Questionário de fornecedores NIS 2

O nome registado da sua empresa, tal como consta do registo comercial. Exemplo: Müller GmbH ou Acme Software Ltd.

Base legal: ENISA TIG §5.2

O endereço comercial registado da sua empresa. Basta um endereço, mesmo que tenha várias localizações.

Base legal: ENISA TIG §5.2

O país onde a sua empresa está legalmente estabelecida. Duas letras, por exemplo DE para a Alemanha.

Base legal: ENISA TIG §5.2

O seu domínio principal, normalmente o URL do seu sítio web. Exemplo: acmesoftware.com.

Base legal: ENISA TIG §5.2(b)

Uma linha a resumir o que oferece. Os clientes veem-na no seu perfil de fornecedor. Exemplo: ERP para a indústria transformadora das PME.

Base legal: ENISA TIG §5.2(b)

Duas a três frases sobre a sua empresa e o que faz. Aparece no seu perfil de fornecedor. Argumento de venda, postura de segurança ou ambos.

Base legal: ENISA TIG §5.2(b)

Um parágrafo sobre o que a sua empresa entrega tecnicamente aos clientes. Produtos, módulos ou serviços concretos. Evite linguagem puramente de marketing.

Base legal: ENISA TIG §5.2(b) + §5.1.4 TIPS

Todos os países onde os dados dos seus clientes são armazenados ou tratados. Separados por vírgulas, códigos de país ISO. Exemplo: DE, NL, US. Se tratar os dados inteiramente dentro da UE, basta enumerar os países da UE.

Base legal: ENISA TIG §5.1.4 TIPS

A quem os clientes recorrem quando ocorre um incidente de segurança. Nas empresas mais pequenas, muitas vezes o diretor-geral ou o responsável de TI. Basta uma pessoa.

Base legal: CIR 2024/2690 §5.1.4(d)

Endereço de e-mail que os clientes utilizam para comunicar um incidente de segurança. Idealmente uma lista de distribuição como security@example.com que chegue a várias pessoas.

Base legal: CIR 2024/2690 §5.1.4(d)

Número de telefone para comunicações urgentes de incidentes. Se não dispuser de piquete 24/7, indique o seu horário de funcionamento entre parênteses.

Base legal: CIR 2024/2690 §5.1.4(d)

Horas desde a deteção de um incidente até à notificação do cliente, o mais tardar. Autoavaliação realista, não aspiracional. Valores comuns: 24, 48 ou 72 horas.

Base legal: NIS2 Art. 23

Se a sua empresa estiver ela própria sujeita à NIS 2 e registada junto do BSI, introduza aqui o ID de registo. Opcional. Permite aos clientes ver de imediato que cumpre a mesma obrigação que uma entidade regulada.

Base legal: ENISA TIG §5.1.2

Executa software para os clientes na sua própria infraestrutura e entrega-o através da internet. Assinale mais do que uma caixa se oferecer vários modelos.

Base legal: ENISA TIG §5.2(b)

Fornece software que os clientes instalam e executam na sua própria infraestrutura.

Base legal: ENISA TIG §5.2(b)

O seu principal resultado é trabalho humano: consultoria, implementação, formação, auditoria ou personalização.

Base legal: ENISA TIG §5.2(b)

Opera para o cliente partes da sua TI, com pessoal próprio. Típico dos modelos MSP e MSSP.

Base legal: ENISA TIG §5.2(b)

Os seus produtos ou serviços tratam dados dos clientes através de um modelo de IA ou ML? Inclui modelos externos que invoca através de uma API, por exemplo OpenAI ou Anthropic.

Base legal: NIS2 Art. 21(2)(d)

Assinale sim se tiver uma política escrita de segurança da informação com funções atribuídas, revisões periódicas e tratamento documentado de incidentes. Uma certificação ISO 27001 ou BSI Grundschutz implica sim.

Base legal: CIR 2024/2690 §5.1.2(a)

Assinale sim se a sua empresa detiver atualmente uma certificação ISO 27001, BSI Grundschutz, SOC 2 Type II ou equivalente. Carregue o certificado no separador Certificações.

Base legal: CIR 2024/2690 §5.1.2(b)

Assinale sim se cada colaborador receber pelo menos uma formação anual de sensibilização para a segurança da informação. O e-learning conta, as simulações de phishing acrescentam-se.

Base legal: CIR 2024/2690 §5.1.4(b)

Assinale sim se efetuar uma verificação de antecedentes do pessoal com acesso a dados de clientes. Nível comum: certificado de registo criminal ou documento equivalente na contratação.

Base legal: CIR 2024/2690 §5.1.4(c)

Assinale sim se tiver um processo escrito para o tratamento de vulnerabilidades de segurança: detetar, avaliar, priorizar, corrigir ou mitigar. A monitorização de CVE e a aplicação de correções orientada por SLA são a norma.

Base legal: CIR 2024/2690 §5.1.4(f)

Assinale sim se conceder aos clientes um direito de auditoria no local ou fornecer relatórios de auditoria substitutos (por exemplo SOC 2, ISAE 3402).

Base legal: CIR 2024/2690 §5.1.4(e)

Assinale sim se utilizar outras empresas para prestar o seu serviço que tenham acesso aos dados ou à infraestrutura dos clientes. Exemplos típicos: AWS, Azure, Cloudflare, Stripe.

Base legal: CIR 2024/2690 §5.1.4(g)

Enumere cada subcontratante com o nome, o local de tratamento e o que faz para si. Basta uma tabela ou uma lista de pontos. Atualize-a sempre que adicionar ou remover um.

Base legal: CIR 2024/2690 §5.1.4(g)

Assinale sim se se comprometer contratualmente a devolver ou destruir os dados do cliente no final do contrato. Prática comum: exportar e devolver e, depois, eliminar no prazo de 30 dias.

Base legal: CIR 2024/2690 §5.1.4(h)

Assinale sim se tiver um contrato padrão de tratamento de dados ao abrigo do artigo 28.º do GDPR que os clientes possam assinar. Obrigatório a partir do momento em que trata dados pessoais.

Base legal: GDPR Art. 28

Assinale sim se as suas políticas de segurança forem revistas pelo menos uma vez por ano e atualizadas conforme necessário. Uma nota escrita no documento é prova suficiente.

Base legal: NIS2 Art. 21(2)(a) / ENISA TIG §1.1

Assinale sim se tiver um plano escrito para o tratamento de incidentes de segurança: quem decide, quem comunica, quem documenta. Pelo menos um exercício de simulação por ano é boa prática.

Base legal: NIS2 Art. 21(2)(b) / ENISA TIG §3

Assinale sim se tiver um plano que explique como mantém o funcionamento ou recupera rapidamente durante uma interrupção: sistemas críticos, soluções de recurso, objetivos RTO e RPO.

Base legal: NIS2 Art. 21(2)(c) / ENISA TIG §4

Assinale sim se tiver registado por escrito que criptografia utiliza e onde: dados em trânsito (TLS 1.2+), dados em repouso (AES-256), gestão de chaves, algoritmos de hash.

Base legal: NIS2 Art. 21(2)(h) / ENISA TIG §9

Assinale sim se os administradores e as contas privilegiadas dispuserem de controlos adicionais: início de sessão separado, MFA, registo de sessões ou acesso just-in-time.

Base legal: NIS2 Art. 21(2)(i) / ENISA TIG §11.3

Assinale sim se cada conta interna de administração ou privilegiada tiver de usar MFA. Os tokens de hardware ou as aplicações de autenticação contam, o SMS não.

Base legal: NIS2 Art. 21(2)(j)

Assinale sim se mantiver uma lista atual de cada sistema de informação que utiliza para prestar o seu serviço: servidores, bases de dados, ferramentas SaaS, terminais. Basta uma folha de cálculo.

Base legal: NIS2 Art. 21(2)(i) / ENISA TIG §12.4

Assinale sim se encomendar um teste de penetração externo pelo menos uma vez de um a dois anos. Para empresas mais pequenas, uma análise externa de vulnerabilidades como passo mínimo é aceitável.

Base legal: NIS2 Art. 21(2)(e) / ENISA TIG §6.5

Assinale sim se, a pedido do cliente, divulgar abertamente se e que incidentes de segurança notificáveis a sua empresa teve no passado. Janela comum: os últimos três a cinco anos.

Base legal: ENISA TIG §5.1.2

Assinale sim se se comprometer a ajudar os clientes sem custos adicionais quando um incidente for causado pelo seu produto ou serviço. Se, em alternativa, acordar à partida uma tarifa diária predefinida, assinale também sim.

Base legal: ENISA TIG §5.1.4 TIPS

Assinale sim se se comprometer a cooperar plenamente com as autoridades competentes, como o BSI, a ENISA ou os CSIRT nacionais, durante inspeções, auditorias e tratamento de incidentes. Padrão para fornecedores sérios.

Base legal: ENISA TIG §5.1.4 TIPS

Assinale sim se se comprometer a notificar os clientes de qualquer alteração substancial que afete a sua capacidade de prestar o serviço: aquisições, mudanças de subcontratante, alterações técnicas importantes.

Base legal: ENISA TIG §5.1.4 TIPS

Assinale sim se notificar os clientes com antecedência antes de o local de tratamento dos seus dados mudar. Importante para a proteção de dados e para uma supervisão da cadeia de fornecimento em conformidade com o GDPR.

Base legal: ENISA TIG §5.1.4 TIPS

Assinale sim se tiver uma estratégia de saída escrita: quanto tempo demora uma transferência ordenada, que dados e conhecimentos são transferidos, a que se compromete durante a transição.

Base legal: ENISA TIG §5.1.4 TIPS

Opcional. Assinale sim se conseguir fornecer um SBOM-for-AI segundo os elementos mínimos do G7 (maio de 2026). Documenta metadados, modelos, dados de treino, infraestrutura, propriedades de segurança, KPI e comportamento do sistema. Norma voluntária.

Base legal: NIS2 Art. 21(2)(d) / ENISA TIG §5.1.2

URL público ou partilhado do seu documento SBOM-for-AI. Pode ser um PDF, um ficheiro JSON ou uma página de projeto.

Base legal: NIS2 Art. 21(2)(d) / ENISA TIG §5.1.2

A região da nuvem onde os dados dos clientes são alojados. Exemplo: AWS eu-central-1, Azure West Europe. Indique a região principal; as regiões secundárias ou de cópia de segurança podem ser acrescentadas separadas por vírgulas.

Base legal: ENISA TIG §5.2

Assinale sim se os dados dos clientes em disco estiverem cifrados em repouso com AES-256 ou equivalente. A cifragem de disco gerida pela nuvem (AWS EBS, Azure Disk Encryption) conta.

Base legal: NIS2 Art. 21(2)(h) / ENISA TIG §9

Assinale sim se todos os pontos de extremidade orientados ao cliente impuserem TLS 1.2 ou superior. É preferível o TLS 1.3. O HTTP simples deve redirecionar para HTTPS.

Base legal: NIS2 Art. 21(2)(h) / ENISA TIG §9

Assinale sim se todas as contas de administração internas na plataforma SaaS tiverem de utilizar MFA. O mesmo padrão da sua política de administração interna.

Base legal: NIS2 Art. 21(2)(j) / ENISA TIG §11.3

Número máximo de horas em que o seu serviço pode estar indisponível antes da recuperação. Valor de SLA realista, não aspiracional. Valores comuns de SaaS: 4, 8 ou 24 horas.

Base legal: NIS2 Art. 21(2)(c) / ENISA TIG §4

Assinale sim se fornece uma lista de materiais de software (SBOM) com cada versão. CycloneDX ou SPDX são os formatos padrão. Obrigatório ao abrigo do Cyber Resilience Act para os produtos colocados no mercado da UE a partir de dezembro de 2027.

Base legal: CRA / NIS2 Art. 21(2)(d)

Assinale sim se cada artefacto de versão tiver uma assinatura criptográfica que os clientes possam verificar. As chaves de assinatura estão documentadas e são rotacionadas. As assinaturas Sigstore ou PGP contam ambas.

Base legal: NIS2 Art. 21(2)(e) / ENISA TIG §6.5

Assinale sim se dispuser de uma forma documentada publicamente para comunicar vulnerabilidades de segurança. Basta um ficheiro security.txt no seu domínio (nos termos da RFC 9116) ou um endereço de correio eletrónico dedicado, como security@example.com.

Base legal: NIS2 Art. 21(2)(e) / ENISA TIG §3

Horas desde a divulgação pública de uma CVE até uma versão corrigida para as vulnerabilidades críticas (CVSS 9.0+). Compromisso realista, não aspiracional. Valores habituais: 24, 48 ou 72 horas.

Base legal: CIR 2024/2690 §5.1.4(f)

Descreva como avalia os consultores para funções sensíveis. Exemplo: certificado do registo criminal para todos os consultores, além da verificação de referências para os trabalhos que envolvam dados classificados.

Base legal: NIS2 Art. 21(2)(i) / CIR 2024/2690 §5.1.4(c)

Assinale sim se cada consultor assinar um acordo de confidencialidade antes de ser afetado ao trabalho com o cliente. Quer como parte do contrato de trabalho, quer como um NDA separado.

Base legal: NIS2 Art. 21(2)(i) / ENISA TIG §11.4

Assinale sim se dispuser de um código de conduta escrito para os consultores que trabalham nas instalações do cliente: gestão de cartões de acesso, regra de bloqueio de ecrã, o que fazer se os dados saírem do local.

Base legal: NIS2 Art. 21(2)(i) / ENISA TIG §11.3

Assinale sim se utilizar uma ferramenta de gestão de acessos privilegiados para sessões remotas administrativas nos sistemas dos clientes. Exemplos: CyberArk, BeyondTrust, Teleport. Uma configuração de jump-host com registo de logs conta.

Base legal: NIS2 Art. 21(2)(i) / ENISA TIG §11.3

Assinale sim se as sessões de administração nos sistemas dos clientes forem gravadas e conservadas para revisão. Conservação habitual: de 90 dias a 1 ano. Necessária para a reconstrução forense após incidentes.

Base legal: NIS2 Art. 21(2)(f) / ENISA TIG §10

Assinale sim se mantiver um regime de prevenção 24/7 que responde a incidentes de segurança nos sistemas dos clientes. O suporte limitado ao horário de expediente não cumpre o requisito.

Base legal: NIS2 Art. 21(2)(b) / ENISA TIG §3