BU4 – UNIDADE DE CYBER COMPLIANCE

---

◎ Missão:

Converter as obrigações legais em resiliência digital estratégica, assegurando que a conformidade em cibersegurança seja o alicerce da confiança institucional e do crescimento seguro dos nossos clientes.

⚙ Principais Atribuições:

Governação de Cibersegurança e Compliance

• Definição e implementação de modelos de governação de cibersegurança, alinhados com a estrutura organizacional e com os requisitos legais e regulamentares aplicáveis.
• Apoio à definição clara de papéis, responsabilidades e linhas de reporte, assegurando accountability e tomada de decisão informada.
• Elaboração e revisão de políticas, normas internas e procedimentos operacionais de segurança, garantindo coerência, aplicabilidade prática e rastreabilidade.

Gestão de Risco em Cibersegurança

• Condução de avaliações de risco baseadas nos princípios da Confidencialidade, Integridade e Disponibilidade (CIA), considerando ameaças, vulnerabilidades e impactos operacionais.
• Realização de gap assessments e avaliações de maturidade face a referenciais normativos e regulamentares.
• Apoio à definição e acompanhamento de planos de tratamento de risco, com medidas proporcionais à criticidade dos ativos e serviços.

Conformidade Regulamentar e Normativa

• Apoio à implementação e manutenção da conformidade com NIS2 (DL n.º 125/2025), ISO/IEC 27001, DORA, RGPD e outros regimes aplicáveis.
• Tradução de requisitos legais e normativos em controlos técnicos e organizacionais concretos, passíveis de evidência e auditoria.
• Monitorização contínua do estado de conformidade e apoio à gestão de alterações regulamentares.

Implementação de Medidas Técnicas e Organizacionais

• Apoio à implementação de controlos técnicos de segurança, incluindo hardening de sistemas, segmentação de redes, encriptação, logging e monitorização.
• Implementação de medidas organizacionais, como gestão de acessos, segregação de funções, gestão de fornecedores e controlo de terceiros.
• Acompanhamento da integração da segurança nos processos e sistemas existentes (compliance by design).

Preparação para Auditorias, Supervisão e Fiscalização

• Preparação técnica e documental para auditorias internas e externas, inspeções e ações de supervisão por entidades competentes.
• Estruturação e manutenção de evidências objetivas de conformidade, incluindo políticas, registos, relatórios e métricas.
• Apoio durante processos de auditoria, incluindo resposta a constatações e definição de ações corretivas.

Resiliência Operacional Digital

• Apoio ao desenvolvimento, revisão e teste de Planos de Continuidade de Negócio (BCP) e Planos de Resposta a Incidentes (IRP).
• Definição de processos de deteção, resposta, contenção, recuperação e comunicação de incidentes de cibersegurança.
• Apoio à realização de exercícios, simulações e testes de resiliência operacional.

Gestão e Reporte de Incidentes

• Apoio à definição de procedimentos de gestão e reporte de incidentes, em alinhamento com os requisitos legais aplicáveis (ex.: NIS2).
• Suporte à classificação de incidentes, avaliação de impacto e cumprimento de prazos de notificação.
• Apoio à articulação com autoridades competentes e stakeholders relevantes.

Formação Executiva e Capacitação Organizacional

• Desenvolvimento e realização de formação especializada em Cyber Compliance para dirigentes, gestores e equipas técnicas.
• Sensibilização para responsabilidades legais, risco organizacional e boas práticas de cibersegurança.
• Promoção de uma cultura de segurança e conformidade transversal à organização.

---