A terceira mudança é operacional e está ligada à forma como as organizações lidam com incidentes. «A NIS2 exige capacidade real de detecção e resposta, incluindo notificação de incidentes ao CNCS em prazos curtos e definidos (por exemplo, alerta inicial em 24 horas e relatório em 72 horas)», aponta o CEO da Datatekin. Isso obriga a «processos, equipas e ferramentas capazes de funcionar em tempo útil e em permanência, e não apenas em momentos pontuais de auditoria». Em suma, «há uma transição clara do modelo reactivo para um modelo de evidência contínua de controlo». No seu entender não basta ter políticas escritas ou realizar testes anuais: é necessário demonstrar, quase em tempo real, que a organização consegue detectar, conter, responder e aprender com incidentes, dentro de prazos que são, para muitos, inéditos.
O maior desafio não é o técnico
Do lado da Eurotux, o diagnóstico sobre o ponto de partida das organizações portuguesas é igualmente exigente. Ricardo Oliveira, CSO da empresa, sintetiza o desafio de forma frontal: «O maior desafio não é técnico — é cultural e organizacional». Na sua experiência, «a maioria das empresas portuguesas abrangidas pela NIS2 ainda opera com uma visão reactiva da cibersegurança: respondem a incidentes, mas não gerem risco de forma contínua e estruturada». A directiva, sublinha, «exige uma mudança de paradigma que muitas organizações ainda não iniciaram». Ou seja, a distância entre o que a lei passa a exigir e o que muitas empresas efectivamente fazem no dia a dia é ainda significativa.
A isto somam‑se constrangimentos bem conhecidos no ecossistema nacional: «a escassez crónica de talento especializado em cibersegurança em Portugal, orçamentos historicamente subdimensionados para a área, e uma cadeia de fornecimento tecnológica frequentemente composta por PME com maturidade de segurança muito baixa». O novo regime acrescenta ainda «incerteza sobre os timelines de fiscalização e as autoridades competentes por sector, o que paradoxalmente tem servido de desculpa para adiar decisões». Em vários conselhos de administração, a discussão sobre investimento nesta área continua a ser empurrada para a frente, à espera de orientações mais detalhadas ou de sinais claros de fiscalização efectiva, um adiamento que colide com os prazos apertados de implementação.
Quando se olha para a maturidade em gestão de risco e monitorização de incidentes, o diagnóstico não é meigo. «Honestamente? A maioria não está preparada», assume Ricardo Oliveira. O que encontra no terreno são «organizações com sistemas de monitorização fragmentados, sem correlação de eventos, sem processos documentados de resposta a incidentes, e com classificação de activos inexistente ou desactualizada». Num quadro em que a NIS2 «exige auditabilidade — o que significa que não basta fazer, é preciso provar que se faz, de forma consistente e repetível», este gap torna‑se crítico. A passagem de práticas ad hoc para processos formalizados implica investimento, disciplina e, muitas vezes, uma reorganização profunda da forma como TI e negócio interagem.
