foraudits

Relatório de exposição, cadeia de abastecimento (NIS2)

Veja onde a sua cadeia está exposta.

O novo Regime Jurídico da Cibersegurança obriga as entidades essenciais e importantes a avaliar o risco de cada fornecedor direto. Antes de montar o processo, peça um retrato inicial. Dizemos-lhe onde a sua cadeia está mais frágil, que controlos do QNRCS pesam mais no seu setor e por onde começar. Pedimos alguns dados, devolvemos o relatório e marcamos 30 minutos para o interpretar consigo.

Pedir relatório de exposiçãoVer o que recebe
~6.000entidades abrangidas em Portugal
24 mesespara implementar as medidas mínimas
30 minutosde conversa para interpretar os resultados

Porque agora

A obrigação já está em vigor e desce pela cadeia.

O Decreto-Lei n.º 125/2025, de 4 de dezembro, aprovou o Regime Jurídico da Cibersegurança e transpôs a diretiva NIS2. Está em vigor desde 3 de abril de 2026. A segurança da cadeia de abastecimento é uma das medidas mínimas obrigatórias: cada entidade essencial ou importante tem de avaliar as vulnerabilidades de cada fornecedor direto e a maturidade da sua cadeia, de forma contínua. Há uma janela de 24 meses para implementar as medidas mínimas e as sanções plenas começam a 3 de abril de 2027. O relatório de exposição é o ponto de partida: mostra-lhe a dimensão do problema antes de gastar tempo ou orçamento.

O que recebe

Quatro coisas concretas, não um folheto.

O relatório é construído sobre os dados que nos dá e sobre o motor de auditoria que já corre em produção no setor energético.

Como funciona

Do formulário ao relatório, em três passos.

Sem instalação, sem reunião obrigatória para começar.

Sobre o que é construído

Mapeado aos referenciais que as autoridades e os compradores já usam.

Os controlos do relatório seguem os mesmos referenciais que vão ser pedidos numa auditoria, para que as evidências sirvam mais do que uma vez.

QNRCSNIST CSF 2.0ISO/IEC 27001ISO/IEC 27036Regulamento n.º 756/2026

Para quem

Faz sentido se está deste lado da cadeia.

Entidades reguladas

É uma entidade essencial ou importante e precisa de saber, antes de mais, o tamanho do risco na sua base de fornecedores. O relatório de exposição é o primeiro passo.

Ver

Responsáveis de compras e CISO

Vai ter de pedir evidências a dezenas de fornecedores. Comece por perceber quais são os mais críticos e que controlos exigir primeiro.

Ver

Escritórios e consultoras

Tem clientes regulados que vão precisar disto. Use o relatório de exposição como porta de entrada e entregue a conformidade com o motor por baixo.

Ver

O que esperar, com honestidade

Indicativo, não uma avaliação formal.

O relatório de exposição é um retrato inicial, construído a partir da informação que nos fornece. Serve para dimensionar o problema e decidir os próximos passos, não para substituir a avaliação formal de cada fornecedor nem o registo das entidades na plataforma MyCiber. A foraudits não é um organismo de certificação acreditado: preparamos, mapeamos e organizamos as evidências e produzimos relatórios de prontidão. A certificação formal é feita por organismos acreditados pelo IPAC, para os quais encaminhamos.

  • Usamos os seus dados apenas para preparar o relatório e contactá-lo, sem spam.
  • Sem compromisso: o relatório e a conversa de 30 minutos são o ponto de partida, não um contrato.

Peça o seu relatório de exposição.

Alguns dados sobre a sua organização e devolvemos um retrato inicial do risco da sua cadeia, os controlos do QNRCS mais relevantes para o seu setor e uma conversa de 30 minutos, sem compromisso.

🇵🇹 +351

Usamos estes dados apenas para preparar o relatório e contactá-lo. Sem spam.

Perguntas frequentes

O relatório tem custo?

Não. O relatório de exposição e a conversa de 30 minutos para o interpretar são o nosso ponto de partida, sem compromisso. Só avança quem quiser avançar.

Que dados preciso de dar?

Nome, email profissional, empresa, função, o número aproximado de fornecedores e o setor. Nada de listas de fornecedores nem documentos nesta fase: isso só entra se decidir avançar para a avaliação.

Isto certifica a minha conformidade NIS2?

Não. O relatório é indicativo e ajuda a dimensionar o risco da cadeia. A certificação formal é feita por organismos acreditados pelo IPAC. A foraudits prepara, mapeia e organiza as evidências e produz relatórios de prontidão, e encaminha para parceiros acreditados quando é preciso certificação formal.

Não tenho a certeza se estou abrangido. Vale a pena pedir?

Sim. Mesmo que não esteja diretamente abrangido, se fornece entidades reguladas pode ser alcançado por via contratual, através da obrigação de segurança da cadeia dos seus clientes. O relatório ajuda a perceber a sua posição. O CNCS disponibiliza ainda um simulador não vinculativo na plataforma MyCiber.

Quanto tempo demora a receber o relatório?

Entramos em contacto pouco depois do pedido para confirmar os dados e combinar a conversa de 30 minutos, onde lemos o relatório de exposição consigo.

O relatório de exposição é indicativo e depende da informação fornecida. Não substitui a avaliação formal de cada fornecedor nem o registo das entidades. A foraudits não é um organismo de certificação acreditado; a certificação formal é feita por organismos acreditados pelo IPAC. Este conteúdo é informativo e não constitui aconselhamento jurídico.