“Temos de aproveitar este paradigma da entrada em vigor da NIS2 e cada vez mais passar para modelos de gestão de risco”

David Marques, Head of Cybersecurity do Grupo Nabeiro, subiu ao palco da primeira edição do ano da IT Insight Talks para uma entrevista onde abordou os temas da NIS2, a evolução do papel do CISO e a importância de evitar o burnout dos profissionais de cibersegurança

Por Rui Damião . 17/03/2026

“Temos de aproveitar este paradigma da entrada em vigor da NIS2 e cada vez mais passar para modelos de gestão de risco”

David Marques, Head of Cybersecurity do Grupo Nabeiro  

A NIS2 está a chegar e entre em vigor ainda na primeira metade deste ano. Como olha para esta regulamentação? O que sente que as organizações, como um todo, vão ter mais dificuldade?

Há aqui alguns aspetos muito positivos. Por um lado, a NIS2 traz alguma harmonização a nível da União Europeia daquilo que são as medidas de cibersegurança de um conjunto de entidades. Independentemente de cada país fazer uma transposição nacional, a verdade é que haverá alguma harmonização mínima daquilo que são os padrões. Acho que isso acaba por ser muito positivo, especialmente para nós em particular em Portugal, porque tipicamente não somos propriamente dos países que têm mais maturidade deste ponto de vista.

Por outro lado, também traz um foco diferente ao tema da cibersegurança dentro das organizações. Há aqui alguns requisitos que efetivamente podem ser transformadores. O facto de haver uma responsabilização maior dos órgãos de gestão de topo pode ser transformador; traz a cibersegurança para um patamar onde em algumas organizações ainda não chegava. Por exemplo, o facto de existir a nomeação de um responsável de cibersegurança, até pode não ser alguém que esteja a desempenhar esse papel a tempo inteiro e com foco exclusivo, mas o facto de existir uma responsabilização já é também um desenvolvimento muito positivo.

Por último, é o facto da gestão de risco de terceiros que acaba por ter um impacto positivo no ciberespaço nacional. Mesmo entidades que não estão diretamente abrangidas pela NIS2 vão acabar por ser impactadas porque aqueles que estão abrangidos vão começar a ser um bocadinho mais exigentes na sua cadeia de valor.

Os desafios são completamente diferentes tendo em conta as entidades. É bom lembrar que já existia uma NIS1. As entidades que já estavam abrangidas pela NIS1, entidades tipicamente em setores essenciais e críticos para o ciberespaço nacional, as alterações para essas não são assim tremendamente diferentes; creio que vão ter muita facilidade em adaptar-se a um conjunto de requisitos novos, muitos dos quais na prática já cumpriam e já vêm de trás.

Depois temos uma segunda camada, que são se calhar as empresas já com alguma dimensão, que têm equipas de cibersegurança próprias, autónomas, e aí creio que com alguma relativa facilidade vão conseguir atingir, quer do ponto de vista de compliance, quer do ponto de vista mais operacional, esses requisitos porque há equipas focadas para lá chegar.

Onde me parece claramente que haverá uma dificuldade muito maior será nas organizações que não estavam abrangidas pela NIS1 e não têm equipas de cibersegurança dedicadas, têm apenas equipas de IT que têm de chegar a muitos lados diferentes. Acredito que aí sim, haverá uma dificuldade muito maior, por um lado, em entender os requisitos e, depois, conseguir implementar operacionalmente esses requisitos do ponto de vista de cibersegurança. Essas entidades provavelmente vão precisar de ajuda de terceiros para conseguir lá chegar, mas haverá níveis de maturidade completamente diferentes.

A segurança da cadeia de valor é obrigatória e um dos pontos centrais da NIS2. Como é que as organizações conseguem realizar uma avaliação adequada de diferentes tipos de fornecedores?

Parece-me que sim, que esse é um dos pontos fundamentais de melhoria da NIS2, até porque nós sabemos, por notícias recentes, que esse é um dos maiores riscos que existe.

Como é que isto é possível implementar na prática: acho que a pergunta que ajuda a perceber a resposta; diferentes tipos de fornecedores. Os fornecedores têm diferentes tipos de importância do ponto de vista de cibersegurança para uma organização e isso até pode ser completamente diferente da importância que têm para o negócio.

Dou um exemplo no nosso caso em particular. Nós temos, por exemplo, fornecedores de café verde espalhados pelo mundo que têm uma relevância muito grande para o negócio, mas na prática do ponto de vista de cibersegurança tem uma relevância muito baixa, porque há apenas uma troca de emails com esses fornecedores. Estabelecemos tiers para os nossos fornecedores; temos quatro tiers para os fornecedores, com critérios definidos, consoante a relevância que têm do ponto de vista de cibersegurança, e depois, em cada um destes tiers, fazemos um assessment, avaliamos esse assessment, pedimos evidências para algumas circunstâncias que dá origem a um determinado resultado. Com base nesse resultado há aqui algumas decisões, ou simplesmente aceitamos, está dentro do nosso nível de apetite de risco, ou sugerimos um plano de tratamento, que na prática significa que devem implementar um conjunto de medidas do ponto de vista de cibersegurança, ou eventualmente se não cumprem um patamar mínimo, então na prática entra dentro do nosso processo de gestão de risco, ou seja, abrimos riscos em que terá de ser o negócio depois a decidir aceitar ou não trabalhar com aquele fornecedor que representa um risco do ponto de vista de cibersegurança.

Penso que esta é uma forma de gerir o tema, mas passa precisamente por diferenciar estas tipologias de fornecedores e depois ter uma abordagem para cada um deles consoante a importância que têm do ponto de vista de cibersegurança para a organização.

Um ponto importante para o trabalho de um CISO é a maneira como interage com a administração. Cada empresa é uma empresa, naturalmente, mas dentro daquilo que conhece, os conselhos de administração reagem melhor a métricas de dinheiro ou de vulnerabilidades?

Logicamente dinheiro; esse é o papel deles. Evidentemente, cada empresa é uma empresa; até mesmo dentro da gestão de topo há perfis completamente diferentes.

Diria que falar de vulnerabilidades até pode assustar um bocadinho porque podem não entender o contexto. Se vamos falar com uma gestão de topo e dizer que temos centenas de milhares de vulnerabilidades, pode-se criar um pânico. Não é esse o objetivo.

Creio que há aqui duas linguagens que efetivamente a gestão de topo fala. E aí, independentemente do seu background, se tem um background mais tecnológico ou menos tecnológico, que é os temas financeiros. Muitas vezes, não é fácil para nós, como responsáveis de cibersegurança, ligar todos os riscos com temas financeiros, mas creio que a gestão de risco também é um tema que a gestão de topo está perfeitamente habituada a lidar. Eles próprios têm de gerir risco; assim como nós gerimos cibersegurança, eles gerem risco diariamente. Esse sim, creio que é o melhor caminho para conseguir chegar à gestão de topo e para transformar os riscos mais tecnológicos numa linguagem menos tecnológica, numa linguagem mais de impacto para a organização, para que consigam entender esse impacto e penso que isto, sim, pode ser transformador, porque entendendo a linguagem do risco, tipicamente é muito mais fácil potenciar decisões vindas da gestão de topo.

Como sente que tem evoluído o papel do CISO ou do responsável de cibersegurança dentro das organizações? Nos últimos dois ou três anos, com um número crescente de ciberameaças, qual é a importância do CISO na organização?

Creio que tem tido uma evolução muito positiva. O responsável de cibersegurança, CISO ou outro qualquer, era alguém que estava muito focado no tema tecnologia, tipicamente vendia tecnologia dentro da organização e, associada a isso, só vendia custo. Hoje é muito diferente. Hoje, o responsável de cibersegurança, o CISO, na prática, tem de entender o negócio, como é que a organização funciona e tem de suportar o negócio.

Isso tem acontecido cada vez mais e creio, das conversas que tenho, que aquilo que se sente é que cada vez mais a organização e até a gestão de topo acaba por consultar o CISO para a tomada de decisão e esse é precisamente o objetivo.

Logicamente que o papel também difere muito consoante aquilo que é a organização, até a dimensão. Há uns dias falava com alguém, não era o CISO, mas era alguém que tinha responsabilidade numa multinacional europeia que tem uma equipa de cibersegurança de 300 pessoas. Evidentemente, o papel de um CISO de uma organização que tem 300 pessoas na área de cibersegurança é um bocadinho diferente do papel de um CISO que está numa empresa que tem cinco ou seis pessoas numa área de cibersegurança. Os papéis são diferentes. O objetivo final é semelhante, mas os papéis logicamente podem mudar muito.

A cibersegurança é cada vez mais complexa para uma organização e um grande número de profissionais de cibersegurança acaba por sofrer de burnout. Como é que se pode gerir esta complexidade com a necessidade de ter as operações sempre a funcionar?

Esse efetivamente é um problema. Não só o número, mas a complexidade das ameaças é cada vez maior; o número de tecnologias é cada vez maior, o número de alarmística é cada vez maior. Isso gera ansiedade e pode levar a burnout. Mesmo o papel do CISO que falávamos: há muitos CISO – cá em Portugal e fora – que, na prática, fazem omelete sem ovos o que leva a esse tipo de situações.

Não sendo especialista nessa matéria, acho que a única forma de gerir este tema e evitar chegar a esse ponto é sermos muito realistas e termos uma definição de prioridades muito clara. Realismo em que sentido: na prática, nunca conseguimos fazer tudo e temos de assumir claramente que não vamos conseguir atingir tudo aquilo que queremos fazer. Realismo também no sentido que temos de assumir que os atacantes vão estar sempre à nossa frente. Acho que temos de assumir isso claramente. Nós vamos estar atrás. Temos de gerir muito bem as prioridades. Costumo dizer que, todos os anos, tenho uma prioridade clara, independentemente de passarmos muito tempo a fazer ‘n’ atividades dentro da organização: a prioridade é não ter um incidente significativo para as operações do grupo; esta é a prioridade. Acho que se nós definirmos muito bem aquilo que são as prioridades e não andarmos o tempo todo a correr atrás de coisas urgentes, eventualmente conseguimos gerir este tema um bocadinho melhor. Organizações em que na prática não gerem prioridades e gerem urgências, também acredito que é muito mais difícil chegar a esse ponto.

Quais são os conselhos que os CISO devem ter em conta nos próximos anos?

Primeiro, penso que temos que mudar um bocadinho o paradigma da proteção e estar tão focados na proteção para um paradigma mais de resiliência operacional. A questão não é tanto se vamos sofrer um ataque, a questão não é tanto se vão conseguir, hão de conseguir mais cedo ou mais tarde; a questão é quão bem preparado estou eu para, quando isso acontecer, conseguir manter ou recuperar rapidamente a minha resiliência. É um bocadinho o conceito de zero trust, assumir que isto vai acontecer e como é que nós vamos conseguir lidar com isso, mantendo a operação a funcionar.

Em segundo lugar, a priorização. Falávamos há bocadinho que não conseguimos andar a correr atrás de tudo, não paramos o vento com as mãos. A única hipótese é priorizar, é conseguirmos definir, dentro daquilo que são os nossos programas de cibersegurança, aquilo que é efetivamente prioritário, aquilo que vai levar à tal resiliência operacional e tentarmos focar os recursos que temos naquilo que é prioritário, e que os nossos roadmaps, no fundo, acabem por refletir isso. Percebo que é muito bonito mostrar roadmaps para as gestões de topo, é espetacular ver não sei quantas iniciativas, mas é muito fácil depois chegar ao burnout, ou então ter que depois dizer que metade daquilo nós não conseguimos fazer.

Em terceiro, acho que há que aproveitar este paradigma da entrada em vigor da NIS2 e cada vez mais passar para modelos de gestão de risco. Basear aquilo que são as nossas decisões, não tanto naquilo que são os paradigmas tecnológicos, não tanto se calhar naquilo que é o push do mercado, mas efetivamente conseguir gerir risco adequadamente, conseguir comunicar risco adequadamente, porque creio que é isso que vai fazer com que haja visibilidade do ponto de vista de cibersegurança na gestão de topo e não uma visibilidade negativa, que estes tipos são chatos porque estão sempre a pedir dinheiro para investir aqui e ali, mas uma visibilidade do ponto de vista de risco para a organização e, ao mesmo tempo, se gerirmos risco, também eventualmente vamos conseguir priorizar melhor e evitar o burnout que creio que é realmente importante.
Tags
David Marques Grupo Nabeiro Cibersegurança NIS2 IT Insight Talks

REVISTA DIGITAL

IT INSIGHT Nº 60 MARÇO 2026

IT INSIGHT Nº 60 MARÇO 2026
EDIÇÕES ANTERIORES

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

+ VISITADAS

AI Digest - Março de 2026

INOVAÇÃO . 06/03/2026

Empresas investem em IA, mas maturidade tecnológica ainda é baixa

DIGITAL . 07/03/2026

Como alinhar estratégia de dados e governance de IA ao negócio

PARTNERS . 03/03/2026

Da conformidade à maturidade: os desafios da NIS 2 para as organizações portuguesas

PARTNERS . 06/03/2026

“Mais do que centralizar, centralizamos normas de excelência”

DIGITAL . 05/03/2026

+ NOTÍCIAS

“É impossível dizer que não há lock-in. A partir do momento em que escolhemos uma tecnologia, estamos a escolher uma religião”

FACE 2 FACE . 06/01/2026

“A maior parte das pessoas dá como adquirido que os sistemas vão estar sempre a funcionar”

FACE 2 FACE . 14/11/2025

“Entendemos que a inovação digital passa por IA, mas o que não pode acontecer é que seja feita à custa da segurança”

FACE 2 FACE . 19/09/2025

“Inovar não é correr riscos; é gerir riscos com responsabilidade”

FACE 2 FACE . 15/07/2025

“Todas as empresas querem adotar IA, mas nem todas estão a ver o risco de utilização”

FACE 2 FACE . 16/05/2025

ITInsight
Logo IT-Insight Logo IT-Channel Logo IT-Security Logo Smart Planet
Logo Media Next Logo Linkedin
Copyright © 2013 - 2026 Media Next . All Rights Reserved
O nosso website usa cookies para garantir uma melhor experiência de utilização.