Raramente, CRL

Legal

NIS2 e Segurança Digital

Última atualização: 30 de maio de 2026. Esta página é uma declaração de boas práticas e não substitui classificação jurídica sobre aplicabilidade da NIS2.

Enquadramento

A Diretiva (UE) 2022/2555, conhecida como NIS2, estabelece medidas para um elevado nível comum de cibersegurança na União Europeia. A sua aplicação concreta depende da atividade, dimensão, setor, serviços prestados e legislação nacional aplicável.

A Raramente, CRL deve confirmar com apoio jurídico e técnico se se enquadra como entidade essencial, importante ou fora do âmbito direto da NIS2. Ainda assim, adota uma postura preventiva de segurança e continuidade.

Princípios adotados neste website

  • Website estático, sem base de dados própria e sem formulários, reduzindo superfície de ataque.
  • Obrigatoriedade de HTTPS configurada por servidor.
  • Cabeçalhos de segurança para reduzir riscos de injeção, clickjacking, sniffing de conteúdo e permissões abusivas.
  • Sem carregamento automático de mapas, vídeos, widgets sociais, analytics ou publicidade externa.
  • Links externos identificados e abertos de forma isolada com proteção rel="noopener noreferrer".

Medidas organizacionais recomendadas

  • Definir responsável interno por segurança digital e contactos com fornecedores.
  • Manter inventário de domínios, alojamentos, emails, acessos cPanel, DNS e redes sociais.
  • Aplicar autenticação multifator sempre que disponível.
  • Rever acessos periodicamente e remover contas que já não sejam necessárias.
  • Manter cópias de segurança do website e dos conteúdos institucionais.
  • Registar incidentes, suspeitas de phishing, acessos indevidos e medidas tomadas.
  • Validar fornecedores que tratem dados pessoais ou assegurem serviços digitais essenciais.

Gestão de incidentes

Em caso de incidente de segurança, a Raramente deve preservar evidências, isolar acessos comprometidos, contactar o fornecedor técnico, avaliar impacto em dados pessoais e cumprir deveres de notificação aplicáveis perante autoridades competentes, incluindo CNPD quando exista violação de dados pessoais.

Revisão

Esta declaração deve ser revista sempre que o website passe a ter formulários, bases de dados, área reservada, integrações externas automáticas, pagamentos, sistemas de marcação ou recolha estruturada de dados pessoais.

Referências

Para enquadramento oficial, consultar o Centro Nacional de Cibersegurança e a legislação da União Europeia.