Proponha uma correção, faça uma sugestão
Principais funções de um Responsável de Cibersegurança (Dec-Lei 125/2025)
O Decreto-Lei n.º 125/2025 aprovou em Portugal o novo Regime Jurídico da Cibersegurança, transpondo a Diretiva (UE) 2022/2555 (NIS2) para o ordenamento jurídico nacional. As entidades públicas e privadas consideradas essenciais ou importantes têm de ter um Responsável de CiberSegurança. Quais as funções?
O responsável de cibersegurança é uma figura chave prevista especificamente no artigo 31.º do decreto-lei. As principais características são:
Nomeação
- As entidades essenciais e importantes devem designar um responsável de cibersegurança.
- Essa pessoa deve ser titular dos órgãos de gestão, direção ou administração da entidade ou responder diretamente a eles (sem subordinação intermédia).
Principais funções de um Responsável de Cibersegurança
O responsável de cibersegurança tem, pelo menos, as seguintes funções:
- Propor medidas de gestão de riscos de cibersegurança, incluindo na cadeia de fornecimento.
- Prestar informações sobre essas medidas aos órgãos superiores da entidade.
- Apoiar a entidade no cumprimento das medidas de supervisão e de execução de obrigações de cibersegurança.
- Promover cultura de cibersegurança na organização, sugerindo ações de formação.
- Assegurar a gestão de riscos de forma contínua.
- Garantir o cumprimento das obrigações relativas à elaboração de relatórios anuais de cibersegurança
Embora o decreto-lei também obrigue à indicação de um ponto de contacto permanente (24/7) com o Centro Nacional de Cibersegurança (CNCS), essa figura pode ser o próprio responsável de cibersegurança ou outra pessoa indicada pela entidade, conforme o artigo 26.º.
Loading ...
o que seria interessante era entender o que é um Responsável de Cibersegurança? Nunca vi essa posição em nenhuma empresa..
aliás, nunca vi nenhuma posição que fosse “responsável” de nada.
talvez seja ignorância minha mas em mais de 1000 contactos do linkedin nunca vi nem ouvi falar
São os chamados CISO
Errado, um CISO é um executivo c-level, tem assento no board.
Vejo muito em empresas portuguesas chamarem CISOs a meros Managers sem equipa de ciber e só porque contrataram um SOC da treta a um qualquer provider dizem-se CISOs mas nem sequer sabem o que uma organização precisa para evitar ataques
Nota mental para os conselhos de administração:
O CISO é responsável por propor, aconselhar, monitorizar e reportar. Mas quem decide o orçamento é a gestão.
Se a administração recusa meios, ela assume o risco, logo é criminalmente responsável e não o CISO.
Recomendação a todos os CISOs:
-Formalizem por escrito todas as recomendações e riscos identificados. Tenham uma base documental de todas as recusas de orçamento e reportem todos os incumprimentos dos deveres e obrigações à própria Administração.
My 2 cents.
Nota mental para quem não sabe o papel de um CISO: um CISO é um executivo c-level, tem equipa de ciber e tem um budget definido, como executivo tem poderes para decidir onde aplica o seu orçamento e pode defender em conselho de administração a necessidade de compras adicionais ou aumentos ao budget do seu departamento. Como executivo assina e é responsável por todas as ações dentro do seu raio de ação.
Se não for isso não é um CISO, chamem-lhe como lhe chamarem, CIO, CTO, CISO, são tudo executivos e são lacaios
Para quem não sabe a coisa funciona da seguinte forma:
1. O responsável da segurança é ao mesmo tempo o chefe da informática que não percebe nada de segurança nem tem especialização nenhuma, mas não deixa que ninguém ganhe mais do que ele como tal acumula o cargo.
2. O cargo é dado é um borra-botas qualquer que vai ganhar o mesmo e ninguém lhe passa cartão nenhum dentro da empresa.
3. Também muito comum, contrata-se uma empresa para mandar fazer umas auditorias, mandar uns bitaites, eventualmente vender mais hardware e ficar como representante legal perante o CNCS.
E é isto!
PS. Entretanto nas faculdades, vendem-se mais uns mestrados na área de segurança e a malta sai de la altamente especializada…em…em coisa nenhuma