None
Janeiro 16, 2026 6 minha leitura

Relatório de incidentes SRI2: um guia passo a passo

Um dos aspectos mais exigentes em termos operacionais da conformidade com a SRI2 é a **estrutura obrigatória de comunicação de incidentes**. Ao contrário das estruturas anteriores, que permitiam comunicações vagas ou atrasadas, a SRI2 impõe prazos rigorosos, requisitos de conteúdo específicos e vias de escalonamento claras — com sanções graves para as organizações que não cumpram.

Relatório de incidentes SRI2: um guia passo a passo

Índice

O que é um "incidente significativo" nos termos da SRI2?

Nem todos os eventos de cibersegurança desencadeiam uma obrigação de notificação. A SRI2 define um incidente significativo como aquele que:

  1. Causa ou é capaz de causar graves perturbações operacionais dos serviços ou perdas financeiras para a entidade afetada, ou
  2. Afectou ou é susceptível de afectar outras pessoas singulares ou colectivas, causando danos materiais ou não materiais consideráveis.

Na prática, os seguintes fatores são utilizados para avaliar a significância:

  • Número de usuários afetados pela interrupção
  • Duração do incidente
  • Distribuição geográfica do impacto
  • Grau de perturbação na prestação do serviço
  • Impacto em dependências críticas (outras entidades que dependem dos seus serviços)
  • Impacto financeiro (custos incorridos ou infligidos)
  • Possível dano à reputação
Importante:

O limite para denúncias é deliberadamente amplo. Em caso de dúvida, denuncie. A não denúncia de um incidente significativo é, por si só, uma violação da conformidade.

O cronograma de relatórios em três etapas

A SRI2 estabelece uma obrigação de notificação em três fases para incidentes significativos:

1

Fase: Alerta precoce — dentro de 24 horas

O alerta precoce deve ser apresentado à autoridade nacional competente (em Portugal: CNCS ou a autoridade setorial relevante) no prazo de 24 horas após ter tomado conhecimento do incidente significativo.

Conteúdo necessário nesta fase:

  • Descrição básica do incidente (natureza, tipo de ameaça suspeita)
  • Se é possível haver impacto transfronteiriço
  • Se há suspeita de ato criminoso

Esta é uma notificação preliminar — não são necessárias informações detalhadas nesta fase. O objetivo é dar às autoridades uma visibilidade antecipada para que possam preparar o apoio necessário, se necessário.

2

Fase: Notificação do incidente — No prazo de 72 horas

Uma notificação completa do incidente deve ser enviada dentro de 72 horas após o conhecimento do mesmo. Esta deve incluir:

  • Avaliação atualizada do incidente (gravidade, alcance, impacto)
  • Indicadores de comprometimento (se disponíveis)
  • Avaliação inicial para determinar se o incidente foi causado por um ato criminoso ou hostil
  • Medidas de mitigação tomadas ou em andamento

3

Fase: Relatório final — dentro de um mês

O relatório final (ou intermediário) deve ser apresentado no prazo de um mês após a notificação do incidente. Este relatório abrangente deve incluir:

  • Descrição detalhada do incidente (cronograma, análise da causa raiz)
  • Tipo de ameaça ou causa principal que desencadeou o incidente
  • Medidas de mitigação aplicadas e sua eficácia
  • Avaliação do impacto transfronteiriço (se aplicável)
  • Lições aprendidas e melhorias recomendadas

Nota:

Para incidentes com efeitos contínuos no momento em que o relatório final deve ser entregue, é apresentado um relatório intercalar, sendo o relatório final apresentado assim que o incidente estiver totalmente resolvido.

Comunicação aos utilizadores afetados e ao público

Em determinadas circunstâncias, você também pode ser obrigado a informar seus usuários sobre incidentes significativos:

  • Quando o incidente for suscetível de afetar negativamente os destinatários dos seus serviços
  • Quando a divulgação é do interesse público (por exemplo, exposição generalizada de dados)
  • Quando solicitado pela autoridade competente

Isso significa que seu plano de resposta a incidentes deve incluir um protocolo de comunicação que abranja tanto as autoridades regulatórias quanto as partes interessadas afetadas.

Criando seu processo interno de notificação de incidentes

Para cumprir os prazos de 24/72 horas da SRI2, é necessário preparar-se muito antes de ocorrer um incidente. Veja como criar um processo interno em conformidade:

Passo 1: Definir internamente os critérios para "Incidente Significativo"

Traduza a definição da SRI2 em critérios práticos de classificação interna. Crie uma matriz de decisão que sua equipe possa usar durante um incidente para determinar rapidamente se é necessário fazer uma denúncia.

Passo 2: Nomear um responsável pela elaboração de relatórios

Designe uma pessoa específica (ou função) responsável pela comunicação de incidentes SRI2. Essa pessoa deve saber:

  • Quem contatar na CNCS
  • Que informações são necessárias em cada etapa
  • Onde encontrar registros, dados do sistema e documentação relevantes

Etapa 3: Estabelecer recursos de detecção de incidentes

Você não pode relatar um incidente que não detectou. Certifique-se de que você tem:

  • Monitoramento de segurança (SIEM, EDR, IDS/IPS)
  • Procedimentos claros de escalonamento das equipes técnicas para a gerência
  • Um canal de escalonamento 24 horas por dia, 7 dias por semana, para incidentes fora do horário comercial

Etapa 4: Preparar modelos de relatórios

Prepare antecipadamente modelos para o alerta precoce, notificação de incidentes e relatório final. Estes devem ser parcialmente preenchidos com antecedência com informações organizacionais permanentes, para que, durante um incidente, a sua equipa só precise de adicionar detalhes específicos do incidente.

Etapa 5: Realizar simulados de resposta a incidentes

Realize exercícios simulados pelo menos uma vez por ano, simulando um incidente significativo e testando sua capacidade de cumprir cada prazo de notificação. Esses exercícios devem envolver as equipes de TI, jurídica, de comunicações e a alta administração.

Etapa 6: Manter um registro de incidentes

Mantenha um registro detalhado de todos os incidentes de segurança cibernética — significativos e não significativos. Esse registro serve como prova da sua capacidade de gerenciamento de incidentes e é frequentemente solicitado pelas autoridades supervisoras durante auditorias.

Armadilhas comuns a evitar

  • Aguardando a confirmação do escopo completo antes de relatar: O alerta antecipado de 24 horas foi projetado para ser enviado com informações incompletas. Não espere pela certeza — relate o que você sabe e atualize posteriormente.
  • Tratar todos os incidentes da mesma forma: Nem todos os eventos de segurança são passíveis de notificação. Invista tempo antecipadamente na definição dos seus critérios de importância para evitar tanto o excesso como a falta de notificações.
  • Não envolver assessoria jurídica: A decisão de denunciar (e o que dizer) tem implicações legais. Envolva sua equipe jurídica desde o início em caso de incidentes significativos.
  • Não documentar a linha do tempo: as autoridades regulatórias irão examinar quando você tomou conhecimento do incidente. Mantenha registros detalhados com registros de data e hora desde o momento da detecção.
  • Negligenciar as implicações transfronteiriças: Se o seu incidente puder afetar serviços noutros Estados-Membros da UE, indique-o no seu alerta precoce — mesmo que não tenha a certeza. O CNCS avaliará as dimensões transfronteiriças.

Penalidades por não comunicação

A não comunicação de um incidente significativo de acordo com os prazos previstos na SRI2 constitui uma violação da conformidade que pode resultar em:

  • Multas administrativas (até 10 milhões de euros ou 2% do volume de negócios global para entidades essenciais)
  • Danos à reputação decorrentes de medidas coercivas tornadas públicas
  • Responsabilidade pessoal potencial da administração quando as falhas forem atribuídas a negligência ou ocultação deliberada

Conclusão

O relatório adequado de incidentes sob a SRI2 é operacionalmente complexo, mas possível com a preparação correta. Desenvolva suas capacidades de detecção, prepare seus modelos de relatório, treine sua equipe e pratique seus procedimentos de resposta antes que ocorra um incidente.

O objetivo é conseguir cumprir todos os três prazos de relatório — 24 horas, 72 horas, 1 mês — sem correr. Esse nível de preparação não é apenas um requisito de conformidade; é um sinal de maturidade genuína da segurança organizacional.

Importante

Este artigo tem fins meramente informativos e não constitui aconselhamento jurídico. Consulte sempre profissionais jurídicos qualificados para obter orientação específica para a situação da sua organização.

A SRI2 aplica-se à minha organização?

Faça a nossa avaliação gratuita de 5 minutos para determinar a sua classificação NIS2 e obter recomendações personalizadas para conformidade.

Iniciar Avaliacão