A diretiva NIS2 alarga de forma significativa o universo de empresas obrigadas a cumprir requisitos de cibersegurança em Portugal. Se a sua organização ainda não mapeou o impacto, este é o momento de começar.
O que é a NIS2 e quem é abrangido
A NIS2 (Network and Information Security 2) é a diretiva europeia que substitui a NIS original e eleva o nível de exigência em matéria de segurança da informação. Ao contrário da versão anterior, deixa de estar limitada a um punhado de operadores críticos: passa a abranger empresas de média e grande dimensão em setores como energia, transportes, banca, saúde, infraestrutura digital, administração pública, fabrico e gestão de resíduos, entre outros.
Na prática, muitas empresas portuguesas que nunca se consideraram "infraestrutura crítica" passam a ter obrigações concretas — e prazos para as cumprir.
As quatro áreas onde a maioria das empresas falha
- Gestão de risco e governance — falta de uma política formal de segurança aprovada pela administração, que passa a ser legalmente responsável.
- Resposta a incidentes — ausência de um plano testado, com a obrigação de notificar incidentes significativos em 24 horas.
- Continuidade e backup — cópias de segurança sem imutabilidade nem testes de recuperação regulares.
- Cadeia de fornecimento — falta de avaliação do risco dos fornecedores de software e serviços geridos.
Um caminho prático em quatro passos
1. Diagnóstico e gap analysis
Comece por perceber onde está. Um diagnóstico técnico mapeia ativos, identifica lacunas face aos requisitos da NIS2 e prioriza por risco real — não por catálogo de produtos.
2. Governance e política
A direção tem de aprovar e acompanhar a estratégia de segurança. Isto inclui papéis e responsabilidades, classificação de informação e métricas de acompanhamento.
3. Controlos técnicos em camadas
Firewall de nova geração, EDR nos postos e servidores, MFA em todos os acessos, segmentação de rede e monitorização contínua. Nenhum controlo isolado chega — a proteção é em camadas.
4. Backup imutável e plano de recuperação
Backups que não podem ser alterados nem apagados por um atacante, com testes de recuperação calendarizados e RTO/RPO definidos pela direção.
Por onde começar
O erro mais comum é tratar a NIS2 como uma compra de produtos. É, antes de mais, um exercício de gestão de risco. Um diagnóstico bem feito poupa investimento desnecessário e foca o orçamento onde reduz risco a sério.
Na ITPOINT acompanhamos empresas portuguesas neste percurso — do diagnóstico à operação contínua com SLA. Se quer perceber o seu ponto de partida, falamos consigo numa sessão técnica sem compromisso.
Falar sobre o seu projeto de IT?
Sessão de 30 minutos com um especialista, sem compromisso.


