Relatório de exposição · cadeia de abastecimento (NIS2)

Veja onde a sua cadeia
está exposta.

O novo Regime Jurídico da Cibersegurança obriga as entidades essenciais e importantes a avaliar o risco de cada fornecedor direto. Antes de montar o processo, peça um retrato inicial: onde a sua cadeia está mais frágil, que controlos do QNRCS pesam mais no seu setor e por onde começar.

Empresa parceira do Instituto Português da Qualidade
ÁÁguas do Atlânticoapp.foraudits.ai
Relatório de exposição
Setor: energia · retrato inicial
Exposição: média-alta
Acessos e MFA70
Incidentes45
Cadeia de 2.º nível80
Continuidade38
Risco principal
12 fornecedores críticos sem MFA comprovado.
~0entidades abrangidas em Portugal
0meses para as medidas mínimas
0minutos para interpretar consigo
porque agora

A obrigação já está em vigor e desce pela cadeia.

O Decreto-Lei n.º 125/2025, de 4 de dezembro, aprovou o Regime Jurídico da Cibersegurança e transpôs a diretiva NIS2. Está em vigor desde 3 de abril de 2026. A segurança da cadeia de abastecimento é uma das medidas mínimas obrigatórias: cada entidade essencial ou importante tem de avaliar as vulnerabilidades de cada fornecedor direto e a maturidade da sua cadeia, de forma contínua.

Em vigor desde 3 abr 2026
24 meses para as medidas mínimas
Sanções plenas a 3 abr 2027

O relatório de exposição é o ponto de partida: mostra-lhe a dimensão do problema antes de gastar tempo ou orçamento.

o que recebe

Quatro coisas concretas, não um folheto.

O relatório é construído sobre os dados que nos dá e sobre o motor de auditoria que já corre em produção no setor energético.

01
Onde a sua cadeia está exposta
Um retrato inicial do risco de terceiros, a partir da dimensão e do perfil da sua base de fornecedores. Mostra onde se concentra o risco mais material.
02
Os controlos do QNRCS que pesam no seu setor
Uma seleção dos controlos mais relevantes para o seu setor, explicados em linguagem clara, para saber o que vai ser pedido aos seus fornecedores.
03
Por onde começar a obrigação da cadeia
Os primeiros passos práticos: classificar fornecedores por criticidade, recolher evidências e montar a monitorização contínua.
04
30 minutos para interpretar os resultados
Uma conversa de 30 minutos com a nossa equipa para ler o relatório consigo, responder a dúvidas e decidir se faz sentido avançar. Sem guião de vendas.
como funciona

Do formulário ao relatório, em três passos.

Sem instalação, sem reunião obrigatória para começar.

01

Preenche o formulário

Pede-lhe nome, email profissional, empresa, função, o número aproximado de fornecedores e o setor. Demora menos de dois minutos.

Pedido de relatório
Ana Ferreira
ana@aguasdoatlantico.pt
Energia
50–100
Pedir relatório
ÁQuestionário · Cloudtech, Lda12/18
Mapeado ao QNRCS, gerado por IA
Controlo de acessos e MFAGC.AC-3
Continuidade de negócioRC.RP-1
A IA explica: este controlo exige autenticação multifator em todos os acessos remotos e de administração.
Cifra de dados em repousoPR.DS-1
02

Preparamos o relatório de exposição

Cruzamos o que nos deu com os controlos do QNRCS relevantes para o seu setor e produzimos um retrato inicial do risco da sua cadeia.

03

Lemos os resultados consigo

Enviamos o relatório e marcamos os 30 minutos para o interpretar e desenhar os primeiros passos. A decisão de avançar é sua.

ÁRisco · PagaJá, S.A.
72/100
Nível
Substancial
Lacuna detetada: MFA em falta em 2 acessos de administração.
Plano de remediação
01Ativar MFA nos acessos remotosAlto
02Plano de resposta a incidentesMédio
sobre o que é construído

Mapeado aos referenciais que as autoridades e os compradores já usam.

Os controlos do relatório seguem os mesmos referenciais que vão ser pedidos numa auditoria, para que as evidências sirvam mais do que uma vez.

QNRCSNIST CSF 2.0ISO/IEC 27001ISO/IEC 27036Regulamento n.º 756/2026
para quem

Faz sentido se está deste lado da cadeia.

Entidades reguladas
É uma entidade essencial ou importante e precisa de saber, antes de mais, o tamanho do risco na sua base de fornecedores.
Pedir relatório
Responsáveis de compras e CISO
Vai ter de pedir evidências a dezenas de fornecedores. Comece por perceber quais são os mais críticos e que controlos exigir primeiro.
Pedir relatório
Escritórios e consultoras
Tem clientes regulados que vão precisar disto. Use o relatório de exposição como porta de entrada e entregue a conformidade com o motor por baixo.
Ver a página de parceiros
o que esperar, com honestidade

Indicativo, não uma avaliação formal.

O relatório de exposição é um retrato inicial, construído a partir da informação que nos fornece. Serve para dimensionar o problema e decidir os próximos passos, não para substituir a avaliação formal de cada fornecedor nem o registo das entidades na plataforma MyCiber. A foraudits não é um organismo de certificação acreditado: preparamos, mapeamos e organizamos as evidências e produzimos relatórios de prontidão. A certificação formal é feita por organismos acreditados pelo IPAC, para os quais encaminhamos.

Usamos os seus dados apenas para preparar o relatório e contactá-lo, sem spam.
Sem compromisso: o relatório e a conversa de 30 minutos são o ponto de partida, não um contrato.

Peça o seu relatório de exposição.

Alguns dados sobre a sua organização e devolvemos um retrato inicial do risco da sua cadeia, os controlos do QNRCS mais relevantes para o seu setor e uma conversa de 30 minutos, sem compromisso.

Sem custo e sem compromisso
Menos de dois minutos
Sem listas de fornecedores nesta fase
Usamos estes dados apenas para preparar o relatório e contactá-lo. Sem spam.
perguntas frequentes

Perguntas frequentes.

O relatório de exposição é indicativo e depende da informação fornecida. Não substitui a avaliação formal de cada fornecedor nem o registo das entidades. A foraudits não é um organismo de certificação acreditado; a certificação formal é feita por organismos acreditados pelo IPAC. Este conteúdo é informativo e não constitui aconselhamento jurídico.