NIS2: Licença para atuar

Em Portugal, as regras da cibersegurança mudam a partir de amanhã, 4 de abril de 2026, com a entrada em aplicação da NIS2, que transforma práticas recomendadas em obrigações legais.

A IT Security acompanhou todo o processo até ao momento em que a NIS2 é finalmente transposta. Nos últimos anos, ouvimos advogados, reunimos especialistas em mesas-redondas dedicadas à diretiva e acompanhámos o tema de forma consistente nos nossos eventos, onde a NIS2 se tornou presença recorrente. Depois de meses de preparação, por parte das organizações, o enquadramento legal ganha forma, mas o retrato que se impõe é, sobretudo, o de quem vive o tema por dentro e sente diariamente o peso de decisões que já não podem ser adiadas.

O CISO no terreno

Numa entrevista exclusiva, Carlos Silva, CISO Advisor, traz a perspetiva de quem está no terreno, confrontado com constrangimentos reais de implementação, prioridades concorrentes e níveis de maturidade muito distintos entre organizações.

A transposição da NIS2 representa uma mudança mais organizacional do que tecnológica, ao exigir prova de governação, processos formais de reporte e responsabilidades claras. O verdadeiro desafio para muitas organizações não está nas ferramentas, mas na capacidade de demonstrar controlo e resposta em tempo útil, expondo fragilidades antigas em que investimento em tecnologia foi confundido com gestão de risco. A diretiva obriga agora a estruturas internas capazes de sustentar decisões, prioridades e accountability.

Dentro das organizações, a mudança é particularmente evidente na relação entre o CISO e a administração. Carlos Silva afirma que “a maioria das organizações sempre foi reativa: a cibersegurança era vista como um custo de IT e não como um risco de negócio”, um modelo que deixa de ser sustentável. A lei, acrescenta, “força o aparecimento de uma governação robusta” e cria um equilíbrio interno, onde a responsabilidade deixa de estar confinada à área técnica e passa a ser partilhada ao nível da gestão.

“Uma administração que ignore o seu CISO estará a criar um grave problema legal para si própria e para os seus integrantes”, afirma. Isto muda a conversa na sala de reuniões, uma vez que o CISO deixa de pedir orçamento com base em cenários hipotéticos e passa a enquadrar decisões como risco legal e responsabilidade direta da gestão.

Para o responsável, “é vital definir um roadmap com quick wins e medidas estruturantes” e sublinha que esse plano pode mitigar penalizações iniciais, mas há passos que não podem esperar. “A primeira prioridade é a nomeação formal do Responsável pela Cibersegurança e do Ponto de Contacto Permanente”, acompanhada pela criação de um fluxo interno que garanta reporte de incidentes em 24 horas.

Impacto na cadeia de fornecimento

É aqui que surge um problema estrutural que muitas empresas ainda não perceberam, e que não se resume a cumprir regras dentro da própria organização. A NIS2 expande o perímetro de responsabilidade à cadeia de fornecimento e é aqui que o impacto pode ser mais significativo.

Nesse sentido, o CISO Advisor alerta para “uma pressão enorme sobre as PME, que muitas vezes desconhecem a diretiva e não possuem recursos para responder a questionários de segurança exaustivos”. “Este efeito dominó poderá ser crítico para o tecido económico português, levando pequenas empresas a perder contratos por incapacidade de cumprimento normativo”, aponta.

Por outro lado, para organizações que já levavam a cibersegurança a sério antes da lei, a diferença não está na tecnologia, mas na forma como tudo passa a estar formalizado e na responsabilidade que cada um assume. O que antes era prática interna passa a ser auditável e o CISO ganha poder real. “Passa a ter a lei do seu lado” e pode bloquear iniciativas que não cumpram requisitos mínimos, mas esse poder vem com um custo, porque “a responsabilidade também cresce exponencialmente”.

Do saber ao provar

Se outrora, “a cibersegurança era vista como um custo de IT e não como um risco de negócio”, sublinha, e acrescenta que a nova lei “força o aparecimento de uma governação robusta”. Os protagonistas continuam os mesmos, mas agora tudo tem de ser visível e comprovável, desde decisões até riscos e responsabilidades.

O ponto mais difícil desta transição é mesmo este. A NIS2 não corrige a falta de maturidade, põe-na à vista. Obriga a registar decisões, a justificar riscos e a assumir responsabilidades de forma individual, algo que para muitas organizações é mais desafiante do que qualquer implementação tecnológica. A partir de amanhã, o que conta não é apenas o que se sabe, mas aquilo que se consegue provar.