Preços
Teste

Governação da cibersegurança NIS2

A NIS2 exige que o órgão de gestão aprove as medidas de gestão dos riscos de cibersegurança adoptadas para cumprir as regras e supervisione a sua aplicação. Basicamente, devem assumir a propriedade efectiva da conformidade da organização com a NIS2 e não podem simplesmente delegá-la no departamento de TI.

Governação da cibersegurança NIS2

A NIS2 exige que o órgão de gestão aprove as medidas de gestão dos riscos de cibersegurança adoptadas para cumprir as regras e supervisione a sua aplicação. Basicamente, devem assumir a propriedade efectiva da conformidade da organização com a NIS2 e não podem simplesmente delegá-la no departamento de TI.

Como a NIS2 define a responsabilidade de gestão

Nos termos da NIS2, o “órgão de gestão” é o grupo responsável pela supervisão da cibersegurança numa organização. Quem é esse órgão depende do tipo de organização:

Nas empresas privadas, o órgão de gestão é normalmente o conselho de administração, se a empresa tiver um, ou a direção executiva, se a empresa tiver apenas uma equipa de gestão. Nas empresas com uma equipa de gestão e um conselho fiscal, a equipa de gestão é considerada o órgão de gestão. Para as empresas que não dispõem de conselho de administração nem de direção executiva, o órgão de direção é o órgão que tem a mesma autoridade que o conselho de administração ou a equipa executiva.

Nas autoridades públicas, o órgão de gestão é a direção administrativa de alto nível, como um diretor-geral, uma equipa de gestão de topo ou chefes de departamento.

Por outras palavras, a definição adapta-se à estrutura de governação da organização, mas em todos os casos refere-se ao grupo de topo com autoridade para tomar a decisão final.

Delegação de tarefas

Muitas organizações criam comités ou grupos de trabalho dedicados à cibersegurança ou à segurança da informação. Estes grupos podem preparar e supervisionar aspectos da gestão da cibersegurança, mas o órgão de gestão no seu conjunto continua a ter a responsabilidade geral. As tarefas podem ser delegadas, mas a responsabilidade não. Por conseguinte, a administração deve controlar e garantir que as tarefas delegadas são corretamente executadas.

Responsabilidade da direção pela cibersegurança

O órgão de direção é responsável por gerir os riscos de cibersegurança da mesma forma que gere os riscos financeiros ou operacionais. Deve aprovar as medidas técnicas, organizativas e operacionais que protegem as redes e os sistemas de informação da organização. Para tal, deve decidir o que constitui um nível adequado de segurança, tendo em conta a exposição da organização ao risco e a importância dos serviços que presta.

As decisões de gestão definem a direção a um nível estratégico, por exemplo, quais as medidas a que deve ser dada prioridade, quais os recursos a atribuir e quando é que a proteção é suficiente.

Supervisão

A aprovação das medidas de segurança pela direção é apenas o início. A administração também deve fazer o acompanhamento para garantir que essas medidas sejam implementadas e eficazes contra os riscos identificados. A supervisão da direção pode assumir várias formas, tais como:

  • relatórios de gestão periódicos sobre os objectivos, os planos de ação e os progressos realizados,
  • actualiza o estado dos incidentes, das vulnerabilidades e dos tempos de resposta,
  • processos de auditoria interna que respondem diretamente à direção,
  • auditorias externas aos requisitos da NIS2, sendo as conclusões comunicadas à direção,

O essencial é que a gestão receba informações claras e regulares e as utilize para decidir se são necessários ajustamentos ou novas acções.

Teste RGPD

Vê se conheces bem o RGPD.

  • Vais responder a 13 perguntas sobre o RGPD.
  • Demora apenas 1-2 minutos.
  • Normalmente, os especialistas respondem corretamente a todas as 13 perguntas.
Iniciar o teste

Teste gratuito

Entraremos em contacto contigo por e-mail o mais rapidamente possível.