Da conformidade à vantagem competitiva: o novo papel da cibersegurança nas organizações

A pressão regulatória, a responsabilização dos órgãos de gestão e o impacto da inteligência artificial estão a transformar a cibersegurança num fator decisivo para a resiliência e o crescimento dos negócios.

Da conformidade à vantagem competitiva: o novo papel da cibersegurança nas organizações
@MediaNext

O Global Digital Trust Insights 2026 assenta em dados de quase quatro mil executivos globais. O que distingue as organizações que tratam a cibersegurança como vantagem competitiva das que ainda estão numa lógica de compliance? Essa distinção é visível em Portugal?

A distinção é clara em Portugal. Limitações financeiras, falta de recursos e baixa consciencialização levam muitas organizações a tratar a cibersegurança como compliance e não como prioridade. Em contraste, empresas mais competitivas e dependentes da confiança dos clientes encaram-na como pilar estratégico, com investimento e integração nas decisões de gestão.

Organizações menos maduras tendem a ser reativas, focadas apenas em requisitos mínimos e evitar penalizações.

Há uma diferença documentada entre o que os boards dizem que priorizam em cibersegurança e o que aprovam em orçamento. O que explica essa divergência? O que é que a NIS2 e o AI Act estão a mudar, se é que estão a mudar, nessa equação?

A divergência resulta sobretudo de orçamentos limitados e necessidade de priorizar outras áreas, apesar do reconhecimento da importância da cibersegurança. Acresce o fraco entendimento técnico dos decisores, que limita a avaliação das necessidades. A NIS2 aumenta a pressão sobre os órgãos de gestão, obrigando à alocação de orçamento para gestão de risco e conformidade. O AI Act também impacta, ao ampliar requisitos de segurança para sistemas de IA.

A responsabilidade pessoal dos órgãos de gestão introduzida pelo DL 125/2025 é uma mudança significativa no enquadramento legal. Na prática, está a alterar comportamentos ou a maioria dos boards ainda não interiorizou o que significa ser pessoalmente responsável por um incidente?

Existe maior consciencialização, mas continua a ser necessário investir na formação dos órgãos de gestão. Apesar de algum entendimento das novas responsabilidades, ainda há descrença quanto à aplicação efetiva de sanções. A mudança de comportamento é ainda limitada, sobretudo em organizações onde a cibersegurança não é estratégica.

O AI Act tem a sua deadline mais consequente a 2 de agosto de 2026. O mercado está preparado? Vamos assistir a um período de incumprimento generalizado com potencial de coimas significativas?

O nível de preparação varia por setor. Áreas como banca, seguros e telecomunicações estão mais maduras; já PME e administração pública apresentam maiores lacunas. É expectável algum incumprimento, sobretudo na ausência de inventários, documentação e gestão de risco. As coimas deverão surgir de forma gradual, acompanhando a maturidade dos reguladores e das organizações.

A gestão do risco de terceiros (fornecedores, parceiros, cadeia de fornecimento) é crescentemente apontada como uma das maiores exposições. Onde estão as maiores lacunas que observam nas organizações, e o que é que tipicamente falha primeiro?

A principal falha é a ausência de inventários completos e atualizados de terceiros. Isto conduz a avaliações de risco incompletas, pouca consideração da cibersegurança, lacunas nas políticas e insuficiente monitorização contínua do risco.

Qual é a decisão de governance em cibersegurança que mais organizações estão a adiar e quais são as consequências dessa procrastinação quando um incidente acontece?

Muitas organizações adiam a atribuição formal de responsabilidades à gestão de topo e a integração do risco de cibersegurança na gestão global. Em caso de incidente, isso traduz-se em processos pouco claros, resposta lenta, maior impacto operacional, financeiro e reputacional.

Existe uma correlação demonstrável entre maturidade de cibersegurança e performance de negócio ou essa ligação ainda é mais narrativa do que evidência?

Existe uma correlação clara. Organizações mais maduras respondem mais rapidamente a incidentes, com menor custo e impacto. A cibersegurança reforça a confiança, a reputação e a continuidade do negócio, sendo um fator estrutural da performance.

Se tivesse de apontar uma mudança (regulatória, cultural ou de mercado) com mais impacto potencial na maturidade das organizações portuguesas nos próximos dois anos, qual seria?

A NIS2 será determinante ao reforçar a responsabilização da gestão de topo. Paralelamente, a IA será um forte catalisador, aumentando a sofisticação das ameaças e exigindo adaptação rápida das organizações. Isso implicará maior resiliência e revisão dos modelos de governance e operação.

 

Conteúdo co-produzido pela MediaNext e pela PwC

Tags
PwC

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 62 JULHO 2026

IT INSIGHT Nº 62 JULHO 2026

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.