A nova lei da cibersegurança em Portugal tem sido lida pelas empresas sobretudo à luz da exigência: mais regras, mais prazos, mais obrigações. Pela primeira vez, muitas PME portuguesas ficam diretamente abrangidas ou, não estando formalmente no âmbito da lei, são chamadas a cumprir exigências mínimas de cibersegurança, por integrarem cadeias de fornecimento de entidades abrangidas.
Mas essa é apenas metade da história. A outra metade – e talvez a mais relevante – está na oportunidade (e na urgência) que esta legislação cria para acelerar a maturidade digital das empresas portuguesas e reforçar a confiança num contexto cada vez mais exposto ao risco. Hoje, o verdadeiro desafio já não está no incidente em si, mas na falta de uma resposta estruturada e atempada.
Durante anos, o cibercrime cresceu num terreno fértil de silêncio e falta de preparação. Incidentes não reportados, resgates pagos sem escrutínio, falhas ocultadas por receio de danos reputacionais. O resultado está à vista: um ecossistema onde os atacantes operam com vantagem e onde as empresas, sobretudo as PME, continuam estruturalmente vulneráveis.
Os dados mais recentes confirmam essa fragilidade. Apesar de um aumento significativo da consciencialização – com cerca de 90% das empresas portuguesas a reforçarem formação em cibersegurança, muito por efeito do teletrabalho, segundo um estudo recente da Hiscox – a capacidade de resposta continua aquém. Dados do mesmo relatório revelam que quatro em cada dez PME perdem dados mesmo depois de pagarem resgates, o que demonstra que reagir sem preparação não garante recuperação nem continuidade do negócio.
Este alerta deve ser lido menos como um sinal de fragilidade e mais como um incentivo à ação. Nesse enquadramento, a NIS2 não se limita a impor compliance: exige, nomeadamente, a implementação de medidas ao nível da gestão de risco, resposta a incidentes, continuidade do negócio, notificação e comunicação de incidentes, segurança da cadeia de fornecimento e formação, obrigando as empresas a estruturar processos, alinhar equipas e envolver a gestão de topo. A cibersegurança deixa, assim, de ser um tema técnico e passa a ser um tema de gestão, governação e responsabilidade da administração.
Ao reforçar uma série de obrigações, a nova lei impulsiona uma mudança na forma como as empresas encaram o risco digital – e, nesse processo, reposiciona o seguro como um elemento central. Neste contexto, a resposta prática a muitos dos requisitos da NIS2 – nomeadamente ao nível da resposta rápida a incidentes, da comunicação e notificação e da gestão de crise e reputação – pode ser eficazmente suportada através da transferência de risco para uma seguradora, permitindo o acesso imediato a equipas especializadas e mitigando custos que, de outro modo, teriam de ser assumidos internamente.
Além disso, a diretiva reforça claramente a exigência de resiliência e continuidade do negócio. A apólice de cyber, em particular através da garantia de perda de lucros resultante de incidentes cibernéticos, desempenha aqui um papel determinante, permitindo às empresas preservar a sua capacidade operacional após um ataque. A NIS2 não obriga à contratação de seguro, mas torna o custo de não estar preparado substancialmente mais elevado.
Num contexto em que os ataques são cada vez mais sofisticados e frequentes, a transferência de risco deixa de ser um complemento e passa a integrar, de forma mais clara, a estratégia de gestão empresarial. Obriga as empresas a prepararem-se não apenas para evitar ataques, mas para lhes responder de forma estruturada, rápida e responsável. E isso, num ambiente digital cada vez mais volátil, é o que verdadeiramente distingue organizações resilientes de organizações expostas.
No fundo, a nova legislação vem consolidar uma tendência que já estava em curso: a cibersegurança deixou de ser um tema exclusivamente técnico para passar a integrar a agenda da gestão e da liderança. A transposição da Diretiva NIS2 não resolve todos os problemas, nem pretende, mas estabelece um princípio fundamental: na economia digital, a confiança constrói-se com preparação, capacidade de resposta, resiliência e transparência.
