FUNÇÃO REGULADA · CSO
Clinical Security Officer
Responsável pela segurança da informação clínica — articulação entre NIS2, ISO 27001/27799 e as obrigações específicas do sector da saúde e da investigação biomédica.
Âmbito da função
O Clinical Security Officer (CSO) é uma figura emergente do quadro regulatório europeu pós-NIS2 — combina as competências tradicionais de um CISO (Chief Information Security Officer) com conhecimento especializado em segurança da informação aplicada à saúde, à investigação clínica e à gestão de dados sensíveis (Art. 9.º RGPD).
Quadro legal de referência
- Directiva (UE) 2022/2555 — NIS2;
- Decreto-Lei n.º 125/2025 — transposição da NIS2 em Portugal (Regime Jurídico da Cibersegurança);
- Directiva (UE) 2022/2557 — CER (Resiliência de Entidades Críticas);
- ISO/IEC 27001 — Sistemas de Gestão da Segurança da Informação;
- ISO 27799 — Informática em saúde — gestão da segurança da informação;
- Art. 33.º RGPD — notificação de violação de dados em 72 horas;
- Orientações ENISA sectoriais para saúde.
Responsabilidades operacionais
- Implementação e manutenção do Sistema de Gestão da Segurança da Informação (SGSI) conforme ISO 27001;
- Aplicação de controlos específicos da norma ISO 27799 para o sector da saúde;
- Classificação da entidade nos termos do Decreto-Lei n.º 125/2025 (entidade essencial ou importante);
- Notificação de incidentes ao CNCS nos prazos legais — alerta inicial em 24h, relatório intermédio em 72h, relatório final em 30 dias;
- Articulação com o CDPO na notificação dupla (CNPD pelo RGPD, CNCS pela NIS2);
- Planos de continuidade e recuperação de desastres (BCP/DRP);
- Análise de risco e plano de tratamento de risco;
- Gestão de identidades, controlos de acesso e segregação de funções;
- Auditorias internas de segurança e preparação para certificação ISO 27001;
- Simulacros de incidente de segurança e exercícios table-top.
Especificidades do sector da saúde
A segurança da informação em ambiente clínico tem particularidades exigentes: alta criticidade operacional (paragens podem afectar cuidados a doentes), dados de altíssima sensibilidade (saúde, genéticos, biométricos), interligação com dispositivos médicos (vulnerabilidades específicas), interligação com sistemas regulatórios europeus (CTIS, EudraVigilance) e exposição a ataques dirigidos.
Modelo de prestação
O CSO externo é particularmente adequado para entidades de média dimensão que necessitam de competência sénior em cibersegurança sem viabilizar a contratação interna a tempo inteiro. Avença mensal com SLA contratado, presença regular em reuniões de direcção e disponibilidade reforçada em caso de incidente.
Avaliar a necessidade de um CSO Clínico
A NIS2 alterou substancialmente o quadro de obrigações. Avaliemos se a sua organização é classificável como entidade essencial ou importante.