Esta vaga legislativa impõe novas e exigentes obrigações às empresas, colocando a cibersegurança no centro da estratégia de gestão e responsabilizando diretamente as administrações.

A Diretiva NIS2, cuja transposição para a lei nacional foi recentemente aprovada em Portugal, alarga significativamente o âmbito de aplicação a mais setores e entidades, desde a energia e transportes à saúde e infraestruturas digitais.

As novas regras exigem uma cultura de “segurança por defeito”, com avaliação contínua de riscos, monitorização da cadeia de abastecimento e reporte eficaz de incidentes. O regulamento DORA foca-se especificamente no setor financeiro, exigindo que as instituições e os seus fornecedores tecnológicos críticos adotem padrões elevados de cibersegurança.

Este “tsunami regulatório”, que inclui ainda o Cyber Resilience Act (CRA), cria um ambiente mais exigente, com coimas que podem atingir até 10 milhões de euros ou 2% do volume de negócios anual. Para as organizações, especialmente as PME, o desafio de adaptação é considerável, transformando a cibersegurança de uma questão de conformidade para um pilar estratégico do negócio. Como sublinhou um especialista, as organizações que encarem a diretiva apenas como um programa de “compliance” ficarão para trás.