Por Patrícia Domingos, Client Manager na askblue
A revolução digital trouxe enormes oportunidades de crescimento para empresas e instituições, mas também expôs vulnerabilidades crescentes. A União Europeia decidiu responder a esta realidade com a Diretiva NIS2, aprovada em 2022, que substitui e amplia a anterior diretiva NIS (em vigor desde 2016). O objetivo é claro: reforçar a resiliência cibernética em todos os Estados-Membros e criar um quadro regulatório mais homogéneo e exigente, abrangendo setores críticos.
Uma das mudanças mais significativas em relação ao regime anterior é a inclusão das empresas de média dimensão em setores considerados críticos. O regulamento agora não se limite às grandes corporações, traz milhares de novas entidades para o universo regulado.
A Diretiva NIS2 deveria ter sido transposta para a legislação nacional dos Estados-Membros até 17 de outubro de 2024. No entanto, Portugal ainda não cumpriu esse prazo – devido às alterações do governo ainda não foi possível transcrever para a lei nacional. O Centro Nacional de Cibersegurança (CNCS) está a desenvolver orientações técnicas para apoiar as entidades na implementação da NIS2, mas a falta de uma legislação nacional clara dificulta o planeamento e a conformidade das empresas portuguesas.
Quem são as empresas de média dimensão? De acordo com a definição da União Europeia, uma empresa de média dimensão é aquela que tem entre 50 e 249 trabalhadores, e um volume de negócios anual até 50 milhões de euros ou um balanço anual até 43 milhões de euros. Ou seja, muitas empresas que até agora estavam fora do radar regulatório passam a estar sujeitas às mesmas regras de cibersegurança que os grandes operadores.
Quando é que uma empresa média fica abrangida? A regra é simples: se a empresa atuar num dos setores críticos listados na NIS2, fica automaticamente abrangida. Estes setores incluem, entre outros: energia, transportes, saúde, serviços bancários e financeiros, administração pública, gestão de água potável e águas residuais, infraestruturas digitais, resíduos, produção e distribuição alimentar, serviços postais e centros de dados.
Apresentamos alguns exemplos práticos:
- Um hospital privado com 120 colaboradores será abrangido.
- Uma empresa de logística com 70 funcionários, que assegura transporte essencial, terá de cumprir a diretiva.
- Já uma PME industrial com 80 trabalhadores fora dos setores críticos não é diretamente abrangida — a menos que seja fornecedora crítica de uma entidade essencial.
Mais do que números: a criticidade! Importa sublinhar que, para além dos critérios de dimensão, as autoridades nacionais, em Portugal, o Centro Nacional de Cibersegurança (CNCS), podem classificar como abrangidas entidades que, mesmo sendo mais pequenas, desempenhem um papel vital para a economia ou para a sociedade.
Este alargamento do âmbito da diretiva representa um desafio adicional para as PME portuguesas, que terão de implementar todas as medidas de cibersegurança exigidas, o que implica investimento em tecnologia, sistemas, ferramentas, redefinição de processos e formação de equipas para cumprir obrigações mais exigentes de segurança digital. Para uma média empresa, há sempre o dilema de equilibrar este investimento com outros projetos estratégicos de negócio já em curso.
Para médias empresas portuguesas, compreender os impactos da sua aplicação, ou da sua não aplicação, é fundamental para garantir segurança, compliance e competitividade. A NIS2 traz também penalizações significativas em caso de incumprimento — até 2% do volume de negócios global. A responsabilidade recai diretamente sobre a gestão e isso cria pressão para garantir que estão 100% conformes, sem lacunas na governação da cibersegurança.
Para quem quer começar a preparar a empresa para a NIS2, é essencial manter-se informado e seguir as orientações das autoridades competentes. A boa notícia é que o Centro Nacional de Cibersegurança (CNCS) disponibiliza recursos, guias e recomendações práticas para apoiar empresas na implementação das medidas exigidas.
