Gestão da Segurança da Informação

Gestão da Segurança da Informação

Modelo de governo e responsabilização
O Grupo EDP considera a segurança da informação um elemento fundamental da continuidade operacional e da confiança com as partes interessadas. A gestão da segurança da informação é suportada por um modelo de governo e responsabilização que define claramente funções e responsabilidades em toda a organização.
As responsabilidades operacionais pela gestão e proteção dos ativos de informação estão integradas nas funções de negócio e de suporte. Funções especializadas asseguram a supervisão, orientação e coordenação em matérias de segurança da informação, gestão de risco e conformidade.
A garantia independente é assegurada através de atividades de auditoria interna, que avaliam periodicamente a adequação e a eficácia dos controlos de segurança da informação e dos modelos de governo.

Modelo documental da segurança da informação
A gestão da segurança da informação do Grupo EDP é suportada por um modelo documental estruturado que define princípios, requisitos e controlos em toda a organização. Este modelo assegura o alinhamento entre a direção estratégica, os requisitos táticos e a execução operacional, promovendo a consistência com as práticas do Grupo em matéria de segurança da informação e continuidade de negócio.
Ao nível estratégico, as políticas corporativas estabelecem os objetivos e compromissos do Grupo relativamente à segurança da informação, desenvolvimento seguro, proteção de dados e proteção da informação ao longo de todo o seu ciclo de vida.
Ao nível tático, as normas traduzem estes princípios em requisitos aplicáveis, abrangendo domínios‑chave como o governo da segurança da informação, a gestão de ativos e acessos, operações seguras, gestão de incidentes, continuidade de negócio, segurança de fornecedores, monitorização, criptografia, gestão de vulnerabilidades e conformidade.
Ao nível operacional, processos formais suportam a implementação diária das práticas de segurança da informação nos ambientes de Tecnologias de Informação (TI) e de Tecnologias Operacionais (TO), incluindo a gestão de riscos, resposta a incidentes, gestão de identidades e acessos, monitorização de segurança, continuidade e recuperação de desastres, gestão de alterações e de ativos, monitorização da conformidade e avaliações externas.

Capacidades de segurança da informação e modelo operacional
A segurança da informação é suportada por um conjunto estruturado de capacidades que permitem a prevenção, deteção e resposta aos riscos de segurança da informação em toda a organização.
Estas capacidades estão integradas nas funções de negócio e de suporte e alinhadas com o modelo de governo e responsabilização do Grupo. São sustentadas pela estrutura documental da segurança da informação, assegurando uma implementação, monitorização e revisão consistentes.
No âmbito deste modelo operacional, o Grupo EDP assegura a monitorização contínua das ameaças de cibersegurança e garante uma resposta e mitigação coordenadas dos incidentes de segurança da informação, em alinhamento com o modelo de gestão da segurança da informação e os modelos de governo do Grupo, com supervisão ao nível do Conselho através da Comissão para as Matérias Financeiras do Conselho Geral e de Supervisão.

Continuidade dos sistemas de informação
O Grupo EDP mantém medidas destinadas a suportar a continuidade dos sistemas de informação críticos em caso de incidentes cibernéticos ou outros cenários disruptivos.
Estas medidas incluem mecanismos de continuidade de negócio relacionados com a segurança da informação e a realização regular de exercícios de recuperação de desastre para validação das capacidades de recuperação.

Identificação e gestão dos riscos de segurança da informação
O Grupo EDP adota uma abordagem proativa à identificação, avaliação e gestão dos riscos de segurança da informação.
Esta abordagem inclui atividades contínuas de análise e gestão de vulnerabilidades, concebidas para reduzir a exposição a ameaças e apoiar a melhoria contínua dos controlos de cibersegurança. Estas atividades abrangem tanto os ambientes de TI como de TO, refletindo a abordagem integrada do Grupo à gestão dos riscos de segurança da informação.

Ambiente de controlo interno e garantia
A segurança da informação está integrada no modelo de controlo interno e de garantia do Grupo.
As atividades de auditoria interna e de revisão avaliam a adequação e a eficácia dos controlos de segurança da informação, incluindo o cumprimento das políticas internas, normas e requisitos normativos.

Certificação independente e garantia externa
O Grupo EDP complementa os mecanismos internos de garantia com certificação externa independente.
A EDP, S.A. encontra‑se certificada de acordo com a norma ISO/IEC 27001:2022 para a gestão e operação do Global Security Operations Center do Grupo EDP (EDP Global SOC), que funciona numa base de 24 horas por dia, 7 dias por semana.
A certificação (certificado n.º PT19/06879) foi emitida pela “SGS ICS – Serviços Internacionais de Certificação, Lda.”, entidade certificadora acreditada pelo IPAC, e abrange a gestão e operação do SOC Global realizadas pelas equipas SOC Ibéria e SOC América do Sul, nas regiões onde o Grupo EDP opera.
O âmbito certificado inclui serviços de monitorização de segurança em tempo real, gestão de incidentes de segurança da informação, gestão de vulnerabilidades de segurança e gestão de informação sobre ameaças, em conformidade com os requisitos da ISO/IEC 27001:2022 e com a Declaração de Aplicabilidade aplicável.
A validade da certificação pode ser verificada de forma independente através do SGS Certified Client Directory.

Cultura de reporte e escalonamento de incidentes
A segurança da informação é uma responsabilidade partilhada em toda a organização. Os colaboradores são incentivados a reportar potenciais incidentes de segurança da informação, vulnerabilidades identificadas ou atividades suspeitas através dos mecanismos internos de reporte e escalonamento estabelecidos. Estas expectativas estão alinhadas com o Código de Ética do Grupo, reforçando a responsabilização individual e uma cultura de integridade em toda a organização.

Sensibilização, formação e envolvimento dos colaboradores
O Grupo promove a sensibilização para a segurança da informação através de iniciativas de formação e envolvimento que reforçam a compreensão dos colaboradores sobre os riscos de cibersegurança e as suas responsabilidades individuais. Estas iniciativas são suportadas por um processo formal de gestão do conhecimento e sensibilização em cibersegurança, assegurando consistência, medição e melhoria contínua da cultura de segurança em toda a organização.

Transparência sobre incidentes de segurança da informação e violações de dados pessoais
As divulgações públicas relativas a incidentes de segurança da informação são efetuadas em conformidade com os requisitos aplicáveis e as práticas internas de governo, utilizando informação agregada sempre que adequado.
Em 2025, as entidades do Grupo EDP reportaram zero (0) violações de dados pessoais que exigissem notificação às autoridades de supervisão, uma vez que não foram identificadas situações suscetíveis de resultar num risco para os titulares dos dados. Esta informação é divulgada no Relatório Anual Integrado do Grupo EDP de 2025.
Este modelo de gestão da segurança da informação é revisto e mantido de forma contínua, de modo a assegurar o alinhamento contínuo com o modelo de governo do Grupo, as práticas operacionais e os mecanismos de garantia.

Information Security and Risk Oversight

No sentido de assegurar a boa governação da segurança da informação do grupo EDP, estão constituídos comités, que reúnem periodicamente, com a participação de altos responsáveis da organização, bem como de stakeholders relevantes nas matérias de segurança da informação.

Saiba mais