A partir de 3 de abril de 2026, um ciberataque a uma empresa em Portugal deixa de ser apenas uma questão técnica. Com a entrada em vigor do Decreto-Lei n.º 125/2025, que implementa a Diretiva NIS 2, a cibersegurança torna-se uma responsabilidade do conselho de administração, com potenciais consequências pessoais para os seus membros.
Este novo regime de cibersegurança estabelece uma arquitetura de responsabilidades que integra tanto a governação pública, através da supervisão do Centro Nacional de Cibersegurança (CNCS), como a governação privada, que inclui a gestão interna de riscos e a segregação de funções. A articulação entre estas esferas não é simples e levanta questões sobre quem decide e quem responde em caso de falhas.
Os conselhos de administração são agora a primeira linha de responsabilidade. O artigo 25.º do Decreto-Lei impõe-lhes quatro obrigações fundamentais: aprovar as medidas de gestão de riscos de cibersegurança, supervisionar a sua implementação, garantir o cumprimento das medidas de supervisão e assegurar formação periódica em cibersegurança. Esta responsabilidade não pode ser delegada, exceto para outros membros do órgão de gestão.
Além disso, a responsabilidade individual dos administradores é reforçada. O artigo 25.º, n.º 2, estabelece que os administradores podem ser responsabilizados por ações ou omissões, com coimas que podem atingir até 200.000 euros. Assim, os conselhos de administração devem documentar cuidadosamente os seus processos de decisão, uma prática que se torna essencial em caso de auditorias regulatórias.
No novo regime, o responsável de cibersegurança, ou CISO, assume um papel central. O artigo 31.º do Decreto-Lei define as suas competências, que vão desde a proposta de medidas de gestão de risco até à promoção de uma cultura de cibersegurança. Esta figura deve comunicar riscos de forma acessível ao conselho de administração e colaborar com outras funções, como a jurídica e a de conformidade.
O Encarregado de Proteção de Dados (DPO) também desempenha um papel crucial, especialmente em organizações onde a proteção de dados é uma prioridade. Contudo, as suas competências limitam-se aos dados pessoais, o que pode deixar lacunas em casos de incidentes que não envolvam informação pessoal. O Decreto-Lei reconhece esta interseção, exigindo cooperação entre o CNCS e a Comissão Nacional de Proteção de Dados (CNPD).
A direção financeira não pode ser negligenciada, uma vez que os programas de cibersegurança requerem investimento significativo. A falta de envolvimento da direção financeira na definição de prioridades pode resultar em programas subfinanciados e reativos. Por outro lado, o advogado interno tem um papel estratégico, coordenando as diversas funções e assegurando que o conselho de administração esteja ciente dos riscos de conformidade.
Com a NIS 2, o CNCS ganha poderes de supervisão e sanção reforçados. As entidades devem estar preparadas para demonstrar que possuem estruturas de governação adequadas e que os órgãos de administração supervisionam efetivamente as medidas de gestão do risco.
A implementação deste novo regime enfrenta desafios culturais, uma vez que a tendência de cada função operar isoladamente pode criar lacunas na cibersegurança. A liderança deve promover uma cultura de conformidade que transcenda departamentos, garantindo que todos os intervenientes colaborem eficazmente.
Em suma, a NIS 2 não só introduz novas responsabilidades, mas também integra a cibersegurança no núcleo dos deveres de cuidado dos administradores. A cibersegurança é agora uma questão de governação empresarial, e os conselhos de administração devem estar preparados para enfrentar este novo desafio.
Leia também: O impacto da cibersegurança nas empresas portuguesas.
Leia também: Investimento em Defesa em Portugal: Oportunidades e Desafios
Fonte: ECO
