C-Days 2026: “A cibersegurança é agora uma preocupação horizontal”

A segunda sessão da edição de 2026 do C-Days, organizado pelo Centro Nacional de Cibersegurança, focou-se no “EU Policy Landscape”, apresentado por Hans De Vries, Chief Cybersecurity and Operations Officer da ENISA, e na implementação destas políticas.

De Vries explicou que “a ENISA se foca na estratégia, nos exercícios de cibersegurança, na implementação das leis europeias e threat landscape, mas também em tecnologias emergentes, como a inteligência artificial”.

“Há leis a serem implementadas em Portugal, mas há uma razão para isso: há leis europeias que têm de ser transpostas para as leis nacionais e que impactam as organizações”, começou por explicar. “Temos de aplicar várias implementações ao mesmo tempo que fazemos melhorias às que já existem e, por fim, integrar essas mesmas leis com os diferentes Estados-membros”.

Atualmente, e para além da NIS2 que está mais na ordem do dia das organizações em Portugal, a ENISA está a trabalhar no Cyber Resilience Act, Cybersecurity Act, Cyber Solidarity Act, EUIBA Regulation, Cyber Blueprint, eIDAS 2.0 e DORA. Este é o “core framework” das políticas de cibersegurança na União Europeia. No entanto, a ENISA também trabalha no RGPD, Data Act, AI Act, Quantum Europe Strategy e muitas outras iniciativas legislativas que são importantes não só para a cibersegurança, mas para o IT como um todo e que “tem de ser protegido”. “Há muitas coisas para proteger na União Europeia e a ENISA está aqui para ajudar”, disse.

 “A cibersegurança é agora uma preocupação horizontal. Olhem para a geopolítica global; é preciso endereçar a cibersegurança”, defendeu.

A gestão de vulnerabilidades

Hans De Vries partilhou que a União Europeia está a aumentar a sua presença no ecossistema mundial de gestão de vulnerabilidades e a expandir a sua capacidade operacional para fornecer serviços para apoiar o mercado interno da União Europeia.

De acordo com um relatório da ENISA de outubro de 2025, o principal vetor de intrusão inicial é o phishing, com 60%, com a exploração de vulnerabilidades a aparecer na segunda posição. “Todos os sistemas virados para a Internet não corrigidos tornam-se repetidamente num caminho para acesso inicial e um ponto para movimentos laterais”, partilhou De Vries. “As campanhas de ataques estão a utilizar as vulnerabilidades apenas dias depois de serem partilhadas publicamente”.

As vulnerabilidades são utilizadas por todo o tipo de atores: sejam atores estatais, cibercriminosos – que agora começam a ter ferramentas semelhantes aos atores estatais –, hacktivistas ou script kiddies. De Vries relembrou, também, que o tempo médio entre a vulnerabilidade ser conhecida até à sua exploração diminuiu gradualmente desde 2018 (quando era superior a dois anos) até 2026, quando o tempo de exploração médio é de apenas 1,6 dias.

No entanto, com a inteligência artificial passamos para “números negativos” para a exploração de uma nova vulnerabilidade porque os sistemas de inteligência artificial “estão a descobrir as vulnerabilidades e a usarem antes das organizações saberem que elas existem”.

Com esta evolução, a ENISA procura escalar a capacidade de serviços de vulnerabilidades na União Europeia para criar um backbone operacional para a resiliência europeia. “Criámos a base de dados de vulnerabilidades da União Europeia. As tecnologias que chegam à Europa têm de ser reportadas a nós a partir de setembro de 2026”, explicou.

Para o futuro, a ENISA procura aumentar os serviços de informação de vulnerabilidades para que a União Europeia possa reduzir o seu risco e reforçar a gestão de vulnerabilidades global através de interoperabilidade e maturidade operacional.

A IT Security é Media Partner do C-Days 2026