Estamos a implementar voluntariamente as medidas do artigo 21 usando a Reglyze (o produto) tanto como sujeito como ferramenta. Isto é dogfooding, não uma obrigação regulamentar. Publicamos esta página para que possa verificar como é realmente uma base de evidência NIS2 construída por IA antes de comprar.
Cada política, registo de formação, entrada de fornecedor e KPI de eficácia abaixo foi gerado, pontuado e revisto dentro da Reglyze o produto, pelo fundador da Reglyze a empresa, no mesmo plano que os nossos clientes pagantes usam.
Documentámos toda a nossa base de evidência NIS2 em menos de 1 hora.
Estimativa de consultor manual para comparação: 80–120 horas.
Minutos wall-clock do registo de tempo do dogfooding (docs/research/self-compliance-timing.md). Inclui geração por IA, edição pelo Cyril e pacote de revisão. Exclui o intervalo de 36 horas de uma noite entre fases.
A baseline manual é o limite inferior dos compromissos típicos de consultoria NIS2 na UE para PME (5–25 colaboradores): 10–15 dias de consultor sénior a 80–100 €/hora. Fonte: cotações de mercado das redes CLUSIF, Clusit e APDC (2025–2026).
19/05/2026
19/08/2026
Auto-auditoria trimestral nos termos do artigo 21(2)(f). O ciclo Q2-2026 decorreu a 19 de maio de 2026 — 5 KPI revistos, 4 « no objetivo » + 1 « acima do objetivo », sem desvios « abaixo do objetivo ». O ciclo substitui in place os PDFs anteriores nesta página; a métrica e as datas atualizam-se a cada ciclo.
A Reglyze (entidade legal) é uma empresa de 5 pessoas com faturação inferior a 10 M€ — explicitamente abaixo do limiar de pequena empresa que o artigo 2(1) da NIS2 usa para trazer entidades para o âmbito. Não poderíamos apresentar uma notificação de incidente do artigo 23 ao CNCS mesmo que quiséssemos; estamos fora do âmbito da diretiva. As razões honestas pelas quais publicamos mesmo assim esta base de evidência:
Os 14 artefactos abaixo cobrem as dez medidas de gestão do risco de ciber do artigo 21(2) mais a formação do órgão de direção (artigo 20(2)) e os testes de eficácia (artigo 21(2)(f)). Cada linha aponta para o PDF redatado quando publicado; os cartões marcados Apenas resumo trazem o abstract até que o Cyril termine a passagem de redação por PDF.
Política principal: análise de risco, governação, papéis e responsabilidades. Aprovada por Cyril (único membro do órgão de direção) para a entidade Reglyze.
Deteção → triagem → contenção → erradicação → recuperação → lições aprendidas. O canal de comunicação com a autoridade é voluntário para a Reglyze (fora de âmbito ao abrigo do artigo 2(1)), mas está documentado.
Objetivos RTO/RPO por nível de serviço, caminhos de failover (Hetzner primário + Google Drive backup frio) e cadência de exercícios tabletop para o SaaS Reglyze.
Dumps diários do PostgreSQL via rclone para o Google Drive; rotação de 7 dias na máquina; exercício de restauro em deploy-rollback.md. Dimensionado para o alcance de um único fundador.
Lista de verificação de due diligence de fornecedores, expectativas de DPA, cascata de notificação de violação. Aplica-se ao stack SaaS de 7 fornecedores (Cloudflare, Hetzner, Anthropic, Stripe, GitHub, Resend, Google Drive).
Modelo de menor privilégio, MFA em todas as superfícies SaaS, fluxo entrada/movimentação/saída (formalmente trivial com 5 pessoas, mas documentado). Define o tecto de política para futuras contratações.
TLS 1.3 em trânsito, AES-256 em repouso (PostgreSQL, MinIO, backup GDrive), cadência de rotação de chaves, sem criptografia caseira. Herdada dos fornecedores SaaS quando aplicável.
Perímetro de inventário de ativos (portátil + contas cloud), etiquetagem, ciclo de vida e desativação. Auto-atestado em escala individual; revisto trimestralmente.
Checklist de segurança no onboarding, modelo de NDA, requisito de formação e passos de revogação de acessos no offboarding. Dimensionado para a primeira contratação; estado atual auto-atestado.
Dependabot + alertas de segurança do GitHub como canal de entrada; SLA por nível de gravidade (crítico < 7 dias, alto < 30 dias); evidência dos patches no histórico de commits.
MFA imposta em todas as superfícies SaaS; aplicação autenticadora preferida (sem fallback por SMS); matriz de canais seguros para comunicações sensíveis (Signal para incidentes, GitHub para código).
Cadência trimestral de auto-auditoria, definições de KPI (hoje: Mean Time To Detect < 2 dias), evidências de revisão guardadas junto ao carimbo da última auditoria desta página.
Currículo de formação anual para o órgão de direção (artigo 20(2)) e pessoal (artigo 21(2)(g)). Com 5 pessoas é o Cyril; sinalizado para validação por terceiros na próxima contratação.
Cyril concluiu a formação do órgão de direção da Reglyze em 2026-05-17 (autoritmada, auto-atestada). Válida até 2027-05-17. Honesta quanto à limitação de escala individual.
O órgão de direção da Reglyze completou a formação do artigo 20(2) dentro do produto em 17 de maio de 2026. Com 5 pessoas e um único fundador, o órgão de direção é uma pessoa; sinalizamos honestamente esta limitação de escala individual, que despoletará formação validada por terceiros na próxima contratação.
NIS2 Article 20(2) — Management-Body Training
Escala individual, autorritmada, auto-atestada. Validação por terceiros sinalizada para a próxima contratação.
A Reglyze corre num stack SaaS de 7 fornecedores. O registo regista os dados partilhados, a pontuação de risco residual e a cadência de revisão por fornecedor. Publicamos os nomes dos fornecedores em aberto — ver a página Trust para a vista ao vivo.
| Fornecedor | Serviço | Criticidade |
|---|---|---|
| Cloudflare | CDN, DNS, WAF, terminação TLS | Crítica |
| Hetzner Online GmbH | Infraestrutura cloud / alojamento | Crítica |
| Anthropic | IA / LLM (API Claude para geração de documentos) | Crítica |
| Stripe | Processamento de pagamentos e faturação | Crítica |
| GitHub | Alojamento de código-fonte e CI/CD | Crítica |
| Google Workspace + Drive (via rclone) | Destino de cópia de segurança off-site | Alta |
| Resend | Entrega de e-mail transacional | Média |
O registo completo, incluindo pontuações de risco residual e datas de revisão, vive no produto. A classificação de criticidade acima corresponde ao campo audit_classification (crítico / importante / padrão) usado pelo cron de lembrete de revisão de fornecedor.
O ciclo Q2-2026 (primeira auditoria trimestral do artigo 21(2)(f)) registou 5 KPI de eficácia face aos respetivos alvos: Mean Time To Detect (MTTD), Mean Time To Restore (MTTR), conformidade com o SLA de patches críticos, execução de exercícios de restauro e taxa de revisão de fornecedores em dia. O número de KPI crescerá com novas políticas — a coluna vertebral está fixada.
| KPI | Subcontrolo do artigo 21(2)(f) | Alvo | Observado Q2-2026 | Estado |
|---|---|---|---|---|
Mean Time To Detect (MTTD) Tempo entre um evento de segurança e a sua deteção pela Reglyze. Monitor de uptime da Hetzner + healthchecks do Docker à escala solo-CTO; sem SOC/SIEM. | nis2.21.2.f.1 | < 2 dias | 0 incidentes | No objetivo |
Mean Time To Restore (MTTR) Tempo entre a deteção e o restauro completo do serviço. Cópia de segurança pré-deploy + auto-rollback validados em dois exercícios de maio de 2026 em menos de 3 min de wall-clock. | nis2.21.2.f.2 | < 4 horas | 0 incidentes | No objetivo |
Conformidade com SLA de patches críticos Percentagem de PR do Dependabot críticos/altos integrados em 7 dias. Q2-2026: 3/3 (drizzle-orm, Next.js, @xmldom/xmldom). | nis2.21.2.f.3 | 100 % | 100 % | No objetivo |
Execução de exercício de restauro Exercícios de restauro com sucesso por trimestre. Restauro em staging a 2026-05-03 + auto-RESTORE_DB-em-caso-de-smoke-fail validado a 2026-05-15. | nis2.21.2.f.4 | ≥ 1 / trimestre | 2 exercícios | Acima do objetivo |
Taxa de revisão de fornecedores em dia Percentagem de fornecedores com revisão em dia. 7/7 fornecedores têm next_review_due_at no futuro à data da auditoria. | nis2.21.2.f.5 | 100 % | 100 % | No objetivo |
Constatações por KPI e ações corretivas estão guardadas em effectiveness_reviews na base de dados de produção (idempotente, append-only). Próximo ciclo fixado a 19 de agosto de 2026.
Os KPI não testados (MTTD, MTTR, cadência de revisão de fornecedores) são artefactos honestos do dogfooding — a Reglyze não teve incidentes de cibersegurança no Q2-2026, pelo que os controlos de deteção e restauro não puderam ser validados empiricamente. O SLA de patches e o exercício de restauro estão quantitativamente validados.
Uma única linha em audit_logs marca a conclusão do ciclo. A assinatura do revisor é digital — a promessa do dogfooding: o órgão de direção é o Cyril, o único admin que clicou em cada ecrã.
A Reglyze está fora do âmbito da NIS2 nos termos do artigo 2(1); esta auditoria é voluntária. Cadência fixada trimestral — a mesma recomendação que damos aos clientes pagantes.
Esta página faz parte do sítio Reglyze, servida como rota estática Next.js, e os PDFs redatados vivem em controlo de versões ao lado. Qualquer pessoa pode verificar a cronologia:
Inicie um scoping gratuito em cinco minutos. Se estiver fora de âmbito nos termos do artigo 2(1) como nós, ainda pode construir a base de evidência voluntária no plano Free. Se estiver em âmbito, o plano Pro da Reglyze cobre toda a superfície do artigo 21 com geração de documentos por IA, registo de fornecedores e auditorias trimestrais.