Metodologia para Implementação da Diretiva NIS2

Abstract

A crescente dependência das Tecnologias de Informação Comunicação (TIC), impulsionada pela Transformação Digital (TD) e por tecnologias emergentes como a Inteligência Artificial (IA), big data, Internet of Things (IoT) ou computação na nuvem, tem contribuído significativamente para o desenvolvimento económico e social das sociedades. Todavia, esta evolução tem criado uma maior exposição a ciberameaças, cada vez mais frequentes e sofisticadas. Como resposta a este cenário, a União Europeia (UE) aprovou a Diretiva (UE) 2022/2555 (NIS2), que revoga a Diretiva (UE) 2016/1148 (NIS), com o objetivo de reforçar a resiliência das redes e sistemas de informação no espaço europeu. Este estudo pretende desenvolver uma metodologia prática para apoiar as organizações – especialmente as Pequenas e Médias Empresas (PME) – na implementação proporcional e prática dos requisitos desta Diretiva. Para atingir este objetivo, foi adotada uma investigação mista, combinando a revisão da literatura com a análise quantitativa (questionários) e qualitativa (entrevistas). A revisão da literatura permitiu clarificar os principais conceitos deste estudo – TIC, TD, Segurança da Informação (SI) e cibersegurança – bem como compreender a evolução das políticas nacionais e europeias orientadas para reforçar a cibersegurança. A análise efetuada revelou ainda que a NIS2 introduz requisitos mais rigorosos que a sua antecessora, nomeadamente o alargamento do âmbito de aplicação, o reforço das medidas de gestão dos riscos, a imposição de medidas relativas à cadeia de abastecimento e a atribuição de maiores responsabilidades aos órgãos de gestão. Adicionalmente, estabelece um regime de supervisão e sancionatório, que não estavam previstos na NIS. Os resultados da análise quantitativa revelam que as organizações inseridas em setores com maior regulação – como a banca, infraestruturas digitais e energia – apresentam níveis de maturidade em cibersegurança mais elevados, enquanto que as restantes organizações demonstram fragilidades significativas. A componente qualitativa, baseada em entrevistas a especialistas de cibersegurança, confirmou estas assimetrias e permitiu identificar os principais desafios enfrentados pelas organizações, nomeadamente, a falta de recursos humanos especializados, as limitações financeiras, a complexidade técnica e as dificuldades na gestão da cadeia de abastecimento. Com base nesta análise, foi desenvolvida uma metodologia prática e adaptável, que pretende ser um instrumento de apoio, especialmente para as PME, na adoção faseada da Diretiva NIS2, alinhada com o perfil de risco e capacidade de cada entidade. O Estudo reconhece algumas limitações, nomeadamente a impossibilidade de integrar a análise da Lei n.º 59/2025, que transpõe a Diretiva para ordenamento jurídico português, bem como o número reduzido de respostas ao inquérito. Para investigações futuras, recomenda-se o alargamento da amostra, bem como a validação prática da metodologia proposta em diferentes setores de atividade.