Cibersegurança é o novo habilitador do negócio

A regulação chegou, os números crescem e a responsabilidade é agora pessoal. A transformação mais relevante não está na lei; está na forma como as organizações passaram a olhar para a cibersegurança. Não como um custo a minimizar, não como um problema do departamento de IT, mas como uma condição para operar, crescer e competir. A distância entre as que já perceberam isso e as que ainda não perceberam está a alargar-se

Cibersegurança é o novo habilitador do negócio
Firman Dasmir / Adobe Stock

O ciberespaço nacional registou em 2025 um total de 3.864 incidentes reportados ao CERT.PT, um aumento de 40% face a 2024, que já tinha crescido 36% em relação ao ano anterior. Em junho de 2026, o Centro Nacional de Cibersegurança publicou o Regulamento n.º 756/2026, que operacionaliza o Regime Jurídico da Cibersegurança aprovado pelo DL 125/2025 e que transpõe a Diretiva NIS2 para o ordenamento jurídico nacional. O diploma define obrigações concretas para entidades essenciais, importantes e públicas relevantes: análises de risco periódicas, notificação de incidentes através da plataforma MyCiber, manutenção de listas de ativos expostos à internet e designação formal de responsável de cibersegurança. Introduz também uma matriz de risco com três níveis de conformidade (básico, substancial e elevado) que determina as medidas mínimas obrigatórias para cada organização.

O AI Act tem o seu prazo mais consequente a 2 de agosto. O custo médio global de um incidente de cibersegurança situou-se nos 4,44 milhões de dólares em 2025, segundo o relatório anual da IBM, e o de ransomware nos 5,08 milhões. A pressão regulatória e a pressão dos números apontam na mesma direção. O que diverge é a velocidade a que as organizações respondem.

A ilusão da maturidade

 

“O ponto de partida é sempre o mesmo: ganhar consciência real sobre o nível de exposição ao risco. Sem esse diagnóstico, qualquer implementação de processos, controlos ou procedimentos é improdutiva”


Duarte Sousa Lopes, Diretor da CyberInspect

O importante não é o que as organizações portuguesas dizem que têm, mas sim o que existe quando alguém olha de fora. Duarte Sousa Lopes, Diretor da CyberInspect, marca do Grupo NOS dedicada à monitorização de riscos digitais, trabalha precisamente nessa diferença. “O gap mais frequente não está na especificidade das vulnerabilidades em si, mas na diferença entre a perceção de segurança e a realidade que encontramos. A maioria das organizações com quem trabalhamos pensa ter um nível de segurança superior ao que efetivamente tem. Em grande parte, porque não estão cientes de todas as ameaças a que estão expostas e das vulnerabilidades da sua infraestrutura, gestão de identidade ou gestão de equipamentos”.

No setor industrial, a distância entre perceção e realidade assume formas concretas. Sérgio Sousa, Diretor de Sistemas de Informação e Comunicação da Aspöck Portugal, identifica as maiores lacunas: sistemas e equipamentos obsoletos que “operam com tecnologias antigas e sistemas operativos sem suporte, que não foram desenvolvidos com foco em segurança”, a eliminação do isolamento físico entre IT e OT que a Indústria 4.0 trouxe, as vulnerabilidades abertas por acessos remotos de parceiros e fornecedores, a escassez de especialistas que compreendam as duas realidades e equipamentos críticos – PLC e HMI – que “frequentemente não possuem defesas nativas contra intrusões”. O problema é que a gestão raramente tem visibilidade sobre qualquer um destes pontos antes de algo correr mal.

“Portugal deu passos importantes com a transposição da NIS2, o regime de resiliência das entidades críticas e a evolução do QNRCS. O desafio agora é transformar conformidade em capacidade real”


Sérgio Trindade, Diretor de Sistemas e Soluções Digitais e CISO das Águas do Tejo Atlântico

 

Em infraestruturas críticas, a mesma ilusão tem consequências de outra escala. Sérgio Trindade, Diretor de Sistemas e Soluções Digitais e CISO das Águas do Tejo Atlântico, descreve a mudança que o novo quadro regulatório trouxe: “a passagem da cibersegurança de uma preocupação técnica para uma obrigação formal de governação. No setor da água, e nas suas entidades críticas, deixou de ser suficiente afirmar que existem boas práticas ou controlos dispersos; passou a ser necessário demonstrar, documentar e reportar uma capacidade organizada de gestão do risco”. A formalização não é apenas burocracia, mas o reconhecimento de que a segurança percecionada e a segurança real são duas coisas diferentes, e que só a segunda protege.

O problema estrutural que a CyberInspect identifica no terreno é a falta de consciência sobre a própria exposição. Sem esse diagnóstico de partida, qualquer implementação de processos ou controlos é improdutiva. “É impossível proteger o que não se conhece”, relembra Duarte Sousa Lopes. Os 85% de PME portuguesas que não estão preparadas para um ciberataque, segundo dados do CNCS, partilham um problema que vai além dos recursos: “o ecossistema de cibersegurança foi construído de raiz para grandes organizações. As ferramentas, as frameworks, os serviços de consultoria foram desenhados a pensar em empresas com equipas dedicadas e orçamentos demasiado elevados para a realidade da maioria das PME. O resultado é um segmento completamente subservido por falta de oferta adequada à sua realidade”.

O preço do adiamento

Existe um reconhecimento crescente do valor dos serviços de segurança, mas ainda uma perceção de que os preços são elevados, que serve de justificação para adiar decisões. “Aqui reside um gap importante, visto que o custo de investir em segurança é sempre muito inferior ao de um incidente”, sublinha Duarte Sousa Lopes. Os dados que a CyberInspect cruza com referências europeias apontam para que uma PME portuguesa com 20 a cem colaboradores gaste, em média, entre três mil e 15 mil euros por ano em cibersegurança. Um incidente de ransomware na mesma empresa custa, em termos conservadores, entre 50 mil e 200 mil euros, somando paragem operacional, recuperação de sistemas, resposta ao incidente e impacto comercial direto. “Para muitas organizações com maior exposição digital, o impacto pode ser muito maior e levar, no limite, à falência a prazo da empresa”.

No setor industrial, os impactos de um incidente que afeta a produção surpreendem sempre quem não os antecipou. Sérgio Sousa descreve o padrão: bloqueios em processos de registos de produção, falhas nos programas de produção com consequente influência na qualidade, falhas ao nível da infraestrutura de registos e expedição, problemas em processos críticos de faturação e comunicação e fuga de dados com potenciais implicações ao nível do RGPD. “Sempre que ocorrem eventos desta montra, os decisores surpreendem-se sobre o quão vulneráveis eram os seus processos, a sua infraestrutura, as suas políticas e os seus planos de reação e contingência”, explica.

David Grave, Cyber Security Senior Director da Claranet Portugal, tem uma leitura acumulada de anos sobre o que efetivamente muda comportamentos: “nenhum relatório, nenhuma multa, nenhuma palestra, formação ou campanha de sensibilização muda comportamentos com tanta eficácia, e de forma tão acelerada, como a dor sentida na própria pele”.

O incidente que faz agir é sempre o que para a operação. “O ransomware que fecha a linha de produção, a paragem que impede faturar ao fim do mês, o sistema que deixa o cliente sem ser servido. O roubo de dados, por mais grave que seja, continua a ser abstrato para a gestão, exceto quando o impacto é mediático e há dano reputacional”, explica. David Grave evoca o apagão ibérico de abril de 2025 como ilustração: “independentemente da origem, foi provavelmente o exercício de consciência mais eficaz que o país teve em anos, porque toda a gente sentiu o que é perder a operação sem aviso”.

Para Sérgio Trindade, o momento em que a cibersegurança deixa de ser um problema de IT e passa a ser um problema de negócio tem de acontecer; esse momento “ocorre quando a organização percebe que um incidente digital pode deixar de ser digital. No setor da água, essa consciência surge quando se compreende que uma falha de cibersegurança pode afetar a continuidade do serviço, o tratamento de águas residuais, a segurança dos trabalhadores, a confiança pública e a capacidade de resposta operacional”. A partir desse ponto, a pergunta muda: deixa de ser “quanto custa proteger os sistemas?” e passa a ser “qual é o impacto de não conseguirmos prestar o serviço?”

A responsabilidade que chegou ao board

A responsabilidade pessoal dos órgãos de gestão inscrita no DL 125/2025 alterou a natureza da conversa nos conselhos de administração, mas ainda não a transformou por completo. Sérgio Trindade especifica que “o tema entra agora com mais frequência na agenda dos conselhos de administração, deixou de ser apresentado apenas como uma despesa tecnológica e passou a ser discutido como risco operacional, regulatório, reputacional e de continuidade de serviço”.

A perceção de que “a cibersegurança é do IT” ainda existe, “mas está a ser recolocada, porque essa perceção é cada vez menos defensável. A NIS2 e o novo regime nacional tornam claro que a gestão não pode delegar a responsabilidade última. Pode delegar a execução técnica, mas não a aprovação, supervisão e aceitação do risco”, diz Sérgio Trindade.

O Regulamento n.º 756/2026 publicado em junho torna esta distinção concreta de uma forma que a legislação anterior não fazia. David Grave explica o efeito prático. “Os órgãos de gestão deixam de se poder esconder atrás do ‘isso é com o IT’ ou ‘isso é com o fornecedor’. A administração responde, e pode ser pessoalmente responsabilizada”.

Esta alteração reconfigura a cadeia de responsabilidade de forma simples. “Obriga o board a saber o que contratou e a deixar de escolher um serviço sem o entender. O fornecedor deixa de ser uma linha na fatura e passa a ser uma extensão da governance da própria organização”, explica o representante da Claranet Portugal.

Sérgio Sousa coloca o mesmo argumento em termos de exigência de mercado. Daqui a três anos, uma empresa industrial europeia terá de dominar três pilares para continuar a ser um fornecedor competitivo: requisitos legais e de conformidade que incluem gestão de risco, planos de resposta a incidentes e segurança na cadeia de abastecimento; convergência IT/OT com segregação de redes, proteção de sistemas legados e acesso remoto seguro; e cultura organizacional, “o mais crítico”, com formação contínua sobre engenharia social e processos claros documentados. “As empresas que não tiverem um foco na maturidade digital, que envolve a segurança e proteção de dados, vão ficar para trás e comprometer a sua competitividade”, diz.

A NIS2 criou obrigações de segurança na cadeia de fornecimento que ainda não chegaram com força ao mercado português. A CyberInspect observa que nas empresas integradas em grupos internacionais com sede em países onde a transposição está mais avançada, como Alemanha, Países Baixos ou Bélgica, as políticas de grupo já obrigam a níveis mínimos de maturidade, criando uma pressão que se transmite aos fornecedores locais. “Vemos este movimento como precursor do que virá a acontecer de forma mais alargada no mercado, agora que o Regulamento do Regime Jurídico de Cibersegurança já se encontra publicado”, diz Duarte Sousa Lopes. “A procura de serviços de apoio especializados vai exceder claramente a atual oferta no mercado, aconselhando um começo rápido da transformação necessária”.

Convergência sem orquestração

A tensão entre conectividade e isolamento é hoje uma das decisões mais difíceis nas infraestruturas críticas. Sérgio Trindade descreve que “a operação precisa de dados em tempo real, manutenção remota, integração com sistemas de gestão, monitorização centralizada e capacidade de resposta rápida. A segurança, por outro lado, exige segmentação, controlo de acessos, redução da superfície de ataque e limitação de movimentos laterais”. A resposta tem de ser uma arquitetura de risco: “em ambientes de água, a conectividade só deve existir quando tem uma justificação operacional clara, com segmentação entre IT e OT, zonas e condutas bem definidas, acessos remotos controlados, autenticação forte, monitorização específica para ambientes industriais e planos de resposta que tenham em conta a continuidade física do serviço”. O princípio essencial é que “a operação não pode ser tratada como uma extensão da rede corporativa. Um sistema OT tem ciclos de vida mais longos, janelas de manutenção limitadas, requisitos de disponibilidade muito exigentes e impactos físicos”.

 

“A segurança não é um trabalho parcial, mas um modo de vida, e o único sistema de segurança 100% seguro é aquele está desligado, enterrado e coberto de cimento”


Sérgio Sousa, Diretor de Sistemas de Informação e Comunicação da Aspöck Portugal

O retrofitting de segurança em ambiente OT é onde a tensão entre o tecnicamente possível e o financeiramente defensável é mais evidente. Sérgio Sousa estima custos entre dois mil e os cinco mil euros por equipamento, “dependendo da dimensão, das interfaces, do tipo de firmware e do tipo de arquiteturas que se pretendem implementar”. Mas o problema de fundo é de responsabilidade: “o retrofitting de segurança no setor dos sistemas de OT ainda é algo que não é dominado nem percecionado como crítico pelos fabricantes, logo acaba por partir mais do cliente diligente e sensível à segurança OT”.

A escassez de talento que combine IT e OT agrava o problema. “Na cultura industrial, um especialista em OT tem planos e direções muito focados na produção e processos, e um especialista IT está mais focado nos fluxos de informação, infraestrutura e nível de serviço”, explica Sérgio Sousa.

O caminho é formar equipas de IT no processo produtivo e no OT, e treinar os especialistas em OT em cibersegurança. O Diretor de Sistemas de Informação e Comunicação da Aspöck Portugal refere que, quando essa integração não acontece, acontece o mesmo que numa orquestra. “Uma orquestra sofre quando não tem a percussão sincronizada com os metais e com as madeiras – falta a orquestração e a orquestra compromete a sua atuação”.

Do lado dos managed security services, David Grave identifica um paralelo: a falha recorrente não está na tecnologia, mas na governação. “Responsabilidades mal definidas, ausência de um playbook conjunto e, sobretudo, a inexistência de alguém do lado do cliente com autoridade para receber um alerta e agir sobre ele. O SOC deteta e notifica. Se do outro lado não há ninguém com poder de decisão, a deteção mais brilhante do mundo é inútil”.

Quando a segurança habilita

A cibersegurança ainda é muitas vezes justificada pela negativa: evita incidentes, evita sanções e evita interrupções. Sérgio Trindade reconhece que essa lógica continua a ser válida em setores essenciais, “mas é incompleta e tipicamente obtém menos resultados”. Quando existe maturidade, a segurança torna-se efetivamente habilitadora. “Permite avançar com monitorização remota de ativos operacionais, integração segura de dados IT/OT, utilização de cloud para analytics, ligação controlada de fornecedores externos, modelos de manutenção preditiva, telemetria em tempo real e partilha de informação com entidades reguladoras ou parceiros. Sem uma base sólida de identidade, segmentação, gestão de vulnerabilidades, logging, resposta a incidentes e controlo de terceiros, muitas destas iniciativas seriam demasiado arriscadas”. A diferença está, assim, no ponto de partida. “Numa organização imatura, a segurança aparece como travão. Numa organização madura, aparece como condição de confiança”.

Sérgio Sousa coloca o mesmo argumento em termos de posicionamento. “O facto de as empresas possuírem políticas claras e robustas, planos de contingência e resposta, uma infraestrutura robusta, credível e certificada, frameworks state of the art e pessoas capacitadas, reforça a posição, a imagem e o valor da empresa nos mercados cada vez mais competitivos, exigentes e complexos”.

Existe, no entanto, uma distância entre essa narrativa e a realidade da maioria. “Junto da maior parte dos decisores ainda existe alguma limitação em percecionar, reconhecer e assumir a cibersegurança como um habilitador e garante do negócio, estando a preocupação muito mais focada no core business e, grande parte das vezes, muito pouco focada no backbone”.

“Os órgãos de gestão deixam de se poder esconder atrás do 'isso é com o IT' ou 'isso é com o fornecedor'. A administração responde e pode ser pessoalmente responsabilizada”


David Grave, Cyber Security Senior Director da Claranet Portugal

 

David Grave distingue dois perfis de cliente pela motivação que os move. “A empresa movida por compliance escolhe o fornecedor mais barato que lhe marca a checklist e dorme descansada com uma falsa sensação de segurança. Já a empresa movida pelo risco escolhe quem efetivamente a defende no pior dia”.

O mercado de managed security em Portugal cresce, mas a regulação não é o fator mais determinante. “O que está a fazer crescer este mercado não é o medo da multa. O mercado sempre cresceu e existiu antes da NIS2 ou do RGPD. Estes normativos aceleram-no, é certo, mas mais pela atenção que trazem ao tema do que pelo receio da coima”, explica David Grave. O efeito da regulação é, ainda assim, positivo: “tirou do papel conversas que durante anos foram ignoradas nas reuniões de board e forçou orçamento onde antes havia silêncio”.

O que ainda falta

Sérgio Trindade especifica o que falta para que a proteção das infraestruturas críticas deixe de ser formal e passe a ser real. “Portugal deu passos importantes com a transposição da NIS2, o regime de resiliência das entidades críticas e a evolução do Quadro Nacional de Referência da Cibersegurança. O desafio agora é transformar conformidade em capacidade real. Cumprir requisitos documentais é necessário, mas não garante proteção efetiva”. Por outro lado, “dois anos vão passar muito rápido e temo que não venha a ser o prazo legal suficiente para todas as mudanças e melhorias que são necessárias”. O que falta, elenca, é maturidade operacional em cibersegurança OT, recursos proporcionais à criticidade do serviço, uma vez que “muitas entidades têm responsabilidades equivalentes às de grandes operadores críticos, mas equipas e orçamentos limitados”, e uma mentalidade de resiliência que substitua a pergunta “estamos conformes?” pela pergunta “conseguimos continuar a operar sob ataque, recuperar rapidamente e manter a confiança pública?”

Para David Grave, o horizonte a dois anos divide o mercado em dois grupos: “quem usou a regulação como alavanca e quem a usou como desculpa para adiar mais um trimestre”. As organizações que continuaram a adiar vão lamentar três coisas, explica: “ter esperado pela primeira multa para começar, quando a multa é o sintoma e não a causa; ter comprado checklist em vez de capacidade e descoberto a diferença no pior momento; e ter ignorado a sua dependência de terceiros até ao dia em que um deles falhou e arrastou o negócio”. Duarte Sousa Lopes deixa uma nota prática para as organizações que ainda não começaram. “O ponto de partida é sempre o mesmo: ganhar consciência real sobre o nível de exposição ao risco. Sem esse diagnóstico, qualquer implementação de processos, controlos ou procedimentos é improdutiva”. O mercado, reconhece, ainda não resolveu isto para o segmento das PME, uma vez que “as ferramentas disponíveis foram desenhadas para grandes organizações, com equipas de segurança dedicadas e orçamentos que a maioria das PME portuguesas simplesmente não tem”, mas a direção é simples: sem saber onde se está exposto, não é possível saber por onde começar.

A mudança que Sérgio Sousa escolheria para o setor industrial é de outra ordem. “Mudaria a cultura, o mindset, o arrojo e a humildade. Cultura, porque ainda se pensa que este tipo de coisas não acontecem de qualquer forma e apenas acontecem aos outros; mindset, porque as indústrias nacionais ainda entendem o investimento em cibersegurança como algo a ser feito só se for por obrigação, pedido por clientes ou porque veem a iminência da catástrofe; arrojo, porque a visão tradicional dos negócios, focada na venda e na destruição da concorrência, não funciona mais, sendo que é necessário arrojo para assumir que, num mundo conectado e em rede, se falharem os sistemas, infraestrutura e comunicações, simplesmente não há venda, e a concorrência vai vencer; e por fim, a humildade, uma vez que ainda há alguma arrogância de pensar que, se o modelo de negócio habitual resultou sempre, não pode não resultar agora”. E termina com uma frase que resume a postura que falta: “a segurança não é um trabalho parcial, mas um modo de vida, e o único sistema de segurança 100% seguro é aquele que está desligado, enterrado e coberto de cimento”.

Tags

REVISTA DIGITAL

IT INSIGHT Nº 62 JULHO 2026

IT INSIGHT Nº 62 JULHO 2026

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.