A transposição da Diretiva 2022/2555 (NIS 2) para Portugal, por meio do Decreto-Lei 125/2025, impôs diversos desafios que impactam as organizações classificadas como críticas e essenciais.
|
O que antes se restringia a uma abordagem focada na notificação de incidentes, no envio de relatórios anuais e na designação de responsáveis de cibersegurança e pontos de contacto, agora exige uma perspetiva mais abrangente, profunda e estratégica da cibersegurança, com a implementação de medidas técnicas e organizativas relacionadas com a abordagem aos riscos organizacionais. Um dos principais desafios está na necessidade de formalização dos processos. Apesar de muitas organizações já adotarem práticas de cibersegurança, essas ocorrem, frequentemente, de forma dispersa ou pouco documentada. No entanto, a NIS 2 passa a exigir coerência, rastreabilidade e evidências, de modo que políticas, procedimentos, avaliações de risco e mecanismos de controlo deixem de existir apenas de modo informal e passem a ser definidos, testados e alinhados. Outro desafio significativo é integrar a cultura de cibersegurança na estratégia organizacional. A cibersegurança deve deixar de ser um tema tratado apenas pela equipa de IT e passa a exigir o envolvimento da gestão de topo. A responsabilização dos órgãos de administração implica o acompanhamento regular, definição de prioridades e alocação adequada de recursos. Esta mudança pode ser complexa, especialmente em estruturas onde a cibersegurança é vista como um tema puramente operacional. A dimensão técnica também se torna mais exigente. Para além da aquisição de tecnologia, é necessário integrá-la num modelo consistente, com processos e responsabilidades bem definidos, de modo a garantir que a implementação das medidas relacionadas com a proteção de redes e sistemas, a utilização de mecanismos de dupla autenticação, a cifragem, a continuidade das operações e a resposta a incidentes, seja planeada e coordenada. A supervisão da cadeia de abastecimento é outro ponto crítico. A dependência crescente de fornecedores tecnológicos, plataformas cloud e serviços externos amplia a exposição ao risco. Garantir que os fornecedores mantêm níveis adequados de segurança e que esses riscos são avaliados de forma contínua pode representar um esforço acrescido para muitas organizações, em especial para aquelas que possuem menos maturidade ou recursos limitados. Neste contexto, todos estes elementos demonstram que os desafios são simultaneamente regulatórios, técnicos e culturais. A legislação portuguesa que concretiza a NIS 2 estabelece um quadro mais rigoroso, mas também oferece uma oportunidade: reforçar a maturidade, reduzir a exposição ao risco e integrar a cibersegurança como pilar estratégico do negócio. É precisamente neste âmbito que o papel de parceiros especializados, como a CyberSafe, ganha relevância. Mais do que apoiar na interpretação do Decreto-Lei 125/2025, o valor acrescentado está na capacidade de transformar requisitos legais em planos de ação ajustados à realidade de cada organização. Desde a realização de avaliações de maturidade e análises de gap, até à definição de roadmaps faseados, implementação de controlos técnicos, revisão de processos e sensibilização das equipas e da gestão, o acompanhamento especializado permite reduzir a incerteza e priorizar investimentos de forma racional. Num contexto em que os desafios são simultaneamente técnicos, organizacionais e estratégicos, contar com um parceiro experiente pode fazer a diferença entre uma abordagem meramente documental e uma transformação efetiva da postura de cibersegurança.
Conteúdo co-produzido pela MediaNext e pela Cybersafe |
Receba todas as novidades na sua caixa de correio!
