A crescente digitalização e interconectividade expõem organizações a um número cada vez maior de ciberameaças. Para garantir um ambiente digital seguro e resiliente, as empresas e instituições podem adotar o Quadro Nacional de Referência para a Cibersegurança (QNRCS), desenvolvido pelo Centro Nacional de Cibersegurança (CNCS). Este referencial estratégico estabelece um conjunto de diretrizes que permite às organizações reforçarem a proteção das suas redes e sistemas de informação.
O QNRCS define boas práticas e requisitos de cibersegurança de adoção voluntária, ajudando as entidades a gerir riscos, responder eficazmente a incidentes e proteger a integridade dos seus dados e ativos. Estruturado em torno de cinco objetivos fundamentais – Identificar, Proteger, Detetar, Responder e Recuperar –, fornece orientações concretas, incluindo exemplos de implementação tecnológica e processual, bem como recomendações adaptáveis à dimensão e contexto de cada organização.
Este quadro promove uma abordagem evolutiva e progressiva, permitindo que as organizações desenvolvam estratégias de cibersegurança personalizadas, alinhadas com as suas necessidades e com um compromisso claro com a conformidade.
Além disso, a certificação para o QNRCS possibilita que organizações da Administração Pública, operadores de infraestruturas críticas, prestadores de serviços essenciais e digitais, empresas privadas e entidades do setor social demonstrem um nível de maturidade em cibersegurança reconhecido pelo mercado e pela sociedade. A certificação, que tem uma validade de 3 anos, reforça a confiança dos parceiros e clientes, validando o compromisso da organização com a segurança dos seus serviços e a proteção das partes interessadas.
Foram estabelecidos 3 níveis de certificação:
- Básico: representa o ponto de partida na jornada da cibersegurança, garantindo uma base robusta de proteção. Inclui um conjunto de medidas e procedimentos de segurança introdutórios, concebidos para responder às necessidades essenciais das organizações, sem comprometer a sua eficácia.
De acordo com o Centro Nacional de Cibersegurança (CNCS): "Sublinhe-se o carácter vigoroso das medidas de segurança concebidas desde o nível “Básico”, pertinente às características dos candidatos destinatários preferenciais da certificação QNRCS e do papel central que ocupam na sociedade. O alcance da certificação QNRCS mesmo no nível “Básico” configura uma capacitação em cibersegurança digna e relevante, apta à proteção da organização, das suas partes interessadas externas, sobretudo clientes, consumidores e utilizadores finais, a um ponto significativo para o panorama geral de segurança do ciberespaço nacional " (in esquema de certificação QNRCS)
- Substancial: as medidas de segurança deste nível aprofundam e expandem as implementadas no nível "Básico", proporcionando uma proteção mais robusta e estruturada. A sua implementação é facilitada para organizações que já possuam certificações noutros esquemas de cibersegurança ou em normas certificáveis de segurança da informação, como a ISO/IEC 27001. Este nível define e consolida práticas e procedimentos essenciais de cibersegurança, garantindo uma abordagem mais madura e alinhada com as melhores práticas internacionais.
- Elevado: destina-se a organizações com dedicação de importantes recursos à cibersegurança. As entidades que se proponham a implementar e obter a certificação do QNRCS no nível Elevado” demonstram capacidades avançadas em cibersegurança
Procura-se, desta forma, proporcionar às organizações destinatárias uma via de crescimento e de progressão em cibersegurança, compatível com as suas capacidades e necessidades, e da qual consigam gerir o ritmo de evolução, ao mesmo tempo que robustecem as práticas já adquiridas.
A progressividade dos níveis de capacidade resulta, numa escalada de exigência nos requisitos de implementação das medidas do QNRCS de nível para nível, a que necessariamente corresponde uma evolução, com medidas mais robustas. Os níveis são complementares e cumulativos.
