Enquadramento e Conceitos Essenciais
Contexto da transformação digital e os riscos reais para PMEs; segurança da informação como processo de gestão; conceitos fundamentais introduzidos em contexto de decisão; papel e responsabilidades da gestão vs. área de IT.

Conformidade Legal
RGPD: obrigações em vigor e lacunas mais comuns nas PMEs; NIS2 / DL 125/2025: o novo Regime Jurídico da Cibersegurança em Portugal; âmbito de aplicação direto e implicações indiretas para PMEs fornecedoras de entidades abrangidas; autoridades competentes: CNCS e CNPD

Gestão de Risco e GRC
Identificação e inventário de ativos de informação; metodologia simplificada de avaliação de risco (probabilidade × impacto); critérios de priorização proporcionais aos recursos da PME; governação, risco e conformidade (GRC) na prática: estruturar a função com recursos limitados

Frameworks e Políticas
NIST CSF 2.0 como linguagem de governação: as seis funções e as perguntas que todo o gestor deve saber fazer; CIS Controls v8 IG1: os controlos essenciais para organizações sem departamento de IT dedicado; alinhamentos entre frameworks e quadro legal; estrutura de uma política interna de segurança proporcional; comunicação e implementação interna de políticas.

Decisão, Fornecedores e Resiliência
Risco de terceiros e cadeia de fornecimento; critérios de avaliação de fornecedores de IT e cloud; cláusulas contratuais mínimas de segurança; tipos de incidentes mais comuns em PMEs; plano de resposta a incidentes proporcional; obrigações de notificação (CNCS, CNPD) e comunicação de crise

Aplicação Prática e Plano de Ação
Autodiagnóstico estruturado da organização; priorização de ações: quick wins vs. investimentos estratégicos; construção de um roadmap de 12 meses; partilha e debate entre participantes.