IT Insight Talks

Entre a exigência e a maturidade na era da NIS2

Na primeira edição de 2026 da IT Insight TALKS dedicada à cibersegurança, a CyberSafe, a Logicalis, a ManageEngine, a Securnet, a Symantec e a VisionWare subiram ao paco para discutir o impacto da NIS2 nas organizações. Custos, coimas, falta de talento, cloud, IA, cadeia de abastecimento e responsabilidade dos órgãos de gestão marcaram um debate sobre governação, risco e maturidade num novo ciclo de exigência regulatória

Por Inês Garcia Martins . 13/03/2026

Entre a exigência e a maturidade na era da NIS2

 

Na primeira edição de 2026 da IT Insight TALKS dedicada à cibersegurança, a CyberSafe, a Logicalis, a ManageEngine, a Securnet, a Symantec e a VisionWare subiram ao paco para discutir o impacto da NIS 2 nas organizações. Custos, coimas, falta de talento, cloud, IA, cadeia de abastecimento e responsabilidade dos órgãos de gestão marcaram um debate sobre governação, risco e maturidade num novo ciclo de exigência regulatória.

A NIS2 traz penalizações significativas, mas implementar conformidade tem custos. Como equilibram o argumento 'isto é caro' com o risco real de coimas, incidentes e danos reputacionais? Que abordagens práticas recomendam para começar com orçamentos limitados?

 

“A notificação é muito importante, mas, em vez de estarmos todos em pânico a tentar comunicar alguma coisa, é fundamental definir primeiro o plano de resposta a incidentes e as responsabilidades internas”

Artur Martins, CISO & Cybersecurity Strategy Executive Advisor, Logicalis

Artur Martins, CISO & Cybersecurity Strategy Executive Advisor, Logicalis: “A compliance não deve ser encarada como o medo. O mais importante será a abordagem e o plano que nós temos para transformar o compliance não nesse medo, mas sim num catalisador do investimento necessário e da organização da casa. Passo número um, fazer o chamado gap analysis ou um assessment. Não encarar isto como binário de ‘sim ou não’. Há um ponto aceitável para cada exigência. Depois, gerir o investimento e empenho necessário em todo esse projeto”

Todos falam da falta de profissionais de cibersegurança, mas até que ponto isto é uma limitação real à preparação para NIS2 e até que ponto é um sintoma de estratégias erradas, como falta de automação, processos ineficientes ou expectativas irrealistas sobre perfis de contratação?

Dinis Fernandes, Executive Manager, Cybersafe: “Há uma inércia que se colmata facilmente com a utilização de prestadores como nós, em que podemos ajudar num gap assessment inicial, na definição de um plano para colmatar as lacunas face aos requisitos do NIS2, na definição de um modelo de análise de risco e na seleção de tecnologia. Existem formas de colmatar essa falta de recursos, mas também há organizações com equipas que têm falta de processo e de sistematização, o que dificulta a resposta atempada a incidentes”

Bruno Castro, Founder & CEO, VisionWare: “A NIS2 não vem obrigar que as empresas contratem um exército de especialistas. Vem obrigar, no fim do dia, a termos um modelo de governação sólido, forte, estruturado, com processos simples e pragmáticos, capazes de responder adequadamente sempre que é necessário. O risco tem de estar na agenda do top management. Quem decide não é o técnico, não é o CISO; é o top management. No fim do dia, o target deverá ser construirmos um modelo de governação e um nível de maturidade adequado ao nosso setor”

José Fonseca, Technical Consultant Iberia, ManageEngine: “Não é preciso contratar um exército para implementar a NIS 2. O que é importante referenciar é que tudo passa pela parte do conhecimento e de preparar as pessoas e os negócios para estarem em conformidade com aquilo que são as frameworks. O que não existe na realidade não é a escassez de recursos, às vezes é as ferramentas mal configuradas e a preparação dos técnicos para criar playbooks e automação, para automatizar o máximo possível de tarefas e serem analistas e não tanto tarefeiros”

A cloud, o trabalho híbrido e a Inteligência Artificial (IA) são fatores que alargam a superfície de ataque. Quais são os riscos concretos e subestimados nestas áreas? Como é que a NIS2 muda (ou não) a responsabilidade partilhada entre organizações e fornecedores de cloud/SaaS?

“Haver uma checklist pode ter um efeito pernicioso. O board não quer só que lhe digam 'está verde' no dashboard. Vai querer perceber se efetivamente está verde (...) e carregar para ver o que se passa”

José Antunes, Arrow Pre Sales Specialist, Symantec

  

José Antunes, Arrow Pre Sales Specialist, Symantec: “Em termos objetivos de cloud e do SaaS, a utilização de storage na cloud vai expandir o perímetro de defesa. As coisas já não estão só no meu data center, controladas por mim, vão estar fora. Depois temos o shadow IT, numa zona cinzenta que obviamente aumenta o risco. Em termos da inteligência artificial, quando uso um Gemini, um Copilot, estou a passar informação para dentro dessa infraestrutura. A grande explosão em termos de risco vem daí”

Bruno Castro, VisionWare: “Ainda há aquele mindset que é: se colocar isto na cloud, fica seguro. É um chavão e não é. Colocar na cloud não resolve o problema de NIS 2 porque não consigo transferir para lá o risco na totalidade. A falsa sensação de segurança é um erro gravíssimo. O que vemos é muito permissivo do lado dos providers. O que é que nos obriga a NIS 2? Controlarmos isso. Temos de fiscalizar o provider onde decidimos colocar a informação”

A diretiva dá ênfase à segurança da cadeia de abastecimento. Na prática, como auditam e garantem a conformidade de fornecedores terceiros? Isto é exequível para PME, ou vai consolidar ainda mais o mercado em torno de grandes players?

Miguel Barreiros, Executive Manager, Securnet: “Há uma questão fundamental que é a proporcionalidade, ou seja, aquilo que é exigível a um grande fornecedor terá de ser muito diferente daquilo que é exigido a um pequeno fornecedor. Nós não podemos chegar a tudo, portanto, temos de começar por classificar a cadeia de abastecimento por grau de importância. Vai ou não parar o meu negócio? Se sim, é um fornecedor crítico. Se não, o risco é menor. Não faz sentido tratar da mesma forma um fornecedor de serviço eletrónico e um de café verde. Uma pequena empresa que apresenta uma certificação vai diferenciar-se da sua concorrência”

Dinis Fernandes, CyberSafe: “Há uma abordagem baseada no risco e também baseada na criticidade. Um fornecedor muito importante para o negócio pode não significar grande risco do ponto de vista de IT. No entanto, o tema nunca é assim tão simples. Já tivemos um caso em que um fornecedor de matérias-primas teve um ataque ransomware e ficou impedido de operar, o que teve um impacto muito grande no negócio, embora do ponto de vista de IT não tivesse tido impacto nenhum. Se pensarmos só no risco do ponto de vista de IT, pode não ser suficiente para a nossa resiliência do ponto de vista de organização e do negócio”

A NIS2 impõe prazos apertados para notificação de incidentes. Quantas organizações têm realmente playbooks testados, equipas treinadas e canais estabelecidos para responder dentro destes timings? O que falha mais frequentemente nos testes que fazem?

Bruno Castro, VisionWare: “Percebemos quando uma empresa já testou antes esse modelo de resposta a incidente ou a desastre, ou quando está meramente em modo de reação. Não quer dizer que testar vezes sem conta faça com que funcione 100%, mas garantidamente vai funcionar melhor. O que temos visto como dificuldades é a falha na capacidade de deteção em tempo útil e o saber o que fazer no momento do incêndio. No fim do dia, o que mais sentimos é: saber comunicar. Quem comunica, de que forma, para quem e com que timing”

Artur Martins, Logicalis: “Um bom plano de resposta a incidentes deve ter já pré-definido as categorias de incidentes que é possível termos e quem são os responsáveis internos para cada fase. Há responsáveis pela deteção, reporting, avaliação de impacto, investigação, mitigação e identificação da root cause. Em todas estas fases é muito importante ter um procedimento operacional. A notificação é muito importante, mas, em vez de estarmos todos em pânico a tentar comunicar alguma coisa, é fundamental definir primeiro o plano de resposta a incidentes e as responsabilidades internas”

 

“Há quick wins que se podem fazer. O mais importante é mostrar diligência, ter métricas de risco e um plano de ação para endereçar as lacunas”

Dinis Fernandes, Executive Manager, Cybersafe

Dinis Fernandes, CyberSafe: “Ao pensarmos que o número de organizações abrangidas pela NIS 2 passou de cerca de 300 para três mil, diria que a maior parte das organizações está num processo muito embrionário. Não têm playbooks nem processos de resposta a incidentes bem definidos, quanto mais testá-los. Muito dificilmente organizações com dimensão reduzida vão conseguir fazer uma monitorização 24 horas por dia ou dar uma resposta atempada aos incidentes. Nessas situações não há outra solução senão recorrer a um prestador de serviços SOC-as-a-Service ou MDR”

A NIS2 fala muito de resiliência. Ter os sistemas seguros não é o mesmo que ter sistemas resilientes a ataques. Como desenham arquiteturas que assumem que a violação é inevitável e garantem continuidade, mesmo sob ataque?

José Antunes, Symantec: “Temos de assumir que vai acontecer algo. Temos de nos preparar para isso. Não é só ter um playbook. Vamos aqui todos falar e perceber como é que vamos resolver isto. Temos de ter em conta que, literalmente, tudo pode acontecer. Os nossos adversários só fazem aquilo 24 horas por dia. Tem de ser esse o racional: vai acontecer. Depois criar cenários, fazer os fire drills. E há uma dualidade: eu quero repor as coisas e pôr aquilo a funcionar, mas isso pode fazer desaparecer as provas e depois não vou saber como endereçar o problema”

Artur Martins, Logicalis: “No tema da resiliência, não vale a pena reinventar a roda. Existe uma boa ISO 22301. Falamos de identificação de processos críticos e das suas dependências. Nós focamo-nos sempre na tecnologia e esquecemo-nos das pessoas. Existem sempre os ‘super-homens’ que sabem tudo e menos documentam. Se essa pessoa não estiver, vamos estar todos em modo caótico. A resiliência passa por identificar processos críticos e dependências, não só tecnológicas, mas também operacionais, e criar uma cultura de security by design”

“A NIS2 não é só coimas, é um teste de maturidade. No fim do dia, é uma questão de ecossistema e de garantir que o meu risco não implica o risco do outro”

Bruno Castro, Founder & CEO, VisionWare

  

Bruno Castro, VisionWare: “A memória fica tatuada depois de um super-ataque, da layer mais operacional à componente executiva. Levámos uma valente dose de humildade e repensámos o modelo. Hoje a abordagem é diferente: prevenção, deteção e recuperação. É assumir que um dia vai-me acontecer e tenho de ser capaz de responder e recuperar de forma eficaz, rápida e permanente. A NIS 2 não é só coimas, é um teste de maturidade. No fim do dia, é uma questão de ecossistema e de garantir que o meu risco não implica o risco do outro”

A NIS2 coloca responsabilidade direta nos órgãos de gestão. Isto vai mudar realmente o nível de atenção do C-Level à cibersegurança, ou será mais um requisito de compliance burocrático? Que conversas é que os responsáveis de cibersegurança devem estar a ter neste momento com os conselhos de administração das suas organizações?

José Fonseca, ManageEngine: “Isto acaba por ser um equilíbrio entre o risco financeiro e a responsabilidade do Conselho Executivo. O CISO tem de ser o elo entre quem operacionaliza e quem paga. Se não existir liderança por parte do Conselho Diretivo, a responsabilidade recai sempre sobre o CISO, e isso não deve existir. A NIS 2 vem complementar nesse sentido de não ser só one man show. Devem ser gerados relatórios com métricas consistentes: exposição, impacto, risco reputacional e continuidade, suportados por KPI executivos”

Miguel Barreiros, Securnet: “Tem-se falado muito de tecnologia e de ausência de recursos. Eu acho que há é falta de coaching para as gerências. A cibersegurança faz parte do dia a dia. A NIS 2 é só a digitalização daquilo que já acontece no nosso mundo empresarial. Cibersegurança é cultura, mas a cultura sem tecnologia é muito mais vulnerável. Não tem a ver com a quantidade, tem a ver com a qualidade. O gestor não tem de ser técnico, tem de ser decisor. Tem de tomar decisões informadas com base naquilo que os técnicos e especialistas lhe dizem”

José Antunes, Symantec: “A atenção do board é um recurso escasso e a NIS 2 veio trazer uma ferramenta, se quiserem, à cibersegurança para ter um bocadinho de atenção. O que que a NIS 2 nos traz é essa capacidade de ‘não percebes o que eu estou a dizer, mas, de qualquer modo, no fim do dia há responsabilização’.Vamos tentar encontrar aqui o middle ground e falar a mesma linguagem”

Há o risco de as organizações tratarem NIS2 como checklist burocrático, fazendo o mínimo para passar auditorias. Como se transforma a pressão regulatória numa oportunidade real para melhorar a postura de segurança, em vez de gerar apenas documentação e teatro de segurança?

 

“Há coisas fáceis de fazer em menos de dois meses. O MFA precisa de uma consultora? Não. Qualquer responsável de IT deve conseguir configurar isso. Testar os backups? Não. Já devia estar feito”

Miguel Barreiros, Executive Manager, Securnet

Miguel Barreiros, Securnet: “É não encarar como uma checklist, é encarar como uma oportunidade de transformação. Se o objetivo é estar verde, vai ficar verde. A questão é perceber se é só um teatrinho ou se é, de facto, uma cultura. Se é algo que se conseguiu introduzir como conceito na empresa. Acho que este é o ponto-chave: cultura, cultura, cultura. A resposta é: é para cumprir a checklist ou é para ter cultura? Já que se vai gastar o dinheiro, ao menos que se tenha cultura, porque cumprir a checklist consegue-se”

José Antunes, Symantec: “Se é para estar verde, vai estar verde. Mas é preciso perceber que vai haver consequências, e consequências a dois níveis para o board. Estar verde não é desculpa para os impactos em termos de imagem e financeiros. O haver uma checklist pode ter um efeito pernicioso. O board não quer só que lhe digam ‘está verde’ no dashboard. Vai querer perceber se efetivamente está verde ou se é a melancia, e carregar com o dedo para ver o que se passa”

“Desde que exista um roteiro, um planeamento, uma análise, uma automação humana ou mesmo a nível de sistemas, desde que exista um processo, tudo isto acaba por se desenrolar de forma eficiente”

José Fonseca, Technical Consultant Iberia, ManageEngine

  

José Fonseca, ManageEngine: “Além da checklist, é ter uma real melhoria relativamente ao serviço. É ter métricas reais e uma governação operacional de tudo aquilo que são os sistemas. Não é só dizer ‘está verde’. É ter capacidade de apresentar ao conselho que, relativamente ao incidente, está tudo sob controlo. Não só na parte da compliance NIS 2, mas com ferramentas que tenham mais potência e sensibilidade, na componente de observabilidade, workflow, deteção e automação, para ajudar parceiros e clientes relativamente aos incidentes”

Com base na vossa experiência no terreno, quais são os três erros mais comuns que as organizações cometem ao se prepararem para a NIS2? Que passos concretos podem dar para não os repetir?

Artur Martins, Logicalis: “Um terrível erro é não ter a casa arrumada. Está na altura de termos departamentos de compliance e de risco com uma base de dados centralizada de controlos de segurança, para responder rapidamente e saber o que falta cobrir. Tecnologia não é a solução para o problema. Grande parte da solução é planeamento, documentação, maturidade e testes. A conformidade com a NIS 2 não é tudo ou nada. É perceber com o board qual é o risco que estão dispostos a aceitar, porque não há budget para estar a 100% em tudo”

Faltam menos de dois meses para a entrada em vigor da NIS2. Imaginem uma empresa que ainda não começou a tratar do tema. Se fossem consultores dessa empresa, qual seria o vosso plano até 3 de abril? Que ações prioritárias recomendariam e porquê?

Dinis Fernandes, CyberSafe: “O comboio já seguiu. O dia 3 de abril é uma meta para demonstrar diligência, não é para ter tudo conforme aos requisitos do NIS 2. Há mínimos que têm de ser feitos, como um gap assessment. Mesmo aguardando guidelines, há temas que já se sabe que são necessários, como o multifactor authentication e o processo de notificação de incidentes. Há quick wins que se podem fazer. O mais importante é mostrar diligência, ter métricas de risco e um plano de ação para endereçar as lacunas”

José Fonseca, ManageEngine: “O roteiro é o segredo. Desde que exista um roteiro, exista um planeamento, exista uma análise, que exista uma automação humana ou mesmo a nível de sistemas, desde que exista um processo, tudo isto acaba por se desenrolar de forma eficiente. Que, no final do dia, é aquilo que toda a gente acaba por querer: eficiência no processo de transposição para a NIS 2”

Miguel Barreiros, Securnet: “Há coisas fáceis de fazer em menos de dois meses. O MFA precisa de uma consultora? Não. Qualquer responsável de IT deve conseguir configurar isso. Testar os backups? Não. Já devia estar feito. A questão do roteiro é fundamental. Se uma empresa nesta altura não tem um rumo quanto a esta matéria, já é preocupante. Servindo a NIS 2 como motor ou alavancagem, em dois meses consegue traçar um rumo, que é o mais importante. Se ainda não têm um rumo e têm um parceiro, troquem de parceiro”
Tags
Cibersegurança Round Table IT Insight Talks NIS2 CyberSafe Logiclais ManageEngine Securnet Symantec VisionWare

REVISTA DIGITAL

IT INSIGHT Nº 60 MARÇO 2026

IT INSIGHT Nº 60 MARÇO 2026
EDIÇÕES ANTERIORES

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

+ VISITADAS

IA acelera fechos financeiros no ERP

DIGITAL . 01/03/2026

Seis macrotendências vão moldar inovação e soberania digital

INOVAÇÃO . 28/02/2026

Samsung Galaxy S26 reforça IA, desempenho e privacidade

OPERAÇÃO . 26/02/2026

Custos de memória travam mercado de PC e smartphones

IT STRATEGY . 26/02/2026

IA com agência pode reduzir contratações na supply chain

OPERAÇÃO . 27/02/2026

+ NOTÍCIAS

As estratégias e os desafios da cloud híbrida e multicloud

ROUND TABLE . 26/12/2025

Continuidade de negócio: a redundância deixou de ser opcional

ROUND TABLE . 13/11/2025

Mobilidade empresarial: pessoas, processos e tecnologia no novo mundo do trabalho

ROUND TABLE . 18/09/2025

A nova realidade da inteligência artificial e dos dados para as organizações

ROUND TABLE . 10/07/2025

As plataformas e aplicações empresariais na reinvenção dos negócios

ROUND TABLE . 15/05/2025

ITInsight
Logo IT-Insight Logo IT-Channel Logo IT-Security Logo Smart Planet
Logo Media Next Logo Linkedin
Copyright © 2013 - 2026 Media Next . All Rights Reserved
O nosso website usa cookies para garantir uma melhor experiência de utilização.