Quando comecei a trabalhar como consultor, falar de cibersegurança nas organizações era quase sempre falar de conformidade não obrigatória. Quadros de boas práticas, recomendações, normas voluntárias. Algo que era conveniente ter, que dava valor aos clientes ou parceiros, mas que raramente condicionava decisões estratégicas.
Além disso, trata-se de um território claramente técnico. Era delegado a especialistas, tratado em termos de sistemas, controlos e configurações, e estava longe das mesas onde se decidia realmente a direção da organização.
Com o passar do tempo, essa paisagem mudou radicalmente.
Primeiro, porque os incidentes deixaram de ser cenários hipotéticos e passaram a ser uma realidade quotidiana. Depois, porque o seu impacto deixou de ser medido apenas em termos técnicos e começou a ser expresso em termos de interrupções de serviço, perda de confiança, sanções, responsabilidades legais e exposição pública.
Esta mudança de escala fez com que a conformidade passasse progressivamente de uma opção recomendada para um requisito legislativo. Mas também revelou algo menos óbvio e mais desconfortável:
A Diretiva SRI2 é uma manifestação clara desta mudança de paradigma.
A cibersegurança já não é uma questão puramente técnica, mas uma responsabilidade da empresa, partilhada e supervisionada pela direção. A segurança já não é algo que possa ser simplesmente delegado: é uma questão de liderança, discernimento e responsabilidade.
Não é por acaso que, nos últimos meses, o NIS2 começou a aparecer nas discussões do comité executivo. É frequentemente mencionada, mas raramente explicada com calma ou em toda a sua dimensão. Porque a NIS2 não é apenas uma nova norma europeia: reflecte uma mudança histórica na forma como a segurança digital é entendida.
Com esta diretiva, a União Europeia responde ao aumento constante dos ciberincidentes e à crescente dependência das infra-estruturas digitais e dos serviços essenciais. A cibersegurança é agora considerada uma questão de interesse público e não apenas empresarial.
O dia 18 de outubro de 2024 marcou um ponto de viragem: a diretiva entrou em vigor. Em Espanha – tal como noutros Estados-Membros – a transposição para o direito nacional ainda está pendente, o que gera incerteza. Mas esta incerteza não deixa espaço para a inação.
Resumo executivo para o comité diretor
Se te restarem apenas algumas ideias-chave sobre o NIS2, estas devem ser as ideias:
- A cibersegurança já não é uma questão técnica.
A NIS2 transfere a responsabilidade para a gestão e a governação. Já não se trata de algo que se delega sem acompanhamento, mas de uma questão que exige discernimento, supervisão e responsabilização. - Conformidade não é sinónimo de proteção.
A diretiva não pretende acumular controlos, mas sim garantir que as organizações gerem os seus riscos de forma realista, especialmente no que diz respeito à continuidade dos serviços e à cadeia de abastecimento. - A NIS2 não é uma norma técnica, é um quadro de governação.
Não prescreve ferramentas ou configurações específicas. Exige decisões, processos e provas para demonstrar uma gestão responsável da segurança. - O risco já não é apenas interno.
Os fornecedores, terceiros e instalações críticas fazem parte do perímetro de responsabilidade. Muitos dos incidentes mais graves ocorrem precisamente nestes pontos cegos. - A preparação não é um projeto isolado, mas um sistema.
Diagnóstico, governação, avaliação dos riscos, medidas proporcionadas, formação e revisão contínua. A SRI2 é cumprida através da sua integração no funcionamento normal da organização e não através de acções isoladas.
É esta a lógica da abordagem da diretiva: menos urgência reactiva e mais construção de um sistema que permita a tomada de decisões, a ação e a demonstração coerentes.
O que é realmente o NIS2
A NIS2 é uma diretiva europeia que estabelece um nível mínimo comum de cibersegurança para as organizações que operam em sectores considerados críticos ou essenciais. Substitui a primeira Diretiva SRI e alarga significativamente o seu âmbito, requisitos e regime de sanções.
Não se trata de uma norma técnica que te diga como configurar sistemas ou que ferramentas específicas utilizar. O seu objetivo é outro: garantir que determinadas organizações gerem a segurança da informação de forma responsável, estruturada e controlada.
Por conseguinte, a NEI2 coloca menos ênfase na tecnologia concreta e mais na governação, na tomada de decisões e na capacidade de demonstrar que se está a exercer um juízo de valor.
A quem se aplica o NIS2
Uma das primeiras perguntas que muitas organizações fazem é se a NIS2 as afecta realmente. A resposta nem sempre é óbvia, mas a diretiva baseia-se em três critérios principais:
- Localização: opera ou presta serviços na União Europeia.
- Dimensão: principalmente médias e grandes empresas, com excepções relevantes.
- Setor de atividade: desde que esteja incluído nos sectores críticos definidos.
Além disso, a NEI2 distingue entre instituições críticas e significativas, uma classificação que determina o nível de supervisão e o regime sancionatório aplicável.
Alguns exemplos ajudam-te a compreender melhor a questão. Um hospital é claramente abrangido pelo âmbito de aplicação das entidades essenciais. Um fornecedor de serviços em nuvem ou de infra-estruturas digitais está diretamente sujeito à diretiva. Um fabricante pode ser afetado se fizer parte de uma cadeia de abastecimento crítica. E muitas empresas que prestam serviços digitais a terceiros estão abrangidas, mesmo que nem sempre tenham consciência disso.
A chave é compreender que já não é apenas o que fazes internamente que importa, mas para quem o fazes e qual o impacto que a tua atividade tem no sistema como um todo.
A diretiva distingue dois tipos de entidades em função do seu carácter crítico. É essencial identificar em que grupo se insere a tua organização para compreender o nível de supervisão a que estarás sujeito:
| Categoria | Entidades essenciais | Entidades relevantes |
| Sectores | Energia, saúde, banca, infra-estruturas digitais. | Indústria transformadora, alimentação, gestão de resíduos, serviços postais. |
| Monitorização | Proactiva: A autoridade pode efetuar auditorias em qualquer altura. | Reativo: Monitorizado após indicações de incumprimento ou incidente. |
| Coimas máximas | 10 milhões de euros ou 2% do volume de negócios global. | 7 milhões ou 1,4% do volume de negócios global. |
O que o NIS2 requer
O NIS2 introduz um conjunto de obrigações claras que, vistas de fora, podem parecer exigentes, mas que são razoáveis quando abordadas numa lógica de boa governação.
A primeira grande mudança tem a ver com a governação. A liderança deixou de ser opcional. A direção deve participar ativamente na gestão da cibersegurança, aprovando as medidas necessárias, controlando os riscos e assumindo a responsabilidade.
Em segundo lugar, a diretiva coloca a tónica na gestão do risco, com especial destaque para a cadeia de abastecimento. A questão já não é apenas “estamos protegidos”, mas sim “o que acontece se um fornecedor ou serviço chave de que dependemos falhar”.
Com base nesta análise, a NIS2 apela a medidas mínimas que não devem ser interpretadas como requisitos técnicos complexos, mas sim como práticas organizacionais básicas: políticas claras, controlo do acesso, planos de continuidade, gestão de incidentes e utilização proporcional da criptografia.
Outro elemento fundamental são as obrigações de informação, com prazos rigorosos que exigem preparação prévia e coordenação entre diferentes áreas. Neste contexto, a improvisação já não é uma opção viável.
O que acontece se não for cumprida
O regime sancionatório da NIS2 é significativamente mais severo do que o da diretiva original. Mas reduzir o seu impacto às coimas seria um erro.
O verdadeiro risco é reputacional, contratual e operacional. O incumprimento pode resultar na perda de confiança, na exclusão de concursos, na rescisão de contratos ou na interrupção de serviços críticos. E, em muitos casos, os danos mais difíceis de reparar não são os económicos, mas sim os de credibilidade.
Começar: um percurso prático e realista
A conformidade com a NIS2 não é um projeto pontual ou um exercício de preenchimento de formulários. Trata-se de um processo contínuo que deve ser integrado no funcionamento normal da organização.
Uma abordagem sensata começa normalmente com um diagnóstico honesto. A partir daí, é importante definir uma governação clara e realizar uma avaliação dos riscos para dar prioridade aos esforços.
Com base nisso, constrói um plano de ação realista, acompanhado de documentação clara e consistente. A formação, os testes e a revisão periódica completam o ciclo.
A segurança não se acelera sem pagar um preço: requer tempo, repetição e uma certa humildade organizacional.
Relação com outros quadros: não começar do zero
Em muitos casos, o desafio não é implementar algo novo, mas ordenar o que já existe, dar-lhe uma lógica de governação e ser capaz de a demonstrar de forma consistente.
A NIS2 é claramente coerente com quadros como a ISO 27001, o Sistema Nacional de Segurança ou outros sistemas de gestão. Muitas organizações já dispõem de práticas e provas reutilizáveis.
Conclusão: A NIS2 não é apenas um requisito, é uma oportunidade.
O NIS2 marca um antes e um depois. Impõe obrigações, mas também abre uma oportunidade clara para profissionalizar a cibersegurança, reforçar a resiliência e reforçar a confiança do mercado.
Não se trata de “sobreviver ao NIS2”, mas de o utilizar como uma alavanca para fazer as coisas melhor.
Cumprir a NIS2 não é uma questão de acumular documentos, mas sim de saber que riscos são assumidos, quem decide sobre eles e como demonstrar que são geridos de forma responsável.
À medida que a organização cresce, essa visão deixa de ser gerível através da memória e de folhas soltas de papel. Nessa altura, dispor de um sistema que ligue riscos, decisões, provas e revisão contínua permite que a responsabilidade continue a ser gerível sem se diluir.
Na ithikios trabalhamos precisamente a partir desta lógica: ajudar a transformar o NIS2 num sistema governável ao longo do tempo e não num exercício de conformidade pontual.
