Sofia Nair Barbosa, Jornal SOL
O risco tecnológico passa a integrar o mapa global de riscos das organizações, ao lado do risco financeiro, operacional ou reputacional.
A transposição da Diretiva NIS 2 marca uma mudança profunda na forma como Portugal aborda a cibersegurança. A Lei n.º 59/2025, de 22 de outubro, coloca a governação digital no centro das responsabilidades empresariais e institucionais, desafiando a cultura organizacional e o modelo de liderança do país.
A entrada em vigor da DIRETIVA (UE) 2022/2555 Do Parlamento Europeu e do Conselho de 14 de dezembro de 2022 – conhecida como NIS 2 – representa uma evolução profunda no quadro regulatório europeu da cibersegurança. A sua transposição para o ordenamento jurídico português, através da Lei n.º 59/2025, de 22 de outubro, não é apenas um exercício legislativo: é um teste à maturidade das organizações nacionais e à capacidade do Estado em garantir uma coordenação eficaz neste domínio.
Durante demasiado tempo, a cibersegurança foi tratada como uma questão técnica, confinada aos departamentos de IT ou a prestadores de serviços especializados. A NIS 2 altera radicalmente esta abordagem, defendendo que a segurança digital passa a ser também, uma questão de governação corporativa, e, portanto, uma responsabilidade direta da administração e da gestão de topo.
Responsabilidade e governação
A diretiva impõe que os órgãos de administração assumam a responsabilidade pela gestão de riscos de cibersegurança, pela implementação de novas políticas adequadas e pela monitorização dos controlos internos. A negligência ou falta de diligência em matéria de segurança poderá traduzir-se em sanções financeiras significativas. No caso das entidades essenciais, as coimas podem ascender a 10 milhões de euros ou a 2% do volume de negócios global da entidade, prevalecendo o valor mais elevado. Para as entidades classificadas como importantes, as coimas podem atingir 7 milhões de euros ou 1,4% do volume de negócios global, consoante o montante superior. Para além do regime sancionatório de natureza pecuniária, a diretiva confere às autoridades nacionais competências para aplicar outras medidas corretivas em caso de incumprimento, incluindo a possibilidade de ordenar a suspensão ou limitação temporária das atividades de uma entidade, sempre que tal se revele necessário para salvaguardar a segurança das redes e dos sistemas de informação.
Esta mudança tem um efeito transformador: o risco tecnológico passa a integrar o mapa global de riscos das organizações, ao lado do risco financeiro, operacional ou reputacional. A proteção da informação e a continuidade digital passam a ser componentes centrais do sistema de controlo interno. A governação digital deixa de ser opcional e torna-se parte integrante da sustentabilidade e da confiança empresarial.
Cultura e maturidade organizacional
O maior desafio pode ser cultural.
Em grande parte do tecido organizacional, a cibersegurança é ainda tratada como uma obrigação periférica, ditada pela regulação. A NIS 2 obriga a ir além do cumprimento: a integrar a segurança no ADN da governação e a transformar a conformidade em resiliência.
A diretiva reconhece explicitamente que a vulnerabilidade humana é o elo mais fraco das defesas digitais. Por isso, impõe formação contínua a gestores e trabalhadores, sublinhando que a segurança não se garante apenas com tecnologia, mas com consciência organizacional e disciplina operacional.
As empresas portuguesas, em especial as de média dimensão, terão de rever os seus modelos de gestão e integrar o risco digital como dimensão estratégica da decisão. A conformidade legal, por si só, não assegura resiliência: é a mudança de cultura e de responsabilidade interna que distingue o cumprimento formal da verdadeira governação.
Do risco corporativo à soberania digital
A NIS 2 não é apenas um diploma económico, é também uma afirmação de soberania europeia.
Num cenário marcado pela instabilidade geopolítica e pelo aumento dos ciberataques transnacionais, proteger as infraestruturas críticas – da energia às telecomunicações, da saúde aos transportes – é, mais do que nunca, uma questão de segurança nacional.
A lei portuguesa prevê o reforço das competências do Centro Nacional de Cibersegurança (CNCS) e a criação do Conselho Superior de Segurança do Ciberespaço, estruturas que deverão coordenar e supervisionar a execução do novo regime. No entanto, a eficácia dependerá da capacidade de articulação entre entidades públicas e privadas e da agilidade na resposta a incidentes complexos.
Oportunidade e responsabilidade
A NIS 2 não é apenas um conjunto de obrigações. É uma oportunidade para que as organizações portuguesas elevem os seus padrões de governação e integrem a cibersegurança como um pilar estratégico de sustentabilidade e confiança.
O futuro distinguirá as entidades que encaram este enquadramento como um fardo burocrático daquelas que o transformam em vantagem competitiva.
A diretiva é, em última análise, um espelho que refletirá o nível de responsabilidade, planeamento e visão de cada organização e de cada gestor.
A Europa constrói o seu escudo digital. Portugal deve decidir se o reforça, ou se permanece a vulnerabilidade que todos procuram proteger.