CNCS: “Vamos separar aquilo que é o trigo do joio na prestação de serviços de cibersegurança” (com vídeo)

O Centro Nacional de Cibersegurança (CNCS) anunciou, durante a IT Security Conference 2025, a criação de um novo esquema de certificação de serviços de cibersegurança. O objetivo é estabelecer um modelo de confiança e transparência que permita às organizações identificar empresas com níveis de qualidade reconhecidos, reforçando a credibilidade de um mercado que, até agora, operava sem critérios ou padrões consistentes.

Na sua apresentação sobre “Certificação de serviços de cibersegurança - A via para a confiança”, Lino Santos, Coordenador do CNCS, recordou que, há um ano, durante o evento, “Portugal estava a ser alvo de um incidente de ransomware na administração pública que teve um forte impacto”. A referência a este episódio serviu de ponto de partida para sublinhar a urgência de consolidar o ecossistema nacional.

“O tema que me traz aqui hoje é um novo serviço de certificação de Managed Services de Cibersegurança ou de Serviços de Cibersegurança”, anunciou. A criação deste mecanismo, explicou, traduz “a concretização de mais uma política pública que vem forçar aquilo que tem sido o nosso patamar de excelência nas políticas públicas de cibersegurança em Portugal”.

Em entrevista à IT Security, Lino Santos explicou que o novo esquema de certificação trata-se de um “selo de qualidade” que as empresas podem apresentar quando se candidatam à prestação de serviços. “Vai ser extremamente útil para elevar a qualidade daquilo que são os prestadores de serviços de cibersegurança, ao mesmo tempo que podemos projetar, com uma política pública inovadora, a qualidade da prestação de serviços de cibersegurança também no estrangeiro”, reforçou.

Vulnerabilidades do setor

O responsável partilhou que, há dois anos, a Agência Europeia de Cibersegurança (ENISA) contactou o CNCS para pedir o nome de quatro empresas portuguesas a incluir num concurso europeu para serviços de cibersegurança. “Como é óbvio, eu fiquei com o problema nas mãos. Não vou nomear empresas, nem vou escolher a empresa A em detrimento da empresa B”, relatou. Para contornar a situação, o CNCS recorreu à lista do Instituto dos Registos e Notariado.

Durante o processo, Lino Santos apercebeu-se de uma fragilidade estrutural no setor da cibersegurança em Portugal. “Há 140 empresas que, no seu objeto social, dizem trabalhar em segurança da informação ou cibersegurança”, referiu. A ausência de critérios técnicos que validem a competência das empresas surge como um problema estrutural para a área.

Essa lacuna torna-se ainda mais evidente sempre que ocorre um incidente grave, uma vez que “algumas vítimas já têm contratos com empresas de cibersegurança, mas outras não. Para muitas, é a primeira vez que recorrem a este tipo de serviços – seja para a componente de recuperação, seja para a componente forense”.

Criação de um portfólio de empresas certificadas

Perante esta necessidade, Lino Santos defende a criação de um mecanismo que permita distinguir quem tem, de facto, capacidade técnica na área. “A solução para isto é criar um portfólio de empresas de cibersegurança com nível de patamar aceitável. E eu, a partir daí, consulto a lista das empresas certificadas e utilizo uma das empresas presentes nessa lista certificada”, explicou.

O novo esquema, de adesão voluntária, aplica-se a todas as organizações que prestam serviços de cibersegurança, independentemente da tipologia e dimensão, e define um conjunto de tipologias de serviço claramente delimitadas. “Arrancamos com os primeiros quatro serviços de cibersegurança, pretendemos alargar o portfólio durante o ano de 2026”, indicou o coordenador, que detalhou os serviços iniciais: “monitorização e resposta a incidentes, gestão de vulnerabilidades, cyber threat intelligence e testes de intrusão”.

Para o CNCS, este serviço tem como objetivos “promover a identificação e valorização dos serviços de cibersegurança” cujo desempenho passa a ser alvo de avaliação sistemática e periódica; “criar um catálogo nacional de entidades que prestam serviços de cibersegurança certificadas”; e, por último, elevar a reputação das organizações nacionais, ajudando-as a trabalhar para “melhorar o seu desempenho e atingirem patamares de excelência superiores”.

Com este enquadramento, Portugal torna-se um dos primeiros países europeus a criar uma certificação específica para serviços de cibersegurança geridos, o que, por sua vez, antecipa o espírito da diretiva NIS2. Lino Santos acredita que o sistema poderá contribuir para “separar aquilo que é o trigo do joio na prestação de serviços de cibersegurança”.

Lino Santos comparou a situação atual com o surgimento de empresas de DPO durante o RGPD e de apoio à implementação da NIS1, quando muitas entraram no mercado de forma rápida e nem sempre com qualidade consistente. O objetivo do CNCS passa por identificar as empresas que já atingem um elevado nível de excelência e, ao mesmo tempo, incentivar as restantes a subir o seu patamar de competência.

Estrutura e critérios da certificação

O esquema divide-se em dois níveis de certificação, básico e substancial, deixando o nível elevado para uma fase posterior. Segundo o responsável “a grande diferença entre o básico e o substancial tem que ver com a credenciação de segurança pelo Gabinete Nacional de Segurança da organização e dos funcionários”. Essa exigência será determinante “em situações onde é necessário tratar indicadores de comprometimento que são matéria classificada” ou “informação extremamente sensível”.

Apesar dessa distinção, “os requisitos da empresa, do ponto de vista de qualidade, são exatamente iguais no básico e no substancial. A única diferença é este conceito de credenciação de segurança, quer da empresa, quer dos colaboradores que prestam o serviço”. Entre os critérios exigidos estão “evidenciar a certificação, a instrução de processo de certificação do referencial do Quadro Nacional de Cibersegurança, ou na ISO 27001”, bem como a implementação de “um conjunto de requisitos implementáveis que é anexo ao esquema”.

Com esta medida, Portugal passa a dispor de dois esquemas nacionais de certificação, um para a conformidade com o Quadro Nacional de Referência para a Cibersegurança e outro especificamente para os Managed Cyber Security Services, como lembrou Lino Santos.

O novo esquema de certificação de serviços de cibersegurança foi publicado no site do CNCS no mesmo dia em que decorreu a IT Security Conference 2025. Lino Santos afirmou que as empresas “têm toda a vantagem em aderir a este processo”, enquanto a certificação, mais do que um selo técnico, surge como um instrumento para reforçar a confiança e a resiliência do mercado português de cibersegurança.