Voltar ao Blog
LegalTech & IA

NIS2: O Conselho de Administração não pode terceirizar a responsabilidade pela cibersegurança (nem para o CISO)

Comitê Editorial NakedPact
Reviewer: Carmelo G.
Comitato Editoriale NakedPact
14 de julho de 2026
10 min de leitura
NIS2: O Conselho de Administração não pode terceirizar a responsabilidade pela cibersegurança (nem para o CISO)

O Conselho de Administração é o verdadeiro CISO?

As novas FAQ publicadas pela Agência para a Cibersegurança Nacional (ACN) são claras como água: a nomeação de um Chief Information Security Officer (CISO) não exime o Conselho de Administração (CdA) das suas responsabilidades ao abrigo da diretiva NIS2. A responsabilidade pela cibersegurança é intransferível e permanece no topo da hierarquia.

Isto significa que, mesmo que o CdA delegue tarefas operacionais ao CISO, a responsabilidade final por garantir a conformidade com a NIS2 continua a ser dos administradores. É como um capitão de navio: pode delegar o leme, mas se o barco bater num icebergue, a culpa é dele.

O que a NIS2 exige do Conselho de Administração?

A diretiva NIS2 impõe que o CdA deve governar e supervisionar ativamente as medidas de cibersegurança. Isto inclui aprovar políticas, alocar recursos adequados e garantir que a gestão de riscos é integrada na estratégia empresarial. Não basta assinar um cheque e esperar que o CISO resolva tudo.

As FAQ da ACN sublinham que o CdA deve ser treinado e estar ciente dos riscos cibernéticos. Afinal, como podem supervisionar algo que não entendem? É como pedir a um contabilista para pilotar um avião – pode até tentar, mas o resultado provavelmente não será bonito.

Delegação operacional vs. responsabilidade final

É importante distinguir entre delegar tarefas e transferir responsabilidade. O CdA pode (e deve) delegar a implementação técnica ao CISO e à sua equipa, mas a responsabilidade pela conformidade com a NIS2 é indelegável. Isto está em linha com o princípio geral de governança corporativa: os administradores são responsáveis pelas decisões estratégicas, mesmo que não executem as tarefas diárias.

Na prática, isto significa que o CdA deve estabelecer um quadro de governança claro, com relatórios regulares do CISO e revisões periódicas das medidas de segurança. Se algo correr mal, o regulador não vai querer saber se o CISO foi incompetente – vai querer saber o que o CdA fez para prevenir o incidente.

E se o CdA ignorar estas regras?

As sanções ao abrigo da NIS2 podem ser severas, incluindo multas que podem chegar a 10 milhões de euros ou 2% do volume de negócios anual global, consoante o que for maior. Além disso, os administradores podem ser pessoalmente responsabilizados em caso de negligência grave.

Portanto, ignorar estas FAQ é como brincar com fogo – e com a reputação da empresa. Mais vale prevenir do que remediar, especialmente quando o remédio pode custar milhões.

FAQ

O CdA pode delegar toda a responsabilidade de cibersegurança ao CISO?

Não. A responsabilidade final pela cibersegurança ao abrigo da NIS2 é do Conselho de Administração. O CISO pode ser delegado para tarefas operacionais, mas a responsabilidade de governança e supervisão permanece no CdA.

Que ações concretas o CdA deve tomar para cumprir a NIS2?

O CdA deve aprovar políticas de cibersegurança, alocar recursos adequados, garantir formação em cibersegurança para si próprio e para os colaboradores, e estabelecer um processo de reporte regular do CISO. Além disso, deve integrar a gestão de riscos cibernéticos na estratégia empresarial.

Quais as sanções para o incumprimento da NIS2?

As sanções podem incluir multas até 10 milhões de euros ou 2% do volume de negócios anual global, o que for maior. Em casos de negligência grave, os administradores podem ser pessoalmente responsabilizados.

Checklist para o Conselho de Administração

NakedPact Logo

Comitê Editorial NakedPact

Artigo criado pela redação da NakedPact. Nossa missão é analisar, simplificar e expor cláusulas abusivas e riscos ocultos em contratos cotidianos para proteger cidadãos e consumidores.

Você é proprietário de um site?

Você é proprietário de um site?

Quer comunicar aos seus utilizadores a sua transparência no tratamento de dados? Utilize dinamicamente o nosso selo e mostre a conformidade da sua plataforma.

🛡️ Proteja seus direitos com um clique

Não corra o risco de assinar cláusulas abusivas. Instale a extensão gratuita do NakedPact para Chrome ou Firefox e analise instantaneamente qualquer contrato na web.

Não confie, verifique.

Agora que conhece os riscos, não assine às cegas. Carregue o seu contrato no NakedPact e deixe a IA encontrar as cláusulas ocultas. É 100% gratuito.

Analise o seu Contrato Agora

Rispettiamo la tua privacy

Usiamo i cookie per migliorare la tua esperienza e personalizzare gli annunci. Scopri di più.

NakedPact Logo

Estensione Chrome

Analizza i contratti e i Termini di Servizio direttamente sul tuo browser con l'estensione NakedPact.