24 de março de 2026 • NIS2
A certificação ISO 27001 é um símbolo de prestígio que demonstra o quanto a tua organização se preocupa com a gestão de informações confidenciais. Mas está longe de ser a única norma que exigirá atenção em 2026.
A diretiva NIS2 (também conhecida como NIS-2 ou NIS 2.0) exige que as organizações de 18 setores implementem medidas robustas de cibersegurança, incluindo formação em sensibilização para a segurança para todos os funcionários.
Mas compreender exatamente o que a NIS2 exige e como a Lei de Segurança Cibernética holandesa (Cwb) a transpõe para a legislação nacional pode ser complicado.
Neste guia, explicamos tudo o que precisas de saber: o que é a NIS2, a quem se aplica, a lista de verificação completa da NIS2 para 2026 e como preparar a tua organização para a auditoria.
O que é a diretiva NIS2?
A Diretiva NIS2 (Diretiva (UE) 2022/2555) é o quadro atualizado da União Europeia para a segurança das redes e da informação. Substituiu a diretiva NIS original (NIS1) de 2016, que foi a primeira legislação da UE em matéria de cibersegurança.
A NIS2 entrou em vigor a 16 de janeiro de 2023, e os Estados-Membros da UE tinham de a transpor para o direito nacional até 17 de outubro de 2024. No entanto, a maioria dos Estados-Membros, incluindo os Países Baixos, não cumpriu este prazo.
A diretiva visa alcançar um elevado nível comum de cibersegurança em toda a UE, exigindo que as organizações em setores críticos:
- Implementa medidas de cibersegurança baseadas no risco
- Comunica os incidentes graves às autoridades dentro de prazos rigorosos
- Certifica-te de que os órgãos de gestão recebem formação e prestam contas
- Oferece formação regular de sensibilização a todos os funcionários
- Gerir os riscos de segurança da cadeia de abastecimento
Estima-se que 160 000 entidades em toda a UE estejam abrangidas pelo âmbito de aplicação da NIS2. Isso representa um aumento de dez vezes em comparação com a NIS1.
NIS2 vs NIS1: o que mudou?
A diretiva NIS original foi um bom ponto de partida, mas tinha lacunas significativas. A NIS2 resolve essas lacunas de forma abrangente. Aqui está um breve resumo das alterações mais importantes:
| Aspecto | NIS1 | NIS2 |
|---|---|---|
| Setores abrangidos | 7 setores | 18 setores |
| Entidades abrangidas | ~15,000 | ~160,000 |
| Comunicação de incidentes | Não há um prazo definido | 24 horas / 72 horas / 1 mês |
| Penalidades | Determinado por Estado-Membro | Até 10 milhões de euros ou 2% do volume de negócios |
| Responsabilidade dos administradores | Não abordado | Responsabilidade civil por negligência grave |
| Cadeia de abastecimento | Não é explicitamente necessário | Gestão de riscos obrigatória |
| Formação em gestão | Não é necessário | Obrigatório para o conselho de administração e a direção executiva |
Queres saber mais sobre as diferenças? Lê a nossa comparação completa: Qual é a diferença entre o NIS1 e o NIS2?
Legislação NIS2 na Europa
A NIS2 é uma diretiva da UE, o que significa que não se aplica diretamente às organizações. Cada Estado-Membro tem de a transpor para a legislação nacional. Eis qual é a situação em 2026.
Situação da implementação na UE
O progresso na implementação varia significativamente. Países como a Bélgica, a Croácia e a Itália foram dos primeiros a adotar legislação nacional. Outros, incluindo os Países Baixos e a Alemanha, demoraram mais tempo.
A Comissão Europeia abriu processos por infração contra 23 Estados-Membros por não terem cumprido o prazo de transposição de outubro de 2024. Em maio de 2025, 19 Estados-Membros tinham recebido advertências formais (pareceres fundamentados). No início de 2026, cerca de 16 países tinham transposto integralmente a NIS2 para a legislação nacional.
O pacote de cibersegurança da UE de janeiro de 2026
A 20 de janeiro de 2026, a Comissão Europeia publicou uma proposta para alterar a diretiva NIS2, no âmbito de um pacote mais abrangente sobre cibersegurança. As principais alterações incluem:
- Regras jurisdicionais simplificadas para organizações que operam em vários países da UE
- Vias de conformidade baseadas em certificações, que permitem às organizações demonstrar a sua conformidade através de certificações reconhecidas
- Relatórios melhorados sobre ransomware, com requisitos mais detalhados quanto aos dados dos incidentes
- Ampliação do âmbito para incluir fornecedores de carteiras digitais de identidade europeias e infraestruturas submarinas de dados
- Reclassificação de cerca de 22 500 entidades para reduzir os encargos de conformidade para as organizações de menor dimensão
- Um papel reforçado para a ENISA na coordenação da supervisão transfronteiriça
Prevê-se que estas alterações sejam negociadas ao longo de 2026, com um prazo de transposição de 12 meses após a adoção.
A NIS2 na Holanda: a Lei de Segurança Cibernética (Cwb)
Na Holanda, a diretiva NIS2 está a ser transposta para a Cyberbeveiligingswet (Cwb). Esta lei substitui a atual Wbni (Wet beveiliging netwerk- en informatiesystemen).
Situação atual (março de 2026)
- O projeto de lei foi apresentado à Tweede Kamer a 4 de junho de 2025
- Estava marcado um debate em plenário para 23 de março de 2026
- Depois da Câmara dos Deputados, o projeto de lei ainda tem de ser aprovado pela Câmara Alta
- O governo pretende que a lei entre em vigor no segundo trimestre de 2026
Três componentes regulamentares
A implementação holandesa é composta por três camadas:
- A Lei de Segurança Cibernética, que é a principal lei de transposição da NIS2
- A Cyberbeveiligingsbesluit (AMvB), uma Portaria Administrativa Geral que define obrigações específicas
- Regulamentos ministeriais específicos para cada setor, com requisitos adaptados a cada um deles
Principais obrigações holandesas
As organizações abrangidas pela Lei de Segurança Cibernética têm de cumprir quatro obrigações fundamentais:
- Dever de diligência: implementar medidas técnicas e organizacionais adequadas para gerir os riscos de cibersegurança
- Obrigação de registo: regista-te junto da autoridade de supervisão designada para o teu setor
- Obrigação de formação para os administradores (obrigatoriedade de formação em gestão): os membros do conselho de administração e a direção devem frequentar uma formação em cibersegurança
- Obrigação de notificação de incidentes: comunica os incidentes significativos ao NCSC dentro dos prazos previstos
Autoridades de supervisão
O NCSC (Nationaal Cyber Security Centrum) funciona como o principal órgão de coordenação. As autoridades de supervisão específicas de cada setor são designadas por meio de regulamentos ministeriais.
Para as organizações do setor da saúde, o panorama regulamentar é particularmente complexo, combinando os requisitos da NIS2 com a regulamentação específica do setor da saúde em matéria de proteção de dados dos pacientes.
A quem se aplica a NIS2?
A NIS2 aplica-se às organizações com base em dois critérios: setor e dimensão.
Entidades essenciais (setores altamente críticos)
- Energia (eletricidade, petróleo, gás, hidrogénio, aquecimento urbano)
- Transportes (aéreos, ferroviários, marítimos, rodoviários)
- Infraestruturas bancárias e dos mercados financeiros
- Saúde (hospitais, laboratórios, fabricantes de dispositivos médicos, farmácias)
- Água potável e águas residuais
- Infraestrutura digital (DNS, registos de TLD, fornecedores de serviços na nuvem, centros de dados, CDNs)
- Gestão de serviços de TIC (prestadores de serviços geridos, prestadores de serviços de segurança geridos)
- Administração pública
- Espaço
Entidades importantes (outros setores críticos)
- Serviços postais e de correio
- Gestão de resíduos
- Indústria transformadora (dispositivos médicos, eletrónica, maquinaria, veículos motorizados)
- Produção, transformação e distribuição de alimentos
- Produção e distribuição de produtos químicos
- Provedores digitais (mercados online, motores de busca, plataformas de redes sociais)
- Organizações de investigação
Limites de tamanho
As organizações destes setores estão abrangidas se cumprirem os seguintes critérios de dimensão:
- Médias empresas: mais de 50 funcionários ou mais de 10 milhões de euros de volume de negócios anual
- Grandes empresas: mais de 250 funcionários ou mais de 50 milhões de euros de volume de negócios anual
Algumas entidades estão abrangidas independentemente da sua dimensão, incluindo fornecedores de DNS, registos de TLD e (ao abrigo das alterações propostas para 2026) fornecedores de Carteiras de Identidade Digital Europeias.
A diferença na supervisão
As entidades essenciais estão sujeitas a uma supervisão proativa, o que significa auditorias e inspeções regulares, a par de sanções mais severas. As entidades importantes estão sujeitas a uma supervisão reativa: as investigações só ocorrem após incidentes ou denúncias de incumprimento, e as sanções são mais brandas.
Lista de verificação NIS2 (2026)
Usa esta lista de verificação abrangente para te certificares de que a tua organização cumpre todos os requisitos da NIS2. Esta lista vai além da simples formação de sensibilização e abrange todo o leque de obrigações da NIS2, para te ajudar a preparar-te para a conformidade e as auditorias.
1. Governação e responsabilização da gestão
- O órgão de gestão aprovou formalmente as medidas de gestão de riscos de cibersegurança da organização
- Os membros do conselho de administração e a direção executiva concluíram a formação em cibersegurança
- Uma pessoa ou equipa designada é responsável pela conformidade com a NIS2 (por exemplo, o CISO, o responsável pela conformidade)
- A cibersegurança é um ponto fixo da ordem de trabalhos nas reuniões do conselho de administração e da direção
- A direção está ciente da sua responsabilidade pessoal em caso de incumprimento
- Foi atribuído um orçamento para medidas de cibersegurança e formação
- A estrutura de governação da cibersegurança está documentada e é comunicada
2. Gestão de riscos e medidas de segurança
O artigo 21.º da NIS2 exige que as organizações implementem medidas adequadas e proporcionadas. A tua lista de verificação deve incluir:
- Foi realizada uma avaliação formal dos riscos, que é revista regularmente
- As políticas de gestão de riscos estão documentadas, aprovadas e divulgadas
- Já estão implementadas medidas técnicas: firewalls, deteção de intrusões, encriptação e controlos de acesso
- Já existem medidas organizacionais em vigor: políticas, procedimentos, funções e responsabilidades
- Existem planos de continuidade de negócios e de recuperação de desastres, e estes são testados
- Os procedimentos de cópia de segurança e restauração são documentados e testados regularmente
- A segmentação da rede é implementada sempre que necessário
- A autenticação multifatorial (MFA) é implementada em sistemas críticos e no acesso remoto
- Existe um programa de gestão de vulnerabilidades (análises regulares, aplicação de correções)
- São seguidas práticas de desenvolvimento seguro para o software desenvolvido internamente
3. Notificação e resposta a incidentes
- Existe um plano de resposta a incidentes documentado e testado
- São definidos os critérios de classificação de incidentes (o que constitui um «incidente significativo»)
- O processo de alerta precoce de 24 horas já está em vigor e os funcionários sabem como ativá-lo
- O procedimento de notificação de incidentes em 72 horas está documentado
- O modelo e o processo do relatório final mensal já estão definidos
- Os dados de contacto do CSIRT nacional (por exemplo, o NCSC na Holanda) estão facilmente disponíveis
- As funções de resposta a incidentes são atribuídas e os membros da equipa recebem formação
- São realizadas análises pós-incidente e as lições aprendidas são documentadas
- A resposta a incidentes é testada através de exercícios simulados pelo menos uma vez por ano
4. Segurança da cadeia de abastecimento
- Existe um inventário dos fornecedores e prestadores de serviços essenciais
- Os requisitos de cibersegurança estão incluídos nos contratos com os fornecedores
- Os fornecedores são avaliados quanto à sua postura em matéria de cibersegurança (due diligence)
- Os riscos decorrentes de dependências de terceiros são identificados e mitigados
- Existe um processo para monitorizar e avaliar a segurança dos fornecedores ao longo do tempo
- Os contratos com fornecedores incluem cláusulas relativas à notificação de incidentes
- O acesso dos fornecedores essenciais aos teus sistemas é monitorizado e controlado
5. Formação em sensibilização para a segurança
- Todos os funcionários recebem formação regular sobre sensibilização para a segurança
- Os membros da direção e do conselho de administração recebem formação específica em cibersegurança
- A formação é contínua, não é apenas um evento pontual (recomenda-se que seja mensal ou semanal)
- O conteúdo da formação abrange phishing, engenharia social, segurança de palavras-passe, tratamento de dados e comunicação de incidentes
- A formação aborda ameaças específicas do setor relevantes para a tua área de atividade
- Os novos funcionários recebem formação de sensibilização durante o processo de integração
- Os empreiteiros e o pessoal externo com acesso recebem formação adequada
- São realizadas regularmente simulações de phishing para testar a preparação dos funcionários
- As taxas de conclusão da formação e as notas das avaliações são monitorizadas
- O conteúdo da formação é atualizado com base nas informações mais recentes sobre ameaças
- Os comprovativos da conclusão da formação são guardados para auditorias de conformidade
6. Registo e notificação
- A tua organização já determinou se se qualifica como entidade essencial ou importante
- O registo junto da autoridade de controlo designada já está concluído (ou está previsto para quando a lei entrar em vigor)
- Os dados de contacto para a comunicação de incidentes (CSIRT/autoridade de supervisão) estão atualizados
- Os procedimentos de notificação estão documentados e atribuídos a funções específicas
- A documentação relativa ao âmbito da NIS2 da tua organização está atualizada (quais os sistemas, serviços e processos abrangidos)
7. Políticas e documentação de segurança da informação
- A política de segurança da informação está documentada e foi aprovada pela direção
- Existe uma política de utilização aceitável, que foi comunicada a todos os funcionários
- A política de controlo de acesso define quem tem acesso a quais sistemas e dados
- Os procedimentos de classificação e tratamento de dados estão documentados
- A política de senhas segue as melhores práticas atuais (complexidade, autenticação multifatorial, proibição de reutilização)
- Já existem políticas de trabalho remoto e BYOD
- As medidas de segurança física das instalações que albergam sistemas críticos estão documentadas
- Os controlos criptográficos e as políticas de encriptação estão documentados
- Todas as políticas são revistas e atualizadas pelo menos uma vez por ano
8. Monitorização, auditoria e melhoria contínua
- Já existe um sistema de monitorização de segurança (gestão de registos, SIEM, alertas)
- São realizadas auditorias ou avaliações de segurança regulares (internas ou externas)
- Os testes de penetração são realizados pelo menos uma vez por ano
- Os indicadores-chave de desempenho (KPI) para a cibersegurança são definidos e comunicados à direção
- As conclusões das auditorias e dos incidentes levam à implementação de medidas corretivas documentadas
- O programa de cibersegurança é revisto e melhorado anualmente
- As informações sobre ameaças são monitorizadas e integradas nas medidas de segurança
- A conformidade com os requisitos da NIS2 é analisada antes de cada ciclo de auditoria
O único requisito do NIS2 que podes riscar da lista esta semana
É na formação de sensibilização que a maioria dos planos fica parada. O Guardey transforma-a em desafios curtos e lúdicos, com relatórios integrados. Experimenta gratuitamente durante 14 dias, sem necessidade de fornecer dados de pagamento.
Inicia o teu teste gratuitoCertificação NIS2
Uma pergunta frequente: existe uma certificação oficial NIS2? A resposta curta é não, ainda não.
Ao contrário da ISO 27001, que tem um processo de certificação bem estabelecido, a NIS2 é um requisito legal aplicado pelas autoridades de supervisão nacionais. Não existe um único selo de «certificação NIS2» que possas obter.
No entanto, há novidades importantes.
Conformidade baseada na certificação (proposta para 2026)
O pacote de cibersegurança da Comissão Europeia, de janeiro de 2026, propõe vias de conformidade baseadas em certificações. Isto significa que as organizações que possuam determinadas certificações reconhecidas poderão demonstrar a conformidade com a NIS2, ou pelo menos uma conformidade parcial, através dessas certificações.
A norma ISO 27001 como base
A norma ISO 27001 é amplamente reconhecida como a norma existente mais próxima dos requisitos da NIS2. As organizações com certificação ISO 27001 vão verificar que muitos dos requisitos da NIS2 já estão abrangidos. No entanto, a NIS2 tem requisitos adicionais que vão além da ISO 27001, incluindo:
- Prazos específicos para a comunicação de incidentes (24 horas, 72 horas, 1 mês)
- Responsabilidade civil dos administradores e formação obrigatória para os membros do conselho de administração
- Avaliações de segurança da cadeia de abastecimento
- Requisitos específicos do setor
Marcas de qualidade NIS2 e avaliações de preparação
Várias organizações externas oferecem avaliações de preparação para a NIS2, análises de maturidade ou selos de qualidade. Embora não sejam certificações oficiais, podem ajudar as organizações a comparar o seu nível de conformidade e a demonstrar o seu compromisso perante as partes interessadas.
NIS2 e formação em sensibilização para a segurança
A formação em sensibilização para a segurança é um dos requisitos mais explícitos da diretiva NIS2. O artigo 20.º estabelece que os órgãos de gestão devem receber formação e que as organizações devem oferecer formação semelhante aos seus colaboradores de forma regular.
Por que é que a NIS2 dá tanta importância à formação em sensibilização
Os números são claros. De acordo com o relatório «ENISA Threat Landscape 2025»:
- O phishing é responsável por 60% de todos os pontos de acesso a invasões
- Mais de 80% dos ataques de engenharia social utilizam agora conteúdo gerado por IA
- 53,7% dos incidentes cibernéticos tiveram como alvo organizações classificadas como entidades essenciais ao abrigo da NIS2
- Só a administração pública foi alvo de 38,2% dos ataques direcionados
O fator humano continua a ser a principal vulnerabilidade. Sem funcionários com formação capazes de reconhecer e comunicar ameaças, até as defesas técnicas mais sofisticadas podem ser contornadas.
O que a NIS2 espera do teu programa de formação em sensibilização
- Formação regular, não apenas uma vez por ano. Espera-se uma formação contínua e regular.
- Participação da direção. Os membros do conselho de administração e a direção executiva têm de participar.
- Relevância. A formação deve abranger ameaças atuais e emergentes, incluindo ataques baseados em IA.
- Provas. Tens de conseguir demonstrar que a formação está a ser ministrada e que é eficaz.
- Âmbito de aplicação. Todos os funcionários com acesso aos sistemas e dados, incluindo os colaboradores externos.
Como a Guardey te ajuda a cumprir os requisitos de sensibilização da NIS2
Com o Guardey, os teus colaboradores enfrentam desafios semanais de cibersegurança que não demoram mais de três minutos a completar. Os temas incluem o reconhecimento de phishing, segurança de palavras-passe, tratamento de dados, engenharia social e muito mais, tudo em conformidade com os requisitos da NIS2.
A abordagem gamificada garante elevadas taxas de envolvimento e conclusão. E, através do painel de relatórios da Guardey, podes demonstrar a conformidade aos auditores com provas de:
- Taxas de conclusão da formação por funcionário e departamento
- Resultados das avaliações e tendências de conhecimento
- Resultados da simulação de phishing e evolução ao longo do tempo
- Cobertura dos temas em conformidade com os requisitos do NIS2
Erros comuns na conformidade com a NIS2
Muitas organizações subestimam o esforço necessário para cumprir a NIS2. Aqui estão os erros mais comuns que observamos.
1. Esperar que a lei seja aprovada antes de agir
A diretiva NIS2 está em vigor desde janeiro de 2023. Apesar de a Lei de Cibersegurança holandesa ainda estar em fase de tramitação legislativa, os requisitos são claros. As organizações que esperarem até que a lei seja oficialmente promulgada vão ter de se apressar para cumprir os requisitos. Começa já.
2. Encarar o NIS2 como um problema exclusivamente de TI
A NIS2 exige explicitamente a responsabilização da administração. Não é algo que possas delegar inteiramente ao teu departamento de TI. Os membros do conselho de administração têm de receber formação, têm de aprovar as medidas de cibersegurança e podem ser responsabilizados pessoalmente.
3. Ignorar os requisitos da cadeia de abastecimento
Muitas organizações concentram-se na sua própria segurança, mas ignoram os seus fornecedores. A NIS2 exige que avalie e gere os riscos de cibersegurança em toda a sua cadeia de abastecimento.
4. Apenas formação anual de sensibilização
Uma única sessão de formação anual não cumpre o requisito de formação «regular». Os auditores esperam ver um envolvimento contínuo: microaprendizagens mensais, simulações regulares de phishing e avaliação contínua.
5. Não saber se o NIS2 se aplica ao teu caso
Surpreendentemente, muitas organizações ainda nem sequer avaliaram se estão abrangidas pelo âmbito de aplicação da NIS2. Não dês por certo que estás excluído. Verifica cuidadosamente os critérios relativos ao setor e à dimensão.
6. Não há testes de resposta a incidentes
Não basta ter um plano de resposta a incidentes no papel. A NIS2 exige que o testes. Realiza exercícios teóricos, simula incidentes e garante que a tua equipa consegue cumprir o prazo de 24 horas para o aviso prévio.
7. Não cumprimento do requisito de registo
Nos termos da Lei de Segurança Cibernética, as organizações têm de se registar junto da autoridade de supervisão competente. É fácil esquecer-se disso, mas é obrigatório.
NIS2 vs ISO 27001 vs DORA: como se comparam?
Muitas organizações precisam de cumprir várias normas. Eis uma comparação entre a NIS2, a ISO 27001 e a DORA (Lei de Resiliência Operacional Digital).
| Requisito | NIS2 | ISO 27001 | DORA |
|---|---|---|---|
| Tipo | Diretiva da UE (requisito legal) | Norma internacional (voluntária) | Regulamento da UE (requisito legal) |
| Âmbito | 18 setores, entidades essenciais e importantes | Qualquer organização (por opção) | Apenas o setor financeiro |
| A formação em sensibilização é obrigatória? | Sim (artigo 20.º) | Sim (Cláusula 7.3, A.6.3) | Sim (artigo 13.º) |
| É preciso formação em gestão? | Sim (obrigatório, a nível do conselho de administração) | Obrigatório (cláusula 5.1) | Sim (obrigatório, a nível do conselho de administração) |
| Cronograma de comunicação de incidentes | 24 horas / 72 horas / 1 mês | Não especificado (define o teu próprio) | 4 horas / 72 horas (incidentes graves de TIC) |
| Segurança da cadeia de abastecimento | Obrigatório | A.5.19-A.5.22 (controlos de fornecedores) | Obrigatório (risco de terceiros em TIC) |
| Penalidades | Até 10 milhões de euros ou 2% do volume de negócios | Perda da certificação | Até 10 milhões de euros ou 2% do volume de negócios |
| Há certificação disponível? | Ainda não (previsto para 2026) | Sim (organismos de certificação acreditados) | Ainda não |
| Responsabilidade pessoal da administração? | Sim | Não | Sim |
A boa notícia: as organizações com certificação ISO 27001 têm uma grande vantagem inicial no que diz respeito à conformidade com a NIS2. A abordagem de gestão de riscos, os requisitos de documentação e as obrigações de formação em matéria de sensibilização coincidem em grande medida.
Perguntas frequentes sobre a diretiva NIS2
O que significa NIS2?
NIS2 significa Diretiva relativa à segurança das redes e da informação 2. Também é frequentemente designada por NIS-2 ou NIS 2.0. Trata-se da segunda versão da diretiva da UE sobre cibersegurança, que substitui a diretiva NIS original de 2016.
Quando é que a NIS2 entra em vigor na Holanda?
A implementação holandesa da NIS2, a Cyberbeveiligingswet, deverá entrar em vigor no segundo trimestre de 2026. O projeto de lei foi apresentado à Tweede Kamer a 4 de junho de 2025 e está atualmente a ser analisado pelo parlamento.
A formação em sensibilização para a segurança é obrigatória ao abrigo da NIS2?
Sim. O artigo 20.º da Diretiva NIS2 exige explicitamente que os órgãos de gestão recebam formação em cibersegurança e ofereçam formação semelhante aos funcionários de forma regular. Isto torna a formação em sensibilização uma obrigação legal, e não algo opcional.
O NIS2 aplica-se às PME?
Sim, é possível. Estão abrangidas as organizações com 50 ou mais funcionários ou com um volume de negócios anual igual ou superior a 10 milhões de euros que operem num dos 18 setores abrangidos. Algumas entidades estão incluídas independentemente da sua dimensão (por exemplo, fornecedores de DNS, registos de TLD).
Quais são as sanções por incumprimento da NIS2?
As entidades essenciais enfrentam multas de até 10 milhões de euros ou 2% do volume de negócios anual global. As entidades importantes enfrentam multas de até 7 milhões de euros ou 1,4% do volume de negócios global. Além disso, os responsáveis pela gestão podem ser responsabilizados pessoalmente.
Posso obter a certificação NIS2?
De momento, não. Não existe uma certificação oficial NIS2. No entanto, o pacote de cibersegurança de 2026 da Comissão Europeia propõe vias de conformidade baseadas na certificação. A certificação ISO 27001 abrange muitos dos requisitos da NIS2 e é reconhecida pelos auditores como uma base sólida.
Em que é que a NIS2 difere do RGPD?
O RGPD centra-se na proteção dos dados pessoais. A NIS2 centra-se na segurança das redes e dos sistemas de informação de forma mais ampla. São complementares: as medidas da NIS2 ajudam a proteger os sistemas que tratam dados pessoais, contribuindo também para o cumprimento do RGPD.
Qual é a relação entre a NIS2 e a Lei de Segurança Cibernética?
A Lei de Segurança Cibernética é a lei nacional holandesa que transpõe a diretiva NIS2 da UE. Ela traduz os requisitos da diretiva em legislação holandesa aplicável, substituindo a anterior Wbni (Lei de Segurança de Sistemas de Rede e de Informação).
Começa já a preparar-te para a conformidade com a NIS2
A NIS2 não é uma preocupação para o futuro. A diretiva já está em vigor, os requisitos são claros e a sua aplicação está a caminho. As organizações que começarem agora estarão em melhor posição quando os auditores vierem bater à porta.
Com a Formação em Consciencialização de Segurança da Guardey, os teus colaboradores recebem micro-formações semanais de 3 minutos sobre phishing, tratamento de dados, comunicação de incidentes e muito mais. Tudo em conformidade com os requisitos da NIS2, com relatórios completos para auditorias de conformidade.
Cumpre os requisitos de formação da NIS2 e comprova-o
O Guardey dá formação a todos os funcionários em poucos minutos por semana e documenta tudo automaticamente, para que tenhas sempre as provas à mão. Vê como funciona numa demonstração ao vivo.
Agendar uma demonstração