Resiliência Digital Pós-Apagão: O Papel da Diretiva NIS2

Desde ataques à infraestrutura digital de ministérios que expôem dados sensíveis a ofensivas de ransomware que provocam paralisações nas cadeias de abastecimento, em setores tão críticos como a saúde – multiplicam-se os eventos que demonstram que a cibersegurança já não é só uma preocupação dos técnicos de IT, mas uma prioridade estratégica e social, que exige uma vigilância constante, maior literacia digital por parte de todos e investimentos estratégicos.

Recentemente, tocou em Portugal o “despertador” para esta realidade. Na manhã de 28 de abril de 2025, o apagão geral na Península Ibérica deixou milhões de pessoas às escuras e muitas delas sem acesso a comunicações, durante horas. Embora o Centro Nacional de Cibersegurança tenha garantido que não se tratou de um ataque informático, este dia expôs a vulnerabilidade das nossas infraestruturas críticas e alertou para a realidade de que falhas em redes e sistemas – sejam acidentais ou premeditadas – podem paralisar nações, e afetar milhões de pessoas.

A Diretiva NIS2 (Network and Information Security 2) da UE estabelece um quadro unificado para reforçar a cibersegurança, visando um nível mais alto de ciber-resiliência em toda a União, sobretudo no que respeita às infraestruturas críticas. A nova versão da Diretiva passou a cobrir uma fatia mais abrangente dos setores económicos essenciais para a sociedade (energia, saúde, transportes, administração pública, entre outros), aplicando-se maioritariamente a grandes e médias empresas dessas áreas. A NIS2 exige que as organizações implementem medidas de segurança proporcionais ao seu risco. Prevê também a notificação obrigatória em 24 horas dos incidentes mais sérios, impondo regras de governação mais estritas e a elaboração de planos de continuidade do negócio.

Em Portugal, o longo processo de transposição da NIS2 está ainda em curso. A 6 de fevereiro de 2025, o Conselho de Ministros aprovou o projeto de lei que irá incorporar a diretiva no ordenamento nacional. O Governo classificou a NIS2 como “uma reforma profunda no quadro da cibersegurança”, destinada a reforçar a “capacidade e robustez dos sistemas informáticos e digitais” de empresas e entidades públicas. Mais recentemente, a 3 de julho, o Governo passou o diploma, que segue agora para a fase final de aprovações na Assembleia da República. Quando  finalmente transposto, obriga as empresas abrangidas a cumprir as novas regras dentro dos prazos legais, sob pena de coimas – que no caso da NIS2 não se aplicam apenas às entidades coletivas, mas também aos seus gestores.

O que está em jogo vai muito além de conformidade: é a resiliência nacional e a continuidade de serviços vitais para a sociedade. O grande apagão de abril motivou planos da UE para reforçar a segurança energética e a capacidade de resposta a crises, refletindo a consciência de que qualquer falha grave pode ter impacto generalizado. Exemplos anteriores, como o ataque cibernético “BlackEnergy” à rede elétrica da Ucrânia em 2015, evidenciaram o caos que uma falha de tal magnitude pode causar: hospitais sem energia, serviços de emergência incapacitados e uma paralisia geral das atividades económicas. A NIS2 insere-se neste esforço abrangente, ligando a segurança das redes e da informação ao funcionamento da economia. Quer decorram de ciberataques, falhas técnicas ou desastres naturais, eventos assim mostram que sistemas bem protegidos podem minimizar o seu impacto e garantir a continuidade dos serviços essenciais. 

Chegou a hora de agir. Todas as organizações abrangidas pela NIS2 devem iniciar ou acelerar o seu percurso de alinhamento com a Diretiva, procurando apurar o "gap" existente e traçando planos para a adoção das medidas de segurança exigidas. A resiliência das redes e dos sistemas informáticos depende da prontidão de cada organização. Ao implementar estas medidas, estaremos melhor preparados para futuros incidentes disruptivos e contribuiremos para reforçar a segurança coletiva.