Entre normas e exigências: Como navegar na cibersegurança da UE

O quadro regulatório europeu está a ganhar forma: em 2024, já assistimos a um cenário de cibersegurança em rápida transformação. À medida que avançamos em 2025, torna-se evidente que este será um ano decisivo para a conformidade, com as empresas a enfrentarem desafios cada vez mais exigentes na adaptação às novas regulamentações.

Miguel Gonçalves, Presidente da Associação Portuguesa para a Promoção da Segurança da Informação (AP2SI)

No meio da adaptação às novas exigências, a sobrecarga para as empresas é uma questão incontornável. Se, por um lado, a regulamentação pretende reforçar a segurança e resiliência, por outro, pode gerar um labirinto de obrigações. Para muitas organizações, sobretudo as Pequenas e Médias Empresas (PME), o desafio não é apenas cumprir, mas também compreender plenamente o que lhes é exigido, enfrentado custos adicionais e necessidade de recursos especializados que nem sempre têm disponíveis.

Miguel Gonçalves, Presidente da Associação Portuguesa para a Promoção da Segurança da Informação (AP2SI), alerta para esta realidade. Embora regulamentações europeias como a Diretiva NIS2, o RGPD e o Cybersecurity Act tenham sido reforçadas para harmonizar a proteção digital na União Europeia (UE), “ainda existem desafios na sua articulação, com algumas disposições a sobreporem- se e a gerar ambiguidades”.

O ecossistema regulatório europeu: as principais normas em 2025

Antes de enfrentarmos os desafios, é essencial situarmo-nos no contexto regulatório em que nos encontramos, de forma a tomar decisões informadas e alinhadas com o complexo cenário em constante evolução. O puzzle regulatório europeu está a ser montado peça por peça – com cada norma a contribuir para o quadro geral. Para facilitar a compreensão, podemos agrupar as principais regulamentações em quatro áreas chave: cibersegurança e resiliência, conformidade e certificação, tecnologia e inovação e proteção jurídica.

• Cibersegurança e resiliência:

  • Diretiva NIS 2 – A Diretiva NIS2 e a sua transposição “têm como propósito a harmonização das medidas de segurança das redes e da informação em toda a União Europeia”, de acordo com Mafalda de Brito Fernandes, sendo que deve estabelecer exigências rigorosas para setores essenciais, incluindo energia, transportes e saúde.
  • Cyber Resilience Act (CRA) – O Cyber Resilience Act introduz novas obrigações para os fabricantes de software e hardware, com foco na segurança dos produtos digitais. Esta norma visa garantir que os produtos digitais sejam resilientes desde o seu desenvolvimento até o final do seu ciclo de vida.
  • Cyber Solidarity Act – O Cyber Solidarity Act propõe estratégias de cooperação europeia para a resposta e mitigação de ciberataques, enfatizando a colaboração entre os Estados- Membros da União Europeia (UE) e as empresas privadas. Esta norma visa fortalecer a capacidade coletiva de resposta a ciberameaças, oferecendo apoio mútuo em casos de ciberincidentes.
  • Diretiva Resiliência das Entidades Críticas (RCE) – A RCE, “já transposta para o ordenamento jurídico português através do Decreto-Lei n.º 22/2025, de 19 de março”, impõe novas obrigações para setores como energia, água e transportes. Como afirma Mafalda de Brito Fernandes, “esta diretiva seguirá os mesmos princípios e modos de atuação que a lei geral (Diretiva NIS2), mantendo como pontos essenciais a definição de planos de segurança que assegurem a proteção das redes, dos sistemas e dos dados, o desenvolvimento de planos de continuidade de negócio e de notificação de incidentes, a promoção da formação dos colaboradores e a cooperação setorial entre entidades e infraestruturas críticas e as entidades competentes nesta matéria”.

• Conformidade e certificação:

  • DORA (Digital Operational Resilience Act) – O DORA exige robustez operacional no setor financeiro, abordando as exigências de resiliência e continuidade operacional diante de falhas. As empresas que operam no setor financeiro devem garantir que os sistemas e redes sejam resilientes e capazes de resistir a ciberataques, a fim de proteger a integridade dos serviços financeiros essenciais.
  • Esquema Europeu de Cibersegurança sobre Critérios Comuns (EUCC) – O EUCC visa estabelecer critérios comuns para a certificação de produtos e serviços digitais, um passo importante para a harmonização das normas de segurança em toda a União Europeia. A advogada sublinha que “o cumprimento dos critérios do EUCC pode representar uma vantagem competitiva para as empresas que adotarem rapidamente estas normas, posicionando-as como fornecedores de confiança num mercado global cada vez mais exigente”.

• Tecnologia e inovação:

  • AI Act – O AI Act estabelece regras para a utilização segura e ética da Inteligência Artificial (IA), impactando diretamente a cibersegurança. Esta normativa regula a utilização de sistemas de IA que possam afetar a segurança, a privacidade e os direitos dos cidadãos, garantindo que as empresas adotem práticas responsáveis na implementação de tecnologias de IA.

• Proteção jurídica:

  • Lei do Cibercrime – A Lei do Cibercrime, que foi atualizada para combater ameaças digitais emergentes, assegura que as empresas e indivíduos que operam no espaço digital estejam em conformidade com as novas exigências legais. Esta legislação visa garantir a segurança no ambiente digital, punindo práticas de cibercrime e dando reforço à necessidade de proteção de dados e sistemas.

Integração normativa e desafios em 2025

	Bruno Marques, Presidente da Direção da CIIWA

“A integração entre os diferentes quadros regulatórios, como a NIS2, o DORA e o Cyber Resilience Act, apresenta tanto benefícios quanto desafios, e é um tema crítico no contexto da compliance”, diz Bruno Marques, Presidente da Direção da CIIWA. Apesar do objetivo comum de “aumentar a coesão da cibersegurança e a resiliência das organizações, enquanto enablers da estratégia digital da UE”, existem sobrecargas e potenciais contradições que precisam de ser geridas. Como, aliás, reforça Ricardo Marques, Head of GRC Iberia na Thales S21Sec, “o maior desafio é mesmo conciliar todas as normas aplicáveis a uma organização e ser capaz de garantir a conformidade com todas”.

Cada regulamentação tem um foco distinto: “a NIS2 foca-se mais na cibersegurança nos denominados Setores Essenciais. Já o DORA tem um foco mais específico na resiliência operacional no setor financeiro, exigindo que as empresas se preparem para resistir a falhas operacionais cibernéticas. Por fim, o Cyber Resilience Act procura fortalecer a resiliência de produtos digitais, incentivando a segurança no ciclo de vida do desenvolvimento de produtos e a mitigação de vulnerabilidades”. No entanto, existem elementos comuns entre elas, como “a orientação ao risco, envolvendo o risco de terceiros e, por outro, a exigência de um sistema de gestão integrado de cibersegurança, ancorado numa cultura de segurança de informação, a começar pela gestão do topo”.

Como destaca Miguel Gonçalves, “a conformidade com múltiplas regulamentações pode representar um desafio para as empresas, especialmente para as PME, que muitas vezes dispõem de menos recursos para garantir o cumprimento das exigências legais”. O risco de sobrecarga regulatória existe “sobretudo quando diferentes normativos impõem requisitos complexos e exigem investimentos significativos em tecnologia e formação”.

No entanto, para o especialista, “essa conformidade também pode ser encarada como uma oportunidade para reforçar a segurança, melhorar a resiliência operacional e aumentar a confiança dos clientes e parceiros”. Um dos desafios mais evidentes não está apenas na redundância entre as regulamentações, mas sim na forma como as empresas devem gerir o reporte de informação: “mais do que as diferenças entre as regulamentações setoriais que muitas vezes criam redundância, salientaria a necessidade de reporte a entidades reguladoras e fiscalizadoras setoriais diferenciadas, como sendo um dos motivos de uma eventual crescente entropia, num dos domínios base para o sucesso de uma estratégia de cibersegurança, a comunicação”.

O equilíbrio entre segurança e viabilidade operacional é outro ponto crucial. Bruno Marques realça que “embora existam desafios evidentes em conseguir encontrar um equilíbrio perfeito entre cibersegurança e viabilidade operacional”, as empresas podem alcançar esse equilíbrio adotando “uma abordagem estratégica tendo no centro a Gestão ao Risco”. A chave está em aplicar princípios de custo-benefício e investimento proporcional, garantindo que a cibersegurança não se torne um entrave às operações. Além disso, “quando bem implementadas, as medidas de cibersegurança e as exigências de resiliência podem, na verdade, garantir a viabilidade operacional a longo prazo”, contribuindo para a redução de riscos, o fortalecimento da confiança dos clientes e a eficiência operacional.

Elementos-chave para fortalecer a cibersegurança

Para garantir que as empresas se adaptem com sucesso às novas regulamentações de cibersegurança e resiliência digital, é fundamental adotar práticas estratégicas que não apenas cumpram as exigências legais, mas que também integrem a cibersegurança e a conformidade no cerne da sua operação.

Mafalda de Brito Fernandes, Advogada da Cuatrecasas

Mafalda de Brito Fernandes enfatiza a importância de uma abordagem proativa na identificação de riscos, já que se trata de “estar um passo à frente daquilo que já observámos que é uma tendência regulatória atual. Quer através de leis gerais, leis especiais, leis europeias ou leis nacionais, a gestão de risco é, de forma transversal a todos os diplomas, o ponto de partida”, isto é, “a identificação de cenários de risco associados ao modelo de negócio, ao setor e à exposição a que a empresa está sujeita” deve ser o primeiro passo para garantir a conformidade.

A especialista sugere que, após a identificação, é essencial “monitorizar, atualizar e redirecionar medidas de segurança sempre que necessário”, o que ajuda as empresas a focar nos seus esforços em áreas mais críticas e alinhadas aos seus riscos. A implementação de soluções como MFA (autenticação multifator) e gestão de identidades é destacada como essencial para “garantir que apenas utilizadores autorizados tenham acesso a sistemas e informações confidenciais”.

Para uma maior resiliência digital, a advogada defende o uso de frameworks como o Zero Trust e o SASE. Segundo Mafalda de Brito Fernandes, o Zero Trust, com sua “segmentação de redes e controlo de acesso baseado em políticas rigorosas”, reduz significativamente a superfície de ataque. Já o SASE, com a sua “monitorização centralizada”, permite uma melhor visibilidade sobre o tráfego de rede, o que facilita uma resposta rápida a incidentes. Salienta também que a implementação dessas frameworks exige um “conhecimento profundo da infraestrutura digital”, essencial para garantir eficácia.

De acordo com Bruno Marques uma das estratégias mais eficazes passa pela construção de um sistema de gestão integrado de segurança da informação. O Presidente da Direção da CIIWA destaca que “as organizações devem investir no seu talento” para planear e implementar medidas de segurança adequadas, ou, quando necessário, procurar “parcerias com serviços especializados”. Em relação à governança, enfatiza que “o maior envolvimento das lideranças e da capacidade de gestão” é crucial para o sucesso da implementação de medidas de cibersegurança, sendo que muitas vezes é necessário contar com “agentes externos de mudança que trabalhem lado a lado com talento interno”.

O Presidente da AP2SI realça também a importância de “responsabilidade e noção do risco”: “ninguém no seu perfeito juízo sai de casa e deixa a porta completamente aberta”. Miguel Gonçalves alerta para a necessidade de “capacitar adequadamente a sociedade”, especialmente a camada decisora, de modo a garantir que as boas práticas em cibersegurança sejam efetivamente materializadas. Assim, a sensibilização contínua e eficaz é vista como essencial para a criação de uma cultura de segurança dentro das organizações.

Adicionalmente, Ricardo Marques propõe a certificação com normas internacionais, como a ISO/ IEC 27001:2022, como uma das melhores formas de preparar as empresas para as exigências regulatórias. O Head of GRC Iberia na Thales S21Sec argumenta que o alinhamento com esta norma oferece “uma base sólida” que permitirá às organizações “garantir um alinhamento de 90% ou mais com algumas das normas atuais”, como a NIS2, e facilitará a adaptação às futuras exigências. Embora o processo de certificação envolva esforço e custo, a vantagem a longo prazo é a “eficiência na adaptação” e a capacidade de “responder a clientes e parceiros” sobre a conformidade da organização.

Cibersegurança em Portugal e as normas europeias

A implementação das normas europeias de cibersegurança em Portugal está a enfrentar desafios significativos, especialmente devido à demora na transposição da diretiva NIS2 e à falta de uma estrutura clara para apoiar as organizações neste processo. Segundo Ricardo Marques, “falta uma coisa essencial, que é finalizar a transposição da diretiva NIS2 para o nosso país. A mesma foi aprovada em Conselho de Ministros, mas a sua publicação pode agora ser afetada pela queda do Governo e por termos novamente eleições”.

No entanto, o especialista vê uma maior consciência nas empresas de que “esse alinhamento é necessário”: “notou-se uma diferença entre a diretiva NIS e agora a NIS2. No caso da NIS, e bastante tempo depois de ser publicado o DL65/2021, ainda existiam muitas organizações que não sabiam do que se tratava e que tinham de estar em conformidade com o mesmo. Agora com a NIS2, e apesar de ainda não estar concluída a transposição para a legislação nacional, a maioria das organizações está bastante atenta”, muito embora seja “devido ao facto de esta ser bastante mais abrangente, mais exigente e mais penalizadora”.

	Ricardo Marques, Head of GRC Iberia na Thales S21Sec

Além disso, segundo o Head of GRC Iberia na Thales S21Sec, existe a necessidade de um direcionamento mais concreto por parte das autoridades nacionais: “falta uma estrutura forte para poder apoiar as organizações neste caminho de conformidade. O Centro Nacional de Cibersegurança (CNCS) tem lançado algumas iniciativas e documentação nesta área, mas falta uma orientação clara para que as organizações saibam exatamente o que necessitam fazer para estarem em conformidade com os vários normativos”, afirma.

O setor público surge como um dos mais vulneráveis no cumprimento das exigências regulatórias. Para Miguel Gonçalves, esta fragilidade deve-se a “um parque tecnológico mais antigo, da dificuldade em reter e contratar especialistas para os seus quadros, fruto da inexistência de condições de carreira atrativas no respetivo setor”.

Outro problema identificado é a escassez de profissionais qualificados na área da cibersegurança. Apesar do aumento do número de cursos superiores e de especialização, a oferta ainda está aquém da procura. “A taxa de empregabilidade é das mais altas nesta área de conhecimento, no entanto, continua a existir uma enorme falta de profissionais qualificados”, alerta o Presidente da AP2SI. Essa lacuna reflete-se inclusive na gestão de topo, onde “o pelouro da segurança da informação e cibersegurança está enumeras vezes entregue a direções financeiras ou técnicas”.

Portugal tem feito avanços significativos na implementação de normas europeias como a NIS2, DORA e o Cyber Resilience Act, mas ainda existem desafios, particularmente para as pequenas e médias empresas. Bruno Marques refere que “um estudo recente da Marsh revelou que os controlos de cibersegurança das pequenas e médias empresas na União Europeia estão, em média, 15% abaixo dos das grandes organizações”. Além disso, “80% das grandes empresas têm implementados controlos de cibersegurança, contra ainda 65% das PME”.

Mafalda de Brito Fernandes destaca que “as grandes empresas levam uma vantagem face às PME, na medida em que dispõem de mais recursos tecnológicos, financeiros e humanos para estarem mais confiantes com a plena aplicação destes diplomas”. Por outro lado, alerta que estas grandes empresas também enfrentam dificuldades: “têm a desvantagem de ter um número muito mais elevado de ativos, processos, infraestrutura e entidades terceiras para identificar, classificar e gerir do que as PME”. No entanto, muitas destas organizações já iniciaram este processo nos últimos anos e estão agora numa posição mais favorável para cumprir com as novas exigências regulatórias.

Para colmatar estas falhas, o Presidente da Direção da CIIWA defende um investimento em formação, uma vez que se torna “decisivo apostar mais nos recursos humanos, em programas de formação contínuos e incentivos ao desenvolvimento de competências”.

A adoção de estratégias bem definidas pode consolidar a posição de Portugal neste cenário. Para Bruno Marques, “a combinação dessas ações permitirá que Portugal fortaleça a sua posição na implementação e supervisão das normas europeias, melhorando a segurança e a resiliência operacional, ao mesmo tempo em que mantém a competitividade das suas empresas no mercado global”.