diff --git a/nginx/modsecurity.conf b/nginx/modsecurity.conf
new file mode 100644
index 0000000..9b19625
--- /dev/null
+++ b/nginx/modsecurity.conf
@@ -0,0 +1,27 @@
+# /etc/nginx/modsecurity.conf
+#
+# Ficheiro de configuração principal do ModSecurity para o Nginx.
+# Ativa o motor de regras e carrega o Core Rule Set (CRS) do OWASP,
+# bem como as nossas exceções personalizadas.
+
+# Carrega o ficheiro de configuração recomendado do ModSecurity.
+Include /etc/modsecurity/modsecurity.conf
+
+# --- Ativação do Motor de Regras ---
+# 'On' - Bloqueia as ameaças.
+# 'DetectionOnly' - Apenas regista as ameaças (bom para depuração).
+SecRuleEngine On
+
+# --- Carregar o Core Rule Set (CRS) do OWASP ---
+# Estas linhas carregam as regras de segurança padrão.
+Include /usr/share/modsecurity-crs/crs-setup.conf
+Include /usr/share/modsecurity-crs/rules/*.conf
+
+# --- Carregar as NOSSAS Exceções Personalizadas ---
+# É CRUCIAL que estas linhas venham DEPOIS das regras do CRS.
+# Elas permitem-nos criar "zonas seguras" para as nossas aplicações.
+Include /etc/nginx/modsecurity/zabbix-rule-exceptions.conf;
+Include /etc/nginx/modsecurity/exchange-rule-exceptions.conf;
+Include /etc/nginx/modsecurity/gitea-rule-exceptions.conf;
+Include /etc/nginx/modsecurity/zammad-rule-exceptions.conf;
+Include /etc/nginx/modsecurity/grafana-rule-exceptions.conf;