A nova legislação sobre cibersegurança em Portugal, conhecida como NIS2, está a ser interpretada pelas empresas como um aumento das exigências: mais regras, prazos e obrigações. Pela primeira vez, muitas pequenas e médias empresas (PME) portuguesas estão diretamente abrangidas, ou mesmo que não estejam formalmente incluídas, são chamadas a cumprir requisitos mínimos de cibersegurança devido à sua ligação a cadeias de fornecimento de entidades que estão sob a alçada da lei.
Contudo, esta nova legislação representa não apenas um desafio, mas também uma oportunidade crucial para as empresas portuguesas acelerarem a sua maturidade digital e fortalecerem a confiança num ambiente cada vez mais vulnerável a riscos. O verdadeiro desafio já não reside apenas nos incidentes de cibersegurança, mas sim na falta de uma resposta estruturada e atempada a esses incidentes.
Nos últimos anos, o cibercrime proliferou num ambiente de silêncio e falta de preparação. Muitos incidentes não eram reportados, resgates eram pagos sem qualquer escrutínio e falhas eram ocultadas por receio de danos à reputação. O resultado é um ecossistema onde os atacantes têm uma vantagem significativa e onde as PME continuam a ser estruturalmente vulneráveis.
Dados recentes confirmam essa fragilidade. Apesar de uma crescente consciencialização, com cerca de 90% das empresas portuguesas a reforçarem a formação em cibersegurança, a capacidade de resposta ainda deixa a desejar. Um estudo da Hiscox revela que quatro em cada dez PME perdem dados mesmo após pagarem resgates, evidenciando que agir sem preparação não garante a recuperação nem a continuidade do negócio.
Este cenário deve ser interpretado como um incentivo à ação. A NIS2 não se limita a exigir conformidade; ela impõe a implementação de medidas em áreas como gestão de risco, resposta a incidentes, continuidade do negócio, notificação e comunicação de incidentes, segurança da cadeia de fornecimento e formação. Assim, as empresas são obrigadas a estruturar processos, alinhar equipas e envolver a gestão de topo. A cibersegurança, portanto, deixa de ser apenas um tema técnico e torna-se uma questão de gestão e responsabilidade da administração.
Ao reforçar um conjunto de obrigações, a nova lei transforma a forma como as empresas encaram o risco digital, reposicionando o seguro como um elemento central. A resposta a muitos dos requisitos da NIS2, especialmente em termos de resposta rápida a incidentes e gestão de crise, pode ser eficazmente suportada pela transferência de risco para uma seguradora. Isso permite acesso imediato a equipas especializadas e mitiga custos que, de outra forma, teriam de ser suportados internamente.
A diretiva também sublinha a importância da resiliência e continuidade do negócio. A apólice de cibersegurança, em particular, pode garantir a perda de lucros resultante de incidentes cibernéticos, permitindo que as empresas mantenham a sua capacidade operacional após um ataque. Embora a NIS2 não obrigue à contratação de seguro, o custo de não estar preparado torna-se substancialmente mais elevado.
Num cenário em que os ataques cibernéticos são cada vez mais sofisticados e frequentes, a transferência de risco passa a ser uma parte essencial da estratégia de gestão empresarial. As empresas são desafiadas a preparar-se não apenas para evitar ataques, mas para responder de forma estruturada, rápida e responsável. Este é o fator que distingue as organizações resilientes das que permanecem expostas.
Em suma, a nova legislação solidifica uma tendência já em curso: a cibersegurança deixou de ser um tema técnico para se integrar na agenda de gestão e liderança. A transposição da Diretiva NIS2 não resolve todos os problemas, mas estabelece um princípio fundamental: na economia digital, a confiança constrói-se através da preparação, capacidade de resposta, resiliência e transparência.
Leia também: A importância da formação em cibersegurança nas empresas.
Leia também: Jornal Económico: nova forma de ler a edição digital
Fonte: Sapo
