Skip to Content

Análise de lacunas

A análise de lacunas mede a sua situação face às medidas de gestão de riscos de cibersegurança do artigo 21.º da NIS2 e transforma o resultado num plano priorizado.

O painel de conformidade após uma avaliação de lacunas — pontuação global e repartição por área de medidas

O que é avaliado

O artigo 21.º, n.º 2 enuncia as medidas de base que toda a entidade abrangida deve adotar — análise de riscos e políticas de segurança dos sistemas de informação, tratamento de incidentes, continuidade do negócio e gestão de crises, segurança da cadeia de abastecimento, aquisição e desenvolvimento seguros, políticas de avaliação da eficácia, higiene cibernética de base e formação, criptografia, controlo de acessos e gestão de ativos, autenticação multifator e comunicações seguras.

A Reglyze decompõe estas medidas em controlos e subcontrolos e avalia cada um em dois eixos:

  • Implementação — a medida está efetivamente em vigor?
  • Documentação — consegue prová‑la?

Transposição nacional

A NIS2 é uma diretiva da UE: aplica-se através da lei de cada Estado-Membro, e várias autoridades nacionais publicam um referencial de medidas que se associa às medidas do artigo 21.º. A Reglyze avalia-o face à base do artigo 21.º(2) — o tronco comum — para que as mesmas evidências se transfiram para o referencial que lhe é aplicável:

  • França — o ReCyF da ANSSI (Référentiel Cyber France): objetivos de segurança obrigatórios (o «quê») e medidas recomendadas (o «como»), reconhecidas para demonstrar conformidade junto da ANSSI.
  • Alemanha — o BSI ao abrigo da NIS2-Umsetzungsgesetz (NIS2UmsuCG), com IT-Grundschutz como metodologia de referência.
  • Itália — a ACN ao abrigo do D.Lgs 138/2024, que define as medidas de segurança de base e os deveres de notificação.
  • Portugal — o CNCS e o Quadro Nacional de Referência para a Cibersegurança (QNRCS).

Quando um referencial nacional acrescenta ou detalha uma medida, trate as suas pontuações da avaliação de lacunas como a base de evidência inicial, e não como palavra final.

Pontuação e gravidade

Cada controlo recebe uma pontuação de implementação e de documentação; juntas compõem uma pontuação de postura global e uma gravidade por controlo (quão urgente é a lacuna). O painel mostra a distribuição, para ver num relance se está perante poucas lacunas críticas ou muitas superficiais.

Das lacunas a um plano

Cada lacuna pode alimentar uma tarefa de remediação com um responsável, um prazo e uma gravidade — a análise não é, pois, um relatório estático mas o ponto de partida de uma lista de trabalhos acompanhada. Consulte Políticas e documentos para gerar os artefactos que uma lacuna exige, e Multi-referencial para projetar o mesmo trabalho na ISO 27001 / NIST CSF / DORA.

Reavaliar

Execute a análise periodicamente e após cada alteração significativa. O artigo 21.º, n.º 1 da NIS2 espera que as medidas se mantenham eficazes ao longo do tempo — acompanhe a tendência das suas pontuações para o demonstrar.

Primeiros passos