investigação CLÍNICA.PT
Pedir Proposta

Início · Officers · CSO

FUNÇÃO REGULADA · CSO

Clinical Security Officer

Responsável pela segurança da informação clínica — articulação entre NIS2, ISO 27001/27799 e as obrigações específicas do sector da saúde e da investigação biomédica.

Solicitar Proposta CSO

Âmbito da função

O Clinical Security Officer (CSO) é uma figura emergente do quadro regulatório europeu pós-NIS2 — combina as competências tradicionais de um CISO (Chief Information Security Officer) com conhecimento especializado em segurança da informação aplicada à saúde, à investigação clínica e à gestão de dados sensíveis (Art. 9.º RGPD).

Quadro legal de referência

  • Directiva (UE) 2022/2555 — NIS2;
  • Decreto-Lei n.º 125/2025 — transposição da NIS2 em Portugal (Regime Jurídico da Cibersegurança);
  • Directiva (UE) 2022/2557 — CER (Resiliência de Entidades Críticas);
  • ISO/IEC 27001 — Sistemas de Gestão da Segurança da Informação;
  • ISO 27799 — Informática em saúde — gestão da segurança da informação;
  • Art. 33.º RGPD — notificação de violação de dados em 72 horas;
  • Orientações ENISA sectoriais para saúde.

Responsabilidades operacionais

  • Implementação e manutenção do Sistema de Gestão da Segurança da Informação (SGSI) conforme ISO 27001;
  • Aplicação de controlos específicos da norma ISO 27799 para o sector da saúde;
  • Classificação da entidade nos termos do Decreto-Lei n.º 125/2025 (entidade essencial ou importante);
  • Notificação de incidentes ao CNCS nos prazos legais — alerta inicial em 24h, relatório intermédio em 72h, relatório final em 30 dias;
  • Articulação com o CDPO na notificação dupla (CNPD pelo RGPD, CNCS pela NIS2);
  • Planos de continuidade e recuperação de desastres (BCP/DRP);
  • Análise de risco e plano de tratamento de risco;
  • Gestão de identidades, controlos de acesso e segregação de funções;
  • Auditorias internas de segurança e preparação para certificação ISO 27001;
  • Simulacros de incidente de segurança e exercícios table-top.

Especificidades do sector da saúde

A segurança da informação em ambiente clínico tem particularidades exigentes: alta criticidade operacional (paragens podem afectar cuidados a doentes), dados de altíssima sensibilidade (saúde, genéticos, biométricos), interligação com dispositivos médicos (vulnerabilidades específicas), interligação com sistemas regulatórios europeus (CTIS, EudraVigilance) e exposição a ataques dirigidos.

Modelo de prestação

O CSO externo é particularmente adequado para entidades de média dimensão que necessitam de competência sénior em cibersegurança sem viabilizar a contratação interna a tempo inteiro. Avença mensal com SLA contratado, presença regular em reuniões de direcção e disponibilidade reforçada em caso de incidente.

Avaliar a necessidade de um CSO Clínico

A NIS2 alterou substancialmente o quadro de obrigações. Avaliemos se a sua organização é classificável como entidade essencial ou importante.