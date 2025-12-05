A publicação tardia da NIS2, a diretiva europeia sobre cibersegurança, em Diário da República marcou o arranque do debate sobre o impacto da nova legislação para as empresas. Na abertura da conferência organizada pelo ECO, o diretor António Costa lembrou que muitos já olham para a NIS2 como “uma espécie de RGPD muito potenciada e muito exigente”, sublinhando tratar-se também de um diploma “de gestão” e “de competitividade”.

Do lado do Governo, Tiago Macieirinha, secretário de Estado da Presidência, destacou que a aprovação da NIS2 é apenas o início de um processo mais exigente. “O trabalho não acaba agora. Começa agora”, avisou, referindo que a aplicação da lei deve ser feita de forma “ponderada, diligente e fiel ao espírito do legislador”. O responsável elogiou o envolvimento do setor privado, considerando “muito importante o sinal que o Governo deteta com o envolvimento da sociedade civil no tema da cibersegurança”. Defendeu ainda que o país precisa de construir “uma cultura de cibersegurança que comece nas escolas, passe pelas universidades e envolva órgãos de comunicação social e associações empresariais”.

No primeiro painel, dedicado aos reguladores e moderado por Luís Ferreira Borges, do ECO, o debate centrou-se no impacto concreto da NIS2 sobre os setores críticos e na necessidade de coordenação entre autoridades. Marco Fernandes, administrador da ANACOM, explicou que o regulador tem vindo a reforçar a sua capacidade interna com a criação de equipas especializadas, capazes de antecipar e monitorizar ameaças. Além disso, explica, o ecossistema regulatório está a tornar-se mais complexo, até porque a NIS2 se cruza com outros quadros europeus como o Digital Services Act e o futuro AI Act. O risco, disse, é que esta sobreposição gere redundâncias e custos desnecessários. “Se a ANACOM e o Centro Nacional de Cibersegurança (CNCS) têm de fazer auditorias, convém que estejam minimamente conjugadas, porque senão o impacto financeiro sobre os operadores é um esforço inútil”.





O representante chamou ainda a atenção para as empresas de média dimensão, que muitas vezes não têm departamentos dedicados nem processos estruturados de gestão de risco. Para estas organizações, o primeiro passo é um autodiagnóstico e a definição de um plano claro para elevar o nível de segurança, mesmo que recorrendo a serviços externos, um ponto que considera crítico para garantir maturidade e reduzir as assimetrias no mercado.

Já Jorge Esteves, diretor de Infraestruturas e Redes da ERSE, recordou que o sistema elétrico moderno combina produção distribuída, redes inteligentes e milhões de pontos de consumo ligados, que multiplicam potenciais pontos de ataque. Os incidentes bem-sucedidos, alertou, podem ter efeitos “em cascata”, que afetem subestações inteiras, como aconteceu na Ucrânia, e obriguem a mecanismos robustos de coordenação com o CNCS e os operadores de rede. Para o regulador, “este novo desafio” exige uma abordagem integrada, que una requisitos técnicos e preparação operacional.

Sobrecarga de auditorias “não faz sentido”

O segundo painel abriu espaço ao impacto direto sobre as empresas e Pedro Mota Soares, secretário-geral da APRITEL, reconheceu que Portugal “compara bem” nos índices internacionais, mas mostrou preocupação com a acumulação de obrigações regulatórias. “Era muito importante que, havendo um incidente, numa plataforma única possa notificar todos [os envolvidos]”, sugere. “Podemos ter uma empresa que passa um ano inteiro permanentemente a ser auditada. Isto não faz sentido”, acrescenta.





Alexandre Fonseca, ex-CEO da Altice Portugal e atual representante da CIP, sublinhou a diferença entre grandes organizações e PME. As maiores, disse, já têm práticas consolidadas, mas a NIS2 reforça a atenção no topo e “a responsabilização dos órgãos de gestão é um sinal claro para a relevância que estas temáticas têm de ter ao nível do board”. Para as médias empresas, porém, o desafio é estrutural pelos níveis de “iliteracia digital”, que exige uma regulação “muito mais pedagógica e muito mais construtiva”.

Paulo Soeiro, administrador da Visabeira, admitiu que, em 2022, o grupo sofreu “uma semana de não continuidade de serviço” com “disrupção total das nossas operações”. O incidente levou a uma reconstrução profunda dos sistemas e à criação do programa SecureLink, que avalia a “postura de segurança” de centenas de subcontratados. Para o gestor, a vulnerabilidade humana continua a ser central, porque “60 a 70% das vezes o ataque vem por engenharia social”. “Anteriormente à NIS2, o problema da cibersegurança era do diretor de informática. Após o NIS2, vai ser do CEO da empresa”, avisa.

No plano jurídico, Pedro Lomba, especialista da PLMJ, destaca que a NIS2 reforça os pilares estratégico, regulatório e empresarial, três níveis fundamentais. O advogado considera positivo que o modelo português seja “um modelo de cooperação” com o setor privado, à semelhança do que acontece na Bélgica, mas deixou alertas importantes sobre riscos futuros. Um deles, aponta, é a ausência de supervisão eficaz que pode abrir espaço a ações populares de grande escala relativas a incidentes de cibersegurança, uma realidade já visível noutros países. “É um risco muitíssimo real e pode ser mais ameaçador para uma empresa do que uma auditoria”, sublinha.

Segurança, mas sem arriscar competitividade

No encerramento da conferência, Lino Santos, coordenador do Centro Nacional de Cibersegurança, considerou que o desafio está agora em encontrar um equilíbrio entre elevar o nível mínimo de segurança e não comprometer a competitividade das empresas. “O objetivo da NIS é, claro, elevar o nível de cibersegurança a um patamar adequado”, sublinhou, e a eficácia dependerá da forma como o diploma for regulamentado.

O perito disse ainda que o primeiro regulamento está praticamente concluído, incluindo um “novo quadro nacional de referência para a cibersegurança” e as primeiras “matrizes de risco setoriais”. Estas matrizes vão permitir qualificar cada entidade num de três níveis de exigência e definir “um conjunto de medidas mínimas de cibersegurança” para os próximos 24 meses. O coordenador do CNCS destacou também a ambição de reforçar a cooperação entre autoridades e setor privado, defendendo que Portugal tem de evitar duplicações e avançar para mecanismos partilhados. “Não queremos ser um regulador que emite uma norma sem perceber o que é que está no terreno”, rematou.