NIS2.it.com
Voltar ao blog
Governação
NIS2 artigo 20.º: as 5 responsabilidades do conselho de administração que não podem ser delegadas

NIS2 artigo 20.º: as 5 responsabilidades do conselho de administração que não podem ser delegadas

9 min de leitura
AD

Alexandre Durand

Diretor editorial — Especialista em cibersegurança

Segunda-feira de manhã. O conselho de administração recebe uma carta do CNCS: a sua organização está classificada como entidade essencial ao abrigo da NIS2. O artigo 20.º da diretiva 2022/2555 aplica-se agora a si. E, ao contrário da regulamentação anterior, esta responsabilidade não pode ser delegada.

O que o artigo 20.º diz exatamente

O artigo 20.º da diretiva 2022/2555 obriga os órgãos de administração das entidades essenciais e importantes a aprovar as medidas de gestão de riscos de cibersegurança, supervisionar a sua implementação e serem responsabilizados em caso de incumprimento. Os administradores devem também participar em formações regulares para avaliar os riscos cibernéticos. O artigo 32.º(6) permite às autoridades competentes proibir temporariamente o exercício de funções de administração em caso de incumprimento grave ou repetido.

Responsabilidade 1: aprovar as medidas de gestão de riscos

O conselho deve validar formalmente a política de gestão de riscos em atas. Sem delegação possível: o conselho de administração ou órgão equivalente assina. As dez medidas mínimas do artigo 21.º (análise de riscos, gestão de incidentes, continuidade do negócio, segurança da cadeia de abastecimento, MFA, cifragem, formação) devem ser examinadas e aprovadas.

Responsabilidade 2: supervisionar a implementação

Reporte trimestral ao conselho de indicadores de dashboard: número de incidentes, nível de patching, ativos críticos cobertos, resultados de auditoria. O CISO reporta, mas o conselho controla.

Responsabilidade 3: receber formação

O NIS2 Compliance Study 2025 referência 4 a 8 horas de formação por ano para administradores. Objetivo: ser capaz de avaliar os riscos cibernéticos, não tornar-se um perito técnico.

Responsabilidade 4: afetar recursos suficientes

Referências Gartner 2024: orçamento de cibersegurança 8 a 12% do orçamento de TI para setores regulados. O subinvestimento é interpretado pelo CNCS como uma falha do conselho.

Responsabilidade 5: ser pessoalmente responsável

Artigo 32.º(6) da diretiva 2022/2555: as autoridades competentes podem proibir temporariamente o exercício de funções de administração. Artigo 34.º: coimas até 10 M€ ou 2% do volume de negócios mundial. A responsabilidade penal e civil permanece via direito português.

Checklist para uma auditoria CNCS

Atas do conselho que aprovam medidas de gestão de riscos. Certificados de formação dos administradores. Dashboard trimestral de cibersegurança. Política orçamental formal. Notas de decisão do conselho. Registo de ciberdecisões ao nível do conselho.

*Este artigo é meramente informativo e não constitui aconselhamento jurídico.*

Este artigo é fornecido apenas para fins informativos e não constitui aconselhamento jurídico.