Pack temático · compliance regulamentar

Compliance regulamentar
NIS2 · DORA · RGPD · ISO 27001

8 templates premium de nível consultoria para cumprir as 4 regulações que dominam 2026. Pré-preenchidas com dados reais de um caso concreto de gestora de activos portuguesa.

Por João Rodrigues, ITIL v5 Master e ITIL 4 Master. Único certificado nestes dois níveis em Portugal.

Compliance integrada e eficiente

As 4 regulações NIS2, DORA, RGPD e ISO 27001:2022 têm sobreposições significativas. Uma organização que queira cumprir as 4 em silos duplica esforço e aumenta custos. Este pack foi desenhado para a abordagem oposta: documentação integrada onde cada controlo satisfaz múltiplas regulações em paralelo.

Cada template inclui dados realistas de uma empresa portuguesa fictícia (XPTO Financial Services, gestora de activos com 500 colaboradores) em cenários concretos: cyber incident reporting sob NIS2, framework de ICT risk management sob DORA, DPIA para um sistema AI de risk scoring de clientes, register de third-parties conforme ITS 2024/2956, matriz de mapeamento cruzado entre frameworks e checklist de 150 itens para auditoria anual.

As templates estão alinhadas com ITIL 4 (prática Information Security Management) e ITIL v5 (2026), podendo ser adoptadas por organizações abrangidas por estas regulações ou que queiram antecipar a sua aplicação.

📑
8
templates integradas
⚖️
4 regulações
NIS2 · DORA · RGPD · ISO
150 items
checklist auditoria
🇵🇹
PT-PT
português europeu

As 8 templates do pack

🚨
Word

NIS2 Incident Reporting Playbook

Reporte 24h · 72h · 1 mês conforme art. 23 NIS2

Playbook completo para reporte obrigatório de incidentes significativos ao abrigo da Directiva (UE) 2022/2555 (NIS2). Inclui enquadramento legal, critérios de classificação, 4 templates de relatório pré-preenchidos e cenário completo de ransomware LockBit 3.0 na XPTO com narrativa D+0 a D+30.

NIS2 CERT.PT Cenário ransomware
Descarregar template →
🛡️
Word

DORA ICT Risk Management Framework

Arts. 5-16 DORA · 4 pilares · 12 políticas

Framework completo de gestão de risco ICT conforme Regulamento (UE) 2022/2554. Abrange governance, estratégia, 12 políticas obrigatórias, identificação, protecção, detecção, resposta e recuperação. 20 KPIs e KRIs monitorizados mensalmente.

DORA Arts. 5-16 Governance
Descarregar template →
🔗
Word

DORA Third-Party Risk Assessment

Arts. 28-44 · 20 fornecedores · ITS 2024/2956

Framework de gestão de risco de fornecedores ICT com 20 fornecedores reais pré-preenchidos (Microsoft, AWS, SWIFT, SIBS, Bloomberg, CrowdStrike). Inclui Register of Information conforme ITS 2024/2956, 17 cláusulas contratuais obrigatórias, due diligence checklist e exit strategies.

DORA Third-Party Register of Information
Descarregar template →
🎯
Word

DORA Operational Resilience Testing Plan

24 actividades 2026 · TLPT TIBER-EU

Plano anual de testing operacional conforme arts. 24-27 DORA. 24 actividades planeadas para 2026 em 6 categorias (vulnerability assessments, penetration testing, TLPT, tabletop exercises, DR testing). Inclui Threat-Led Penetration Testing conforme framework TIBER-EU com budget estimado de 600k-1.2M EUR.

TLPT TIBER-EU 24 testes
Descarregar template →
🔒
Word

RGPD Data Protection Impact Assessment

Art. 35 RGPD · 9 critérios EDPB · AI scoring

DPIA completa sobre sistema de AI-driven risk scoring de clientes (AML/KYC) conforme art. 35 RGPD. Cumpre 5 dos 9 critérios EDPB. Inclui 22 riscos identificados, 18 medidas de mitigação técnicas e organizacionais, análise de risco residual, parecer do DPO favorável com 5 condições pré go-live e coordenação com AI Act.

DPIA Art. 35 RGPD AI Act
Descarregar template →
📋
Excel

RGPD Records of Processing Activities

Art. 30 RGPD · 30 actividades pré-preenchidas

Registo de actividades de processamento conforme art. 30 RGPD em Excel estruturado. 25 actividades como controller (onboarding KYC, CRM, folha salarial, videovigilância, AI scoring, whistleblowing) e 5 como processor. Inclui categorias de dados, base legal, transferências internacionais, retenções e medidas de segurança.

RoPA Art. 30 30 actividades
Descarregar template →
🔀
Excel

Cross-regulation mapping

60 requisitos mapeados em 4 frameworks

Matriz de mapeamento cruzado entre NIS2, DORA, RGPD e ISO 27001:2022. 60 requisitos organizados em 10 categorias mostrando onde cada controlo satisfaz múltiplas regulações em paralelo. Inclui estatísticas de cobertura, 93 controlos ISO Anexo A e resumos dos artigos principais das 4 regulações.

Cross-mapping 60 requisitos Eficiência compliance
Descarregar template →
Excel

Checklist auditoria regulamentar anual

150 items · NIS2 · DORA · RGPD · ISO

Checklist consolidado para auditoria anual com 150 itens verificáveis. Para cada: pergunta de auditoria, evidência requerida, responsável, estado, classificação de findings (Crítico/Major/Minor), plano de remediação. Inclui dashboard de cobertura, plano de auditoria 2026 mês-a-mês e lista de evidências típicas.

Auditoria 150 items 2026 plan
Descarregar template →

Perguntas frequentes

Depende da dimensão, sector e volume de operações. NIS2 aplica-se a entidades essenciais/importantes com 50 ou mais colaboradores; DORA aplica-se exclusivamente ao sector financeiro; RGPD aplica-se a qualquer organização que processe dados pessoais; ISO 27001 é voluntária. Consulte os critérios em cada template.
Uma empresa fictícia usada como exemplo realista em todas as templates. É uma sociedade gestora de activos portuguesa com 500 colaboradores, sujeita a DORA via CMVM. Os dados, casos e cenários são plausíveis mas ficcionados.
Recomendamos: 1) Cross-regulation mapping (visão geral), 2) RGPD RoPA (base de processamento), 3) DORA ICT Risk Management (framework central), 4) NIS2 Incident Reporting (preparação operacional), 5) DORA Third-Party e Testing (implementação progressiva), 6) RGPD DPIA conforme necessário, 7) Checklist auditoria anual.
Use o cross-regulation mapping como guia. Muitos controlos técnicos (encryption, access management, incident response) satisfazem múltiplas regulações em paralelo. Concentre esforços em implementações únicas que cubram 3-4 regulações.
As templates são base profissional mas cada organização tem especificidades. Recomenda-se validação jurídica antes da adopção formal. Para organizações do sector financeiro, o DORA tem requisitos específicos que podem justificar consultoria especializada.
Sim. Serão revistas trimestralmente para acompanhar evoluções regulamentares (novos RTS, decisões EDPB, orientações CNPD/BdP/CMVM). Subscreva a nossa newsletter para receber actualizações.

Precisa de apoio na implementação?

A Better Skills oferece formação ITIL 4 e ITIL v5 com cobertura de práticas de Information Security Management, Risk Management e Service Continuity Management, todas relevantes para implementação destas regulações.

Ver curso ITIL v5 Foundation Contactar equipa