Roadmap · 90 dias
De zero a conforme em cinco fases.
A lei entra em vigor a 29 de Setembro de 2026 e o tempo conta a partir de agora. Este plano ordena as obrigações da lei 13/2026 numa sequência executável por uma equipa pequena, com os templates do portal a cobrir os documentos exigidos.
Semanas 1 e 2
Enquadrar e mandatar
- Determinar a classificação da organização com a calculadora de classificação e a regra do regime mais exigente
- Obter patrocínio da gestão de topo: orçamento, mandato e reporte
- Nomear formalmente o responsável pela segurança de informação e o auditor interno (template de nomeação disponível)
- Medir o ponto de partida com o quiz de conformidade
Semanas 3 a 5
Fundações documentais
- Aprovar a política de segurança de informação institucional
- Adoptar a metodologia de gestão do risco cibernético e correr a primeira avaliação
- Levantar o inventário de activos de informação e de sistemas críticos
- Verificar contratos com fornecedores de TI face às novas obrigações
Semanas 6 a 8
Capacidade de resposta
- Constituir o CSIRT institucional: mandato, membros, contactos, escalonamento (template de regulamento disponível)
- Aprovar o procedimento de notificação de incidentes ao CSIRT sectorial e nacional
- Implementar ou validar a infra-estrutura de cópias de segurança e testar uma reposição
- Preparar o registo na Autoridade Nacional de Segurança Cibernética
Semanas 9 a 11
Controlos e pessoas
- Fechar as medidas de prevenção, correcção e mitigação priorizadas pela avaliação de risco
- Configurar a retenção de dados de tráfego e localização por um ano, com controlo de acesso e registo
- Correr a primeira acção de consciencialização de colaboradores e calendarizar o programa contínuo
- Simular um incidente de ponta a ponta, incluindo o fluxo de notificação
Semanas 12 e 13
Auditar e entrar em regime
- Auditoria interna aos dez requisitos mínimos do artigo 48
- Corrigir os desvios encontrados e documentar a evidência de conformidade
- Submeter o registo na ANSC (quando o procedimento for publicado na regulamentação)
- Estabelecer o ciclo permanente: revisão de risco, testes, formação e reporte à gestão