Analysis
Com o quadro regulatório finalmente completo e operacional, a cibersegurança em Portugal entra numa nova fase de responsabilização, marcada por obrigações concretas, ameaças cada vez mais sofisticadas e dúvidas sobre a capacidade de resposta das organizações. A Claranet Portugal, CSO, CyberInspect, Divultec, Netskope, Prologin e VisionWare reuniram-se na mesa-redonda anual da IT Security para analisar os progressos alcançados, as fragilidades que persistem e o nível de preparação do tecido empresarial português
Por Inês Garcia Martins . 17/07/2026
|
A fotografia do Estado da Nação da Cibersegurança em 2026 revela um país mais regulado, mas ainda confrontado com fragilidades relevantes. A transposição da NIS 2, a entrada em vigor do novo regulamento e a ativação da plataforma MyCiber deram às organizações portuguesas um enquadramento completo e operacional, tornando concretas as obrigações de registo, notificação de incidentes e implementação de medidas de segurança. O fim da indefinição legislativa desloca agora o debate para a preparação efetiva das organizações. Num cenário em que Portugal enfrenta um elevado volume de ataques e em que a natureza das ameaças continua a evoluir, impulsionada também pela Inteligência Artificial (IA), cumprir a lei será apenas uma parte do desafio. A verdadeira medida da maturidade estará na capacidade de prevenir, responder e manter as operações perante um incidente. Segundo alguns estudos, as organizações portuguesas enfrentam mais de dois mil ataques por semana, estando acima da média europeia. O volume é um problema, mas a natureza dos ataques está a mudar. O que é que estão a ver no terreno?
Valter Rodrigues, E2E Operations Manager, CyberInspect: “Os mais de dois mil ataques por semana colocam Portugal acima da média europeia. Isso está bem documentado e não é surpresa para quem está no terreno. Para mim, há uma nuance mais incómoda por trás destes números que é: será que as organizações sabem de facto o que estão a proteger? Num universo de mais de 50 mil empresas portuguesas, 75% tem um nível de risco médio ou elevado e, dentro desse grupo, 32% está num patamar mais crítico. Curiosamente, as empresas portuguesas de retalho tecnológico, em média, têm pior postura de segurança do que setores com menos maturidade digital. Parece um paradoxo, mas faz sentido não só pela dimensão das empresas em questão, como também pela maior presença digital das empresas tecnológicas que se traduz também numa superfície de ataque mais exposta” A NIS2 está em vigor desde abril, mas o regulamento ainda estava em consulta pública nessa mesma altura e a plataforma de registo do CNCS acabou de arrancar. Na prática, o que é que as organizações estão efetivamente a fazer e o que continua igual?
Paulo Vieira, Country Manager, Netskope: “Há um fosso entre a conformidade documental e a resiliência real. O papel está a ganhar de longe, comparado com a prática. O que observamos é que as organizações abrangidas estão numa fase de inventário. É um trabalho jurídico, documental e necessário. Porém, falta a outra parte que é a mais prática. O que é que continua igual? As arquiteturas. A NIS2 está a pedir risco, gestão de risco, controlo de acesso, segurança da cadeia de abastecimentos, notificações de incidentes em prazos apertados. As organizações tentam responder a isto com um perímetro tradicional, ferramentas que, de facto, ainda deixam muito a desejar. O lado positivo é que a NIS2 está a forçar as conversas de arquitetura, que estavam adiados há anos” Manuel Ferreira, Consulting Lead, Claranet Portugal: “A obrigação existe, mas parte do como ainda está a afinar-se. O que as organizações estão efetivamente a fazer é muito menos sofisticado do que a ambição que a diretiva poderia fazer supor. Antes de mais, estão a tentar perceber ainda se estão ou não estão abrangidos. Temos muitas organizações ainda neste ponto. A NIS 2 mudou claramente aqui a pressão regulatória, pelo menos durante algum tempo, vamos ver se é para durar. Mas não muda de um dia para o outro a falta de visibilidade que as organizações têm sobre os seus ativos, uma dependência por vezes excessiva de terceiros, a baixa integração dentro de segurança, a componente jurídica, o compliance e o negócio, ou também aquela tendência para tratar a cibersegurança como um tema apenas do IT”
Luís Correia, Senior Pre-Sales Specialist | Networking & Security, Divultec: “O problema é a assimetria que existe em Portugal. Tudo o que seja PME e partes do setor público continuam a olhar para a NIS2 como um exercício de conformidade e nós vemos isso no dia-a-dia. Aquilo que muda com a NIS2 não é só a tecnologia. As organizações têm de demonstrar, de forma contínua, que dispõem de um modelo de gestão sustentado, estruturado e alinhado com o negócio e com a relevância da entidade no contexto em que opera. O desafio não é apenas técnico, é sobretudo organizacional. A principal diferença entre o que aconteceu com o RGPD e o que poderá acontecer com a NIS 2 estará no papel do regulador e na capacidade de garantir a aplicação efetiva das obrigações de segurança” 66% das organizações diz avaliar a maturidade de segurança dos seus fornecedores, mas apenas 33% mapeia a cadeia de forma abrangente. As PME portuguesas são identificadas consistentemente como porta de entrada para organizações maiores. Quem é responsável por resolver isto? É o cliente, o fornecedor ou, eventualmente, o regulador? Luís Correia, Divultec: “O cliente continua a ser aqui o principal agente de mudança nos grandes incidentes relacionados com a cadeia de conhecimento. O problema não acontece apenas porque o fornecedor foi comprometido. Acontece também porque a organização cliente lhe atribuiu acessos excessivos, sem monitorização ou com uma manutenção insuficiente. Durante anos, a avaliação de fornecedores resumiu- -se a inquéritos e cláusulas contratuais genéricas. Hoje, isso é claramente insuficiente. É necessário identificar e classificar os fornecedores críticos, avaliar o impacto da sua indisponibilidade e o risco que representam, monitorizar continuamente os acessos privilegiados e exigir evidências concretas de maturidade. Uma cadeia de abastecimento é tão forte quanto o seu elo mais fraco” Valter Rodrigues, CyberInspect: “Cliente, fornecedor e regulador têm todos uma responsabilidade parcial, e é precisamente essa fragmentação da responsabilidade que está a criar o problema. A NIS 2 estabelece que as organizações abrangidas têm de avaliar o risco dos seus fornecedores, o que é positivo, mas representa também um enorme desafio prático, porque não existe um referencial comum que uniformize essa avaliação. Uma PME portuguesa que preste serviços de IT, desenvolvimento, manutenção de software ou suporte a vários clientes pode ter de responder a questionários de segurança completamente diferentes, com critérios, formatos e níveis de exigência distintos”
Bruno Castro, Founder & CEO, VisionWare: “A resposta fácil seria todos aquelem que convivem no mesmo ecossistema digital. No entanto, não é assim que funciona na realidade e isso tem muito a ver com a dimensão e maturidade de cada empresa do setor. É importante perceber porque é que há esta implicação de requisitos de segurança na supply chain. Hoje estamos a assistir a mais ataques direcionados às grandes corporations altamente maduras, enquanto o ataque não é direcionado diretamente a elas: a supply chain é utilizada como pivot para entrar na organização através das suas relações de confiança. O cibercrime está montado precisamente para tentar contornar essas relações de confiança. A gestão de risco deve ser feita pela organização mãe e, portanto, ela deve estabelecer a sua gestão de risco” Victor Andrade, CEO, Prologin: “No tecido empresarial existem dois tipos de empresas: as que neste momento já estão completamente conscientes daquilo que têm de fazer, com normas internas e procedimentos corretos; depois existem as outras, que representam a grande maioria, que julgam que este processo vai ser um novo RGPD e não sabem se não vão gastar dinheiro. Há ainda empresas que continuam a pensar que isto é um problema que se resolve com a compra de hardware e soluções informáticas. Outras preocupam-se apenas com o compliance, até porque têm proliferado no mercado livros sobre a NIS2 e sobre o que deve ser feito. Mas este é um problema que já vem de há muito tempo e que, com a entrada da NIS2, apenas se agravou”
Manuel Ferreira, Claranet Portugal: “Ninguém resolve nada sozinho. A cadeia de abastecimento é um problema sistémico e não um problema isolado de uma organização, nem exclusivamente do fornecedor e muito menos do regulador. Tudo tem de funcionar em conjunto. A organização tem, sem dúvida, a responsabilidade central. Se uma organização depende de terceiros para prestar um serviço crítico, é óbvio que essa organização vai ter de saber quem são esses terceiros: o que é que lhe está confiado? Que acesso tem à sua informação e processos internos que, por sua vez, esses terceiros usam? Qual é o impacto real que isso pode ter numa falha do fornecedor? São estes os primeiros passos e a NIS 2 coloca a segurança da cadeia de abastecimento entre as medidas fundamentais de gestão de risco” A IA está a baixar brutalmente a barreira de entrada para atacar: phishing automatizado, engenharia social escalável, ataques cada vez mais baratos de executar. Do lado da defesa, 60% das organizações acredita já ter sido alvo de um ataque com IA, mas apenas 7% investiu em defesas baseadas nessa tecnologia. Como é que se fecha esta assimetria? Bruno Castro, VisionWare: “A adoção de IA no cibercrime globalmente funcionou como uma espécie de destroyer, um boost que deu ao cibercrime. Inverteu-se a volumetria que tínhamos até agora relativamente ao rumo do cibercrime no ciberespaço. Temos modelos de Cibercrime-as-a-Service, com diferentes modalidades. Estes modelos vieram dar um impulso adicional ao fenómeno, ao simplificarem a atividade dos cibercriminosos e permitirem uma escalabilidade muito significativa, quase exponencial. Com um custo reduzido, estes grupos conseguem fazer muito mais com menos investimento e transformar as suas operações num modelo quase robotizado, que funciona de forma inteligente, rápida e difícil de detetar”
Rui Pereira, Chief Technology Officer, CSO: “A IA democratizou os ataques nas empresas e também na defesa das organizações. Já não é uma questão de ‘se’ utilizar IA para proteger os ataques, porque esse é o caminho para onde se vai. Se, por um lado, a IA tornou os ataques mais acessíveis, reduzindo a necessidade de recorrer a ferramentas ou equipamentos sofisticados, por outro também pode ser utilizada para reforçar a defesa das organizações de forma relativamente acessível. Atualmente, já existem fabricantes que recorrem à IA para detetar e mitigar ataques baseados na própria IA, pelo que essa deverá ser uma das principais tendências na evolução da cibersegurança” Paulo Vieira, Netskope: “Existe uma assimetria evidente. Ao atacante basta que a IA funcione uma única vez; o defensor precisa de garantir que funciona sempre. Há ainda um tema de que pouco se fala, que é o Mythos. Durante anos, as empresas concentraram-se nas vulnerabilidades críticas. O Mythos vem mostrar que existem vulnerabilidades de baixo risco, conhecidas há muitos anos, que podem ser encadeadas para criar um método de acesso às infraestruturas. Esta capacidade de combinar vulnerabilidades de baixo risco abre uma nova caixa de Pandora e levanta um dos grandes desafios para os próximos anos: como controlar este tipo de ataques quando existem milhares de vulnerabilidades para gerir” A adoção de IA generativa nas empresas está a criar um vetor de risco interno: dados sensíveis expostos em prompts, documentos partilhados com plataformas externas sem controlo. É um problema que os clientes reconhecem, ou ainda estão na fase de achar que não lhes diz respeito?
Victor Andrade, Prologin: “Já é um problema reconhecido, mas ainda não totalmente assumido nem governado. Essa é a primeira questão. Cerca de 89% dos executivos já manifestam preocupação com os riscos de segurança associados à IA generativa, mas a realidade é que muitos colaboradores continuam a enviar dados sensíveis para estas ferramentas sem terem consciência de que, ao introduzirem um prompt, estão, na prática, a fazer o upload dessa informação para terceiros. A utilização de ferramentas fora do controlo da IT continua a crescer. Portanto, este não é um problema emergente. É um problema que já está instalado, mas que continua a ser muito mal gerido” Rui Pereira, CSO: “Há quem tenha plena consciência de que está a expor dados e há quem acredite que essa informação não será utilizada para nada ou que desaparece assim que a conversa termina. Ainda existe alguma falta de perceção sobre o que acontece aos dados, embora, de uma forma geral, as pessoas já reconheçam o risco. Depois há outro fator, que é a conveniência. Como dizia o Victor, se alguém precisa de fazer um relatório sobre a evolução dos ordenados e consegue fazê-lo rapidamente com estas ferramentas, acaba por privilegiar essa facilidade. Já existem organizações a desenvolver modelos de linguagem internos precisamente para evitar essa exposição. Há ainda outro risco, que é o recurso a terceiros” Bruno Castro, VisionWare: “A adoção da IA nas organizações tem sido global e extremamente acelerada. Existe uma perceção muito clara no mercado de que, se uma empresa não adotar IA, corre o risco de ficar para trás. Independentemente de fazer sentido ou não para o negócio, muitas organizações sentem que têm de avançar porque a concorrência também o está a fazer. Ao mesmo tempo, vejo uma maior consciencialização do risco cibernético ao nível do top management. Há um ano perguntavam-me porque é que uma organização precisava de uma política para a IA. Hoje essa já não é a questão. A pergunta passou a ser como utilizar a IA de forma segura e como processar dados com estas ferramentas sem necessidade de grandes investimentos” O talento continua a ser o constrangimento mais estrutural: 70% das organizações tem dificuldade em recrutar, os perfis mais críticos. Que soluções concretas estão a funcionar, além de dizer que o problema existe? Rui Pereira, CSO: “Vejo como preferência o crescimento interno das equipas, recorrendo ao outsourcing quando necessário. A contratação de perfis mais críticos e seniores continua a ser difícil. Não é fácil atraí-los para as organizações. Numa perspetiva de médio e longo prazo, faz mais sentido apostar em perfis juniores, investir no seu crescimento dentro da empresa e criar condições para que evoluam. A IA, por si só, não vai resolver a escassez de perfis críticos e seniores. Pelo contrário, a própria adoção da IA nas organizações vai exigir profissionais experientes que consigam orientar a sua implementação e garantir que estas tecnologias são utilizadas de forma eficaz” Há uma divergência conhecida entre o que os CEO consideram o risco principal e o que os CISO perdem o sono. Essa divergência está a diminuir em Portugal, ou continua a ser um problema de tradução entre o técnico e o estratégico? Paulo Vieira, Netskope: “A divergência está a diminuir à força. A NIS obriga os dois mundos a falar um com o outro e continua a ser um problema de tradução dos CISO. O CEO pensa na continuidade do negócio, na responsabilidade legal e, agora, também na responsabilidade pessoal. O CISO pensa na superfície de ataque, nas vulnerabilidades e na capacidade de deteção. Ambos falam de risco, mas em linguagens diferentes. Penso que a responsabilidade pessoal introduzida pela NIS2 tem contribuído bastante. O risco passou a fazer parte da agenda do board e os incidentes que ocorreram em Portugal nos últimos anos tornaram esse risco mais tangível. Pela primeira vez, o board está a pedir ao CISO que viabilize uma tecnologia, e não apenas que a proteja e isso representa uma oportunidade histórica” Os atacantes mudaram de estratégia: em 2026 exploram identidades, tokens e ferramentas cloud legítimas em vez de vulnerabilidades clássicas. As organizações portuguesas estão a acompanhar esta mudança na forma como defendem os seus ambientes cloud, ou continuam a proteger um perímetro que já não existe? Victor Andrade, Prologin: “O perfil do atacante mudou completamente. A maioria das organizações ainda está a meio dessa transformação. Muitas continuam a defender um perímetro que já não é o centro do problema, embora ainda acreditem que seja. O roubo de tokens, cookies e chaves de API tem vindo a crescer rapidamente e a identidade está no centro de grande parte dos ataques. 83% dos compromissos envolvem identidades comprometidas, enquanto uma percentagem cada vez menor dos incidentes resulta diretamente da exploração de vulnerabilidades. Do lado das organizações, tem havido evolução. A adoção de modelos como o zero trust está a crescer e o foco na gestão de identidades e acessos também tem de aumentar. No entanto, a realidade ainda está longe do cenário ideal” A cibersegurança como uma vantagem competitiva é um argumento que aparece cada vez mais. Mas em Portugal, com o perfil de mercado que temos (PME, setores tradicionais, maturidade digital heterogénea) isso é uma realidade ou ainda uma aspiração para uma minoria de organizações? Manuel Ferreira, Claranet Portugal: “Em Portugal, isso já é uma realidade em alguns segmentos, mas continua a ser mais uma aspiração do que uma prática transversal. Em setores como a tecnologia, os serviços financeiros, a saúde, a energia, ou entre exportadores, fornecedores de cadeias internacionais e empresas reguladas, a cibersegurança já deixou de ser encarada apenas como um custo. Passou a ser um argumento comercial e, muitas vezes, um requisito de acesso ao mercado. Nestes contextos, é um fator de competitividade. Se olharmos para o tecido empresarial português no seu conjunto, a realidade é diferente. Continuamos a ter um peso muito significativo de PME e de setores mais tradicionais, com níveis muito distintos de digitalização e de maturidade na gestão do risco” Luís Correia, Divultec: “Historicamente, em Portugal, tanto o IT como, mais recentemente, a cibersegurança sempre foram encaradas como um custo. Esse foi, durante muitos anos, o principal mindset. Hoje, porém, a cibersegurança começa a ser vista como um facilitador do negócio. No entanto, a assimetria em Portugal continua a ser muito significativa. Enquanto as grandes organizações já conseguiram incorporar estas práticas, muitas PME continuam a encarar a cibersegurança como uma obrigação ou uma despesa, avaliando sobretudo se o investimento compensa do ponto de vista económico para aceder a determinados mercados e atingir um certo nível de maturidade” Valter Rodrigues, CyberInspect: “As PME, e a maioria das organizações portuguesas em geral, ainda não têm uma vantagem competitiva clara em cibersegurança. O que me deixa otimista é que a avaliação contínua do risco deixou de ser um privilégio das grandes empresas com equipas de segurança dedicadas. Hoje já existem tecnologias acessíveis que permitem às PME ter uma visibilidade muito maior sobre a sua exposição ao risco, algo que, há poucos anos, estava praticamente reservado às grandes organizações. A vantagem competitiva em cibersegurança não vai nascer de mais compliance. Vai nascer da democratização do acesso a uma visibilidade real sobre o risco. E essa já começou” |