Por Miguel Silva, CEO da Datatekin
A NIS2 está em vigor desde 3 de abril e o calendário deixou de ser uma agenda regulatória para passar a ser um cronómetro. Os prazos para nomeação do responsável de cibersegurança e registo no CNCS já correm, e a adaptação sem coimas plenas até abril de 2027 não é uma moratória, é uma janela curta. À exceção da Banca, a maioria das empresas não está preparada. Não por falta de investimento tecnológico, mas por falta de consciência sobre onde reside hoje o verdadeiro risco digital.
A diretiva aplica-se a empresas em setores críticos, mas também a entidades que integram as suas cadeias de abastecimento. O critério deixou de ser o setor para passar a ser o impacto potencial e o grau de dependência que terceiros têm na organização. Esta abordagem baseada no risco, faz com que o perímetro relevante deixe de ser apenas o interno (redes, servidores, firewalls) e passe a incluir explicitamente fornecedores tecnológicos, fluxos de dados, serviços cloud e tecnologias de terceiros integradas em websites e plataformas digitais. É neste perímetro alargado que muitas organizações continuam a ter visibilidade limitada e controlo insuficiente.
A NIS2 não exige um controlo absoluto de todas as dependências, mas medidas proporcionais e baseadas no risco. Isso inclui serviços na cloud, fornecedores tecnológicos e, algo ainda frequentemente subestimado, as múltiplas ferramentas de analytics, marketing, publicidade, personalização ou consentimento que executam código nos canais digitais. Cada uma destas integrações representa um elo da cadeia de fornecimento com impacto direto na segurança e na resiliência dos sistemas.
Na prática, muitas empresas não sabem quantas tecnologias externas estão ativas nos seus websites, que dados recolhem, para onde os enviam ou como evoluem ao longo do tempo. Ainda assim, assumem estar em conformidade com base em avaliações incompletas ou pressupostos não validados. Acreditam que os seus sistemas são seguros porque “nunca houve um incidente”. Essa crença não é uma estratégia, é uma aposta.
Este cenário agrava-se porque estas tecnologias vivem, muitas vezes, numa zona cinzenta de responsabilidade. Estão frequentemente sob a gestão de áreas de negócio como o Marketing, nem sempre integradas de forma sistemática nos processos de IT e segurança. O resultado é uma fragmentação da governação que a NIS2 deixa de permitir. A diretiva não pede boas intenções nem declarações de princípio. Exige evidência de controlo, processos claros e responsabilização ao mais alto nível.
Essa evidência traduz-se, na prática, em políticas documentadas de gestão de risco, inventários atualizados de ativos e fornecedores, auditorias periódicas e mecanismos de monitorização contínua que demonstrem supervisão efetiva.
Há ainda um fator adicional que aumenta o nível de risco: a inteligência artificial. Os modelos de IA estão a começar a influenciar decisões comerciais, operacionais e estratégicas, mas continuam a ser alimentados por cadeias de dados frágeis, instáveis e, muitas vezes, mal governadas. Pequenas falhas que antes teriam impacto limitado podem agora escalar rapidamente e distorcer decisões automatizadas. Não existe IA fiável sem dados fiáveis, e não existe fiabilidade sem governação.
É neste contexto que muitas organizações podem falhar o teste da NIS2, não pela utilização de IA si, mas pela fragilidade da governação dos dados e das dependências que a suportam. Não porque ignorem a cibersegurança, mas porque continuam a confundir recolha de dados com controlo de dados. Continuam a investir em mais tecnologia, sem garantir que a tecnologia existente é conhecida, supervisionada e auditável.
Este não é o momento para projetos ambiciosos ou transformações longas. É o momento para fazer o básico bem feito: mapear dependências externas, obter visibilidade contínua sobre as tecnologias ativas, definir processos mínimos de governação e estabelecer responsabilidades claras entre áreas.
A NIS2 já cá está e deixou de haver desculpas para adiar. A administração é, por lei, responsável. Os prazos correm e as coimas chegam aos dez milhões de euros ou 2% do volume de negócios global. Quem se mover agora, com método, transforma a obrigação em vantagem. Quem esperar pela primeira notificação do regulador ou pela primeira falha numa due diligence, vai negociar em posição fragilizada e a um custo várias vezes superior, não se mede em multas evitadas, mas em contratos ganhos e confiança de mercado consolidada. A conformidade com a NIS2 distingue quem antecipa de quem é apanhado a reagir.