“A NIS2 não será julgada como um projeto de compliance, mas sim quando surgir o primeiro incidente”

A pouco mais de um mês da entrada em vigor da Diretiva NIS2 em Portugal, Henrique Carreiro considera que ainda “tendemos a ver a NIS2 em termos de métricas, scorecards, prazos e compliance”.

No âmbito da primeira edição de 2026 da IT Insight TALKS, dedicada a cibersegurança, o diretor da IT Insight começou por recorrer aos dados da ENISA, referentes aos gastos IT por Estado-Membro na União Europeia, para contextualizar a posição de Portugal, que regista um valor mediano de gastos na ordem dos 37 milhões de euros.

No entanto, o cenário muda quando o tema é segurança da informação, revelando uma assimetria preocupante face a outros Estados-Membros: o investimento das empresas portuguesas nesta área é, em média, de 1,9 milhões de euros, um valor que contrasta, por exemplo, com os 5,5 milhões de euros apresentados pela vizinha Espanha. “É evidente que o risco não escolhe o país; o risco vai escolher a parte mais fraca”, garantiu.

Arrumar a “casa”, mesmo com informação incompleta e contrarrelógio

Na perspetiva do Diretor da IT Insight, a “NIS2 não será julgada como um projeto de compliance, mas sim quando surgir o primeiro incidente”, sendo este o verdadeiro teste à perceção e ação para limitar os danos. A deteção tardia, aliada a decisões lentas, pode culminar no prolongamento de uma crise no caso de um incidente aparentemente “normal”.

Outro dos pontos enaltecidos durante a apresentação prende-se com a necessidade que muitas organizações têm de ter a informação completa perante uma situação de incidente. Para o Diretor, é essencial “construir a capacidade antes de surgir [um incidente], para podermos decidir com a informação incompleta”.

A NIS2 vem, assim, eliminar o possível “terreno intermédio” disponibilizado às equipas, obrigando as mesmas a tomarem “uma decisão defensável”, num caminho que vai levar ao “redesenho de processos”. No fim, tudo se resume “às capacidades que as organizações têm para decidir sob pressão, com informação incompleta”, reitera Henrique Carreiro.

O tempo é outra das variáveis a acrescentar a esta equação. “As primeiras duas horas [de um incidente] vão determinar tudo o resto”, afirmou, defendendo a ideia de que o prazo da comunicação altera a forma como a resposta a incidentes deve ser concebida e não documentada. O plano de ação passa por uma classificação inicial rápida para garantir que a primeira parte de uma crise de segurança não assenta apenas num processo dependente de reuniões de consenso sobre como atuar, mas sim em ações concretas. No fundo, o plano não precisa de ser perfeito; necessita apenas de suficiente evidência para atuar de forma responsável, nomeadamente saber qual o serviço crítico que está em risco, saber o que está comprovado, quem pode classificar a gravidade e reportar e o que fazer para reduzir os danos.

Construir bases sólidas

No que diz respeito aos investimentos em segurança, os números reportados pela ENISA não deixam grande margem para dúvidas: “Portugal é o elo mais fraco e temos de pensar nessa perspetiva – se queremos ser o elo mais fraco nesta cadeia”, relembrou Henrique Carreiro. Neste caso, e com as operações em Portugal, ainda dependentes de fornecedores globais e partilhados, é crucial repensar nas dependências que podem parar os serviços e nos planos de operação para estas eventualidades.

“Parece que temos uma lista imensa de to do’s, mas acho que se pode começar simples: vamos identificar um processo e torná-lo defensável”, aponta o Diretor da IT Insight.

A proposta não passa, por isso, por extensas listas de procedimentos, mas antes por um processo crítico, defensável, testado, treinado, a partir do qual seja possível escalar.

Perante a exigência do contexto regulatório, Henrique Carreiro recordou a Lei de Goodhart – em que uma medida que se torna num objetivo, deixa de ser uma boa medida – para chamar a atenção para o risco de se transformar a conformidade num fim em si mesmo.

“Os scorecards podem ser desenhados, cumpridos, as métricas podem estar todas lá, mas o resultado não é aquilo que se espera. Portanto, vamos fazer o contrário: vamos procurar resultados e, a partir daí, ter um scorecard que mereça a pena, sem estar a desperdiçar esforços naquilo que não vale a pena”, conclui.