NIS2: O Conselho de Administração não pode terceirizar a responsabilidade pela cibersegurança (nem para o CISO)
Índice de Conteúdos
O Conselho de Administração é o verdadeiro CISO?
As novas FAQ publicadas pela Agência para a Cibersegurança Nacional (ACN) são claras como água: a nomeação de um Chief Information Security Officer (CISO) não exime o Conselho de Administração (CdA) das suas responsabilidades ao abrigo da diretiva NIS2. A responsabilidade pela cibersegurança é intransferível e permanece no topo da hierarquia.
Isto significa que, mesmo que o CdA delegue tarefas operacionais ao CISO, a responsabilidade final por garantir a conformidade com a NIS2 continua a ser dos administradores. É como um capitão de navio: pode delegar o leme, mas se o barco bater num icebergue, a culpa é dele.
O que a NIS2 exige do Conselho de Administração?
A diretiva NIS2 impõe que o CdA deve governar e supervisionar ativamente as medidas de cibersegurança. Isto inclui aprovar políticas, alocar recursos adequados e garantir que a gestão de riscos é integrada na estratégia empresarial. Não basta assinar um cheque e esperar que o CISO resolva tudo.
As FAQ da ACN sublinham que o CdA deve ser treinado e estar ciente dos riscos cibernéticos. Afinal, como podem supervisionar algo que não entendem? É como pedir a um contabilista para pilotar um avião – pode até tentar, mas o resultado provavelmente não será bonito.
Delegação operacional vs. responsabilidade final
É importante distinguir entre delegar tarefas e transferir responsabilidade. O CdA pode (e deve) delegar a implementação técnica ao CISO e à sua equipa, mas a responsabilidade pela conformidade com a NIS2 é indelegável. Isto está em linha com o princípio geral de governança corporativa: os administradores são responsáveis pelas decisões estratégicas, mesmo que não executem as tarefas diárias.
Na prática, isto significa que o CdA deve estabelecer um quadro de governança claro, com relatórios regulares do CISO e revisões periódicas das medidas de segurança. Se algo correr mal, o regulador não vai querer saber se o CISO foi incompetente – vai querer saber o que o CdA fez para prevenir o incidente.
E se o CdA ignorar estas regras?
As sanções ao abrigo da NIS2 podem ser severas, incluindo multas que podem chegar a 10 milhões de euros ou 2% do volume de negócios anual global, consoante o que for maior. Além disso, os administradores podem ser pessoalmente responsabilizados em caso de negligência grave.
Portanto, ignorar estas FAQ é como brincar com fogo – e com a reputação da empresa. Mais vale prevenir do que remediar, especialmente quando o remédio pode custar milhões.
FAQ
O CdA pode delegar toda a responsabilidade de cibersegurança ao CISO?
Não. A responsabilidade final pela cibersegurança ao abrigo da NIS2 é do Conselho de Administração. O CISO pode ser delegado para tarefas operacionais, mas a responsabilidade de governança e supervisão permanece no CdA.
Que ações concretas o CdA deve tomar para cumprir a NIS2?
O CdA deve aprovar políticas de cibersegurança, alocar recursos adequados, garantir formação em cibersegurança para si próprio e para os colaboradores, e estabelecer um processo de reporte regular do CISO. Além disso, deve integrar a gestão de riscos cibernéticos na estratégia empresarial.
Quais as sanções para o incumprimento da NIS2?
As sanções podem incluir multas até 10 milhões de euros ou 2% do volume de negócios anual global, o que for maior. Em casos de negligência grave, os administradores podem ser pessoalmente responsabilizados.
Checklist para o Conselho de Administração

Comitê Editorial NakedPact
Artigo criado pela redação da NakedPact. Nossa missão é analisar, simplificar e expor cláusulas abusivas e riscos ocultos em contratos cotidianos para proteger cidadãos e consumidores.
Fontes e Referências Jurídicas

Você é proprietário de um site?
Quer comunicar aos seus utilizadores a sua transparência no tratamento de dados? Utilize dinamicamente o nosso selo e mostre a conformidade da sua plataforma.
Leituras Recomendadas

Cláusulas de Arbitragem Obrigatória: A Armadilha Oculta nos Contratos de Software que Tira o seu Direito de Processar

Independência com surpresa: Nova lei de Data Brokers em Nova Jersey vai custar caro

ICO Data Protection Fee: Você precisa pagar? (Guia 2025)
🛡️ Proteja seus direitos com um clique
Não corra o risco de assinar cláusulas abusivas. Instale a extensão gratuita do NakedPact para Chrome ou Firefox e analise instantaneamente qualquer contrato na web.
Não confie, verifique.
Agora que conhece os riscos, não assine às cegas. Carregue o seu contrato no NakedPact e deixe a IA encontrar as cláusulas ocultas. É 100% gratuito.
Analise o seu Contrato Agora