Guia
Janeiro 25, 2026 7 minha leitura

Responsabilidade da administração sob a SRI2: Por que a segurança cibernética é agora uma questão para a diretoria

Uma das características mais significativas — e frequentemente subestimadas — da Diretiva SRI2 é a obrigação explícita que ela impõe à liderança organizacional. Pela primeira vez na legislação de segurança cibernética da UE, conselhos de administração, diretores executivos e gerentes seniores são pessoalmente responsáveis pela postura de segurança cibernética de suas organizações.

Responsabilidade da administração sob a SRI2: Por que a segurança cibernética é agora uma questão para a diretoria

Índice

Base jurídica: Artigo 20.º da SRI2

O artigo 20.º da Diretiva SRI2 intitula-se «Governança» e estabelece o quadro fundamental de responsabilização da gestão:

  1. Os órgãos de gestão devem aprovar as medidas de gestão de riscos de segurança cibernética adotadas pela organização.
  2. Os órgãos de gestão devem supervisionar a implementação dessas medidas.
  3. Os órgãos de gestão são responsáveis se a sua organização infringir as obrigações da SRI2 devido a falhas de governança.
  4. Os membros do órgão de gestão devem receber treinamento para manter conhecimento suficiente para identificar e avaliar os riscos de segurança cibernética e seu impacto nos negócios.

Esses requisitos se aplicam a todas as entidades abrangidas pela SRI2 — tanto as essenciais quanto as importantes.

O que significa "governança da segurança cibernética" na prática?

Autoridade de Aprovação

O conselho ou órgão governamental equivalente deve aprovar formalmente:

  • Estrutura de gerenciamento de riscos de segurança cibernética da organização
  • Alterações significativas na estratégia de segurança cibernética ou decisões importantes de investimento
  • Planos de resposta a incidentes e políticas de continuidade de negócios
  • O programa de conformidade SRI2 da organização

Isso significa que as decisões sobre segurança cibernética não podem mais ser delegadas inteiramente ao departamento de TI. É necessária a aprovação da diretoria para decisões fundamentais sobre a postura de segurança.

Responsabilidade de supervisão

Os conselhos devem monitorar e revisar ativamente a segurança cibernética:

  • Relatórios regulares do CISO (Diretor de Segurança da Informação) ou equivalente ao conselho administrativo
  • KPIs de nível diretivo para o desempenho em segurança cibernética
  • Análise de incidentes significativos e quase acidentes
  • Supervisão do cumprimento das obrigações da SRI2 pela organização

Obrigações de treinamento

A SRI2 exige explicitamente que os membros do órgão de gestão tenham conhecimento suficiente sobre segurança cibernética. Isso não significa que todos os diretores devam se tornar especialistas em segurança, mas eles devem compreender:

  • O panorama dos riscos de segurança cibernética relevantes para sua organização
  • O impacto comercial de possíveis incidentes de segurança cibernética
  • Obrigações SRI2 e consequências do não cumprimento
  • Conceitos básicos de segurança cibernética relevantes para o seu setor

Como resultado, muitas organizações estão incorporando briefings específicos sobre SRI2 para a diretoria e sessões anuais de treinamento em segurança cibernética para a alta liderança.

Responsabilidade pessoal: quais são as possíveis consequências para os executivos individualmente?

Quando se constata que uma organização infringiu a SRI2 devido a falhas de gestão, as autoridades nacionais de supervisão podem:

  1. Aplicar multas individuais aos gestores responsáveis pela falha.
  2. Proibir temporariamente uma pessoa física de exercer funções gerenciais (essencialmente, impedir um executivo de exercer suas funções).
  3. Exigir anúncio público identificando as pessoas físicas responsáveis

Trata-se de um afastamento substancial do modelo tradicional, no qual as multas regulatórias recaem inteiramente sobre a entidade corporativa. Com a responsabilidade pessoal em jogo, as decisões de segurança cibernética agora acarretam consequências financeiras e profissionais diretas para os executivos.

Por que essa alteração foi implementada

A inclusão da responsabilidade da gestão na SRI2 foi uma escolha política deliberada dos legisladores da UE. A justificativa era clara: as estruturas anteriores de cibersegurança falharam, em parte, porque a liderança organizacional não tratava a cibersegurança como uma prioridade estratégica. Quando a cibersegurança era tratada como uma questão puramente técnica da responsabilidade da equipe de TI, o investimento era cronicamente insuficiente e a governança era inadequada.

Ao responsabilizar pessoalmente a administração, a SRI2 visa:

  • Inclua a segurança cibernética como prioridade na agenda corporativa.
  • Garantir que recursos adequados sejam alocados para programas de segurança
  • Promova uma mudança cultural — a segurança é um risco comercial, não um problema de TI.
  • Alinhar incentivos — os executivos agora têm interesses financeiros e profissionais pessoais em jogo.

A evolução do papel do CISO

A estrutura de responsabilidade de gestão da SRI2 eleva significativamente o papel do Diretor de Segurança da Informação (CISO) ou equivalente:

  • Os CISOs necessitam de linhas de reporte diretas ao conselho de administração (não subordinados ao CTO ou CIO).
  • Os CISOs necessitam de autoridade e orçamento suficientes para implementar as medidas necessárias.
  • Os CISOs necessitam do apoio das equipes jurídicas, de conformidade e operacionais.
  • As recomendações do CISO que forem rejeitadas pela administração devem ser documentadas — para proteger o CISO e demonstrar governança.

As organizações que ainda não possuem um CISO designado devem considerar a nomeação de um ou a contratação de um vCISO (CISO virtual) externo para fornecer a função de governança necessária.

Etapas práticas para conselhos e alta administração

1

Inclua a segurança cibernética na agenda da diretoria

Agende uma revisão dedicada em nível de diretoria do status de conformidade SRI2 da sua organização. Isso deve ocorrer pelo menos uma vez por ano e com maior frequência durante programas de conformidade ativos.

2

Solicite um Relatório de Risco de Segurança Cibernética

Solicite um resumo claro e não técnico sobre:

  • A classificação SRI2 da sua organização
  • Exposição atual aos riscos de segurança cibernética
  • Lacunas no cumprimento dos requisitos do artigo 21.º da SRI2
  • Roteiro de remediação proposto e investimento necessário

3

Aprovar formalmente as principais políticas

Documentar a aprovação formal do conselho de administração de:

  • A estrutura de gestão de riscos de segurança cibernética
  • O plano de resposta a incidentes
  • O programa e o roteiro de conformidade com a SRI2

4

Treinamento completo em gestão

Organize briefings apropriados sobre segurança cibernética para todos os membros do conselho e executivos seniores. Esse treinamento deve ser adaptado para públicos não técnicos e focar em governança, risco e impacto nos negócios, em vez de detalhes técnicos.

5

Estabelecer um mecanismo de supervisão contínua

Criar ou aprimorar estruturas de relatórios que proporcionem ao conselho uma visibilidade regular sobre:

  • Incidentes de segurança e quase acidentes
  • Progresso do programa de conformidade
  • Alterações no panorama das ameaças
  • Principais métricas de segurança (por exemplo, atualização de patches, taxas de cliques em phishing, cobertura de MFA)

Observação sobre o seguro D&O

É recomendável revisar o seguro de responsabilidade civil para diretores e executivos (D&O) à luz das disposições de responsabilidade civil da SRI2. À medida que a responsabilidade civil por falhas de segurança cibernética se torna mais concreta, as apólices D&O podem precisar ser atualizadas para lidar com possíveis reclamações de responsabilidade civil relacionadas à segurança cibernética. Recomenda-se consultar seu corretor de seguros para obter orientação.

A Mudança Cultural: De Problema de TI a Risco Empresarial

O impacto mais profundo das disposições de responsabilidade administrativa da SRI2 pode ser cultural. As organizações mais bem-sucedidas serão aquelas que internalizarem genuinamente a segurança cibernética como um risco comercial a ser gerenciado no mais alto nível — e não como uma caixa de conformidade a ser marcada.

Isso significa:

  • A segurança cibernética é discutida com o mesmo nível de seriedade que os riscos financeiros, jurídicos e de reputação.
  • As decisões de investimento em segurança cibernética são tomadas com o mesmo rigor que outras despesas de capital significativas.
  • A "postura da alta administração" em relação à segurança é clara, consistente e confiável.

As organizações que alcançarem essa mudança cultural não apenas estarão mais bem posicionadas para a conformidade com a SRI2, mas também serão genuinamente mais seguras e resilientes.

Conclusão

As disposições relativas à responsabilidade da gestão da SRI2 representam um momento decisivo para a governança da cibersegurança em Portugal e em toda a UE. Os conselhos de administração e os executivos que continuam a tratar a cibersegurança como um domínio puramente técnico correm sérios riscos — financeiros, profissionais e de reputação.

A mensagem é clara: a segurança cibernética é agora uma responsabilidade da diretoria, e a lei reflete isso. Comece por compreender a classificação SRI2 da sua organização com a nossa ferramenta de avaliação gratuita e, em seguida, apresente os resultados na sua próxima reunião da diretoria.

Observação:

Este artigo tem fins meramente informativos e não constitui aconselhamento jurídico. Recomenda-se consultar profissionais qualificados nas áreas jurídica e de segurança cibernética para obter orientações específicas para a sua organização.

A SRI2 aplica-se à minha organização?

Faça a nossa avaliação gratuita de 5 minutos para determinar a sua classificação NIS2 e obter recomendações personalizadas para conformidade.

Iniciar Avaliacão