Por Marcelo Nascimento, Head of Cybersecurity da agap2IT
Nos últimos anos, tenho participado de conversas com Executivos, C-Level e administradores que começam sempre da mesma forma: “Estamos protegidos?” “Estamos compliant?” “O que precisamos fazer em relação à NIS2?”. Quase nunca a primeira pergunta é: Quem lidera, de forma estruturada, o risco digital da organização?
A Diretiva NIS2 não criou o risco. Ela apenas tornou visível uma fragilidade estrutural que já existia em muitas empresas: a ausência de governança formal em cibersegurança.
O verdadeiro impacto da NIS2 não é técnico. É organizacional.A diretiva fala de medidas técnicas sim, mas o que ela realmente exige é: supervisão da gestão; aprovação formal de medidas de risco; responsabilização do órgão de administração e evidência documentada de governança.
Isto muda completamente o jogo. Porque a partir desse momento, não basta “ter ferramentas”. É necessário provar que existe liderança, estrutura, processo e decisão consciente. Aqui surge o maior desafio que tenho observado no mercado: grande parte das empresas não tem um CISO. E muitas das que têm, ainda operam de forma predominantemente técnica.
O vazio entre TI e o Board
Em muitas organizações, a TI executa e o Board responde, mas entre estes dois níveis existe um vazio: a função estratégica de traduzir vulnerabilidade em risco de negócio, e risco de negócio em decisão executiva. Este vazio é exatamente o espaço da governança. Sem ele, acontecem três coisas muito perigosas: investimentos desalinhados com o risco real; decisões tomadas sem visão estruturada de impacto e dificuldade em demonstrar evidência perante reguladores, parceiros e seguradoras.
A NIS2 não aceita improviso. Ela exige sistema.
O que vejo como CISO
Ao longo da minha experiência estruturando áreas de cibersegurança, percebi que as organizações mais resilientes não são as que compram mais tecnologia. São as que constroem um modelo claro de liderança e acompanhamento.
Estas organizações têm: comitê ou fórum formal de risco digital: roadmap aprovado pela administração; métricas claras de maturidade; relatórios executivos periódicos e estrutura contínua de compliance. Não porque a lei mandou. Mas porque entenderam que risco digital é risco empresarial.
A NIS2 apenas acelerou essa maturidade.
A realidade das PME
Existe, porém, um ponto crítico que precisa ser discutido com honestidade, é que nem todas as empresas podem — ou precisam — de um CISO em tempo integral.
O custo é elevado. A disponibilidade de talento é limitada. E a maturidade organizacional nem sempre justifica uma estrutura full-time. Mas a ausência total de liderança estratégica já não é uma opção. Então surge a pergunta inevitável:como estruturar governança real, com evidência, métricas e reporting executivo, sem criar um peso financeiro desproporcional? É aqui que o mercado começa a evoluir.
O futuro da governança em cibersegurança
O modelo que começa a ganhar força — especialmente no contexto NIS2 — combina três elementos: liderança estratégica especializada (mesmo que não full-time); plataforma estruturada de governança, compliance e medição. reporting executivo claro, orientado a decisão. Isto permite que empresas tenham visão contínua de maturidade, transformem requisitos regulatórios em plano de ação, produzam evidência auditável com eficiência e falem a linguagem do Board — não apenas da TI.
E, talvez mais importante, cria previsibilidade. Governança deixa de ser reativa e passa a ser programática.
A pergunta que a NIS2 realmente coloca não é apenas “a sua empresa está compliant?” mas sim “tem um modelo sustentável de liderança e gestão de risco digital?”
O compliance pontual resolve auditorias. Governança estruturada protege o negócio. É essa transição — da reação para a estrutura — que acredito que defina a próxima fase da maturidade em cibersegurança na Europa, sobretudo em Portugal.
