Na cibersegurança, o exemplo também vem de cima

Para mal dos pecados de todos aqueles que promovem a cibersegurança como uma necessidade e com a devida atenção à importância que deverá assumir no futuro, os efeitos deste regime jurídico têm vindo a evidenciar, de uma maneira geral, uma maior preocupação com as consequências do não cumprimento com este regime, do que com as oportunidades que lhes estão associadas.

Os melhores sistemas de gestão de segurança da informação não nascem do receio de coimas, mas sim de escolhas previamente discutidas, iteratividade e predisposição para assumir as falhas, porque só através das falhas é possível promover uma melhoria contínua. O novo regime não muda esta realidade, apenas lhe dá alguma “dignidade” legislativa para que as empresas olhem para este quadro regulatório como uma bússola orientadora de boas práticas a aplicar (e manter).

Para tal, é inegável que os órgãos de gestão, direção e administração assumem, agora, um papel fundamental na definição destas linhas orientadoras – a máxima que dita que “o exemplo vem de cima” deve ser tomado como um dos princípios mais importantes deste novo e aprimorado regime, não porque o seu incumprimento poderá resultar numa responsabilização individual, mas porque o um dos propósitos de um membro da gestão de topo é garantir a continuidade e sucesso do seu negócio e evitar, sempre que possível, falhas humanas e/ou tecnológicas que resultem em danos, por vezes, irrecuperáveis.

Fazer parte da gestão de topo tornou-se uma responsabilidade efetiva, com funções e envolvimento legalmente definidos e, por muito que se esmiúce e analise o que significa, na prática, a responsabilização destes órgãos pela “ação ou omissão, com dolo ou culpa grave, nos termos da legislação aplicável, pelas infrações previstas no presente decreto-lei”, a conclusão será a de que esta disposição não é um labirinto, mas sim um espelho da realidade existente – uma realidade em que os bons gestores e as boas estruturas de cibersegurança não estão focados na letra da lei mas sim no seu espírito e na construção da cultura de cibersegurança que tanto se promove (e se tem promovido) nos últimos anos.

Trata-se de assegurar que as empresas que gerem estão a seguir as orientações europeias e nacionais neste sentido, de assegurar e aprovar uma análise e gestão do risco a que estão expostas, de promover a devida sensibilização e formação internas e de cooperar e respeitar as decisões das autoridades nacionais competentes – trata-se, assim, de um maior envolvimento do que aquele a que temos tendencialmente assistido. Se esse envolvimento, investimento, gestão e cooperação acontecerem, não se espera que as autoridades acionem este mecanismo sancionatório.

O verdadeiro risco, afinal, nunca foi a coima. O verdadeiro risco é o incidente em si – a interrupção de um serviço crítico, a exposição de dados sensíveis, a gestão apressada de crise de um incidente publicamente exposto, a perda de confiança de clientes e parceiros que, muitas vezes, não tem retorno. E é precisamente aqui que reside a maior oportunidade deste novo quadro regulatório: ao obrigar as organizações a pensar sistematicamente sobre os seus riscos, a documentar as suas decisões e a envolver os seus órgãos de gestão neste processo, o Decreto-Lei n.º 125/2025 cria as condições para que a cibersegurança deixe de ser uma preocupação exclusiva das equipas técnicas e passe a ser uma prioridade intrínseca de toda a organização, sem exceção.

Não menos importante é o reconhecimento de que este exercício não se esgota no momento da entrada em vigor do regime. A conformidade não é um estado que se atinge e se mantém automaticamente – é um processo contínuo, que exige revisão, atualização e adaptação permanentes. O panorama de ameaças muda, as tecnologias evoluem e as organizações transformam-se. Um plano de cibersegurança que era adequado há dois anos pode não o ser hoje.

Neste sentido, o momento que atravessamos, marcado por uma crescente instabilidade geopolítica e por uma dependência cada vez maior das infraestruturas digitais, não podia ser mais oportuno para esta clarificação de responsabilidades. A cibersegurança é, hoje, uma questão de Estado, mas também de cada empresa individualmente, de cada gestor e de cada colaborador que, no seu dia a dia, toma decisões que podem ter consequências muito além do que se imagina.

O novo regime tem, assim, o mérito de evidenciar aquilo que os profissionais de cibersegurança já reconhecem há muito tempo: a cibersegurança não é um fim em si mesmo, mas sim um meio para garantir a estabilidade, e essa estabilidade começa na cultura e, subsequentemente, essa cultura deve ser promovida pela gestão de topo.

Essencialmente, o valor do Regime Jurídico da Cibersegurança mede-se fora do regime sancionatório e esse nem sempre é o espírito das empresas que estão abrangidas por este regime. Os próximos meses serão decisivos para percebermos se a NIS2 cumprirá o seu objetivo primordial ou se, pelo contrário, devem os legisladores europeus começar a preparar uma nova Diretiva NIS3.