurança?

Sim, a diretiva NIS2 incentiva as empresas e entidades essenciais e importantes a proporcionarem regularmente ações formativas sobre segurança digital a todos os funcionários, de forma que estes consigam entender facilmente os vários perigos online, aprender como identificá-los e avaliar corretamente o impacto desses riscos cibernéticos na prestação dos serviços.

Que sucede quando os responsáveis não cumprem as exigências da diretiva NIS2?

Caso os responsáveis das entidades essenciais e importantes não respeitem as exigências relativas à gestão de riscos de segurança cibernética definidas pela NIS2, poderão ter de enfrentar consequências legais pela sua falha na supervisão e aplicação dessas medidas, mas sempre seguindo as regras específicas existentes no direito nacional aplicável ao setor público ou privado respectivo.

Conformidade digital

RGPD

Lei da IA

NIS2

Recursos

Guias

Testes

Teste gratuito

Plataforma de formação de sensibilização

Serviços

Artigo 20.º

Governação

Perguntas frequentes

Formação NIS2