Para o responsável da Eurotux, o caminho passa por «implementar frameworks como ISO 27001 ou NIST CSF», mas a maioria das empresas «está a começar do zero, com pressão de tempo». Aqui, plataformas de avaliação de risco e de alinhamento regulatório podem acelerar o processo, ajudando a organizar informação dispersa, a priorizar riscos e a produzir evidência para auditorias. Já Miguel Silva lembra que «a Datatekin trabalha de forma próxima com a nuqe.io e prevê reforçar a colaboração no mercado ibérico nos próximos meses, no sentido de ajudar organizações a estruturar este caminho de forma mais eficiente», tornando o percurso mais auditável e menos dependente de esforços manuais dispersos.
Também o CNCS tenta mitigar a assimetria de partida através de programas de capacitação. Desde Novembro de 2025 que está no terreno o «Roteiro NIS 2», uma acção de formação alargada a todo o país, realizada através da C‑Academy. O objectivo é «informar e esclarecer os órgãos de gestão, direcção, administração e responsáveis de cibersegurança das entidades abrangidas pelo novo Regime Jurídico da Cibersegurança, quanto às novas obrigações legais, garantindo a sua preparação para a conformidade». Em paralelo, estas iniciativas funcionam como barómetro da realidade, mostrando onde estão as principais dúvidas, que sectores avançam mais depressa e onde persiste a ideia de que a NIS2 é apenas mais um exercício de compliance e não um acelerador de mudança estrutural.
Muito mais do que governação e infraestrutura
Quando o RJC entrar em vigor, a 3 de Abril, o impacto não se fará sentir apenas na governação e na infraestrutura: chega também ao ciclo de vida do software, sobretudo em sistemas críticos. Ricardo Anastácio, CISO da Opensoft, sublinha que a entrada em vigor da NIS2 e do novo regime jurídico da cibersegurança em Portugal «representa uma mudança relevante na forma como as organizações são obrigadas a encarar a segurança no desenvolvimento e na gestão de software, sobretudo em sistemas críticos». A segurança «deixa de poder ser tratada como uma camada adicional, aplicada numa fase final do projecto, e passa a ter de estar integrada desde a concepção da solução até à sua operação e manutenção», o que, para muitas organizações, «implica rever procedimentos, reforçar controlos e estruturar de forma mais rigorosa os processos de prevenção, detecção e resposta a incidentes».
Esse reforço sente‑se também na forma como se gere risco e continuidade. Na leitura de Ricardo Anastácio, «estas exigências traduzem‑se numa maior atenção à gestão de risco, à continuidade do serviço, à rastreabilidade das decisões e à capacidade de demonstrar que as medidas de segurança adoptadas são consistentes e eficazes». Num quadro em que a ameaça cresce, considera que «a adopção da NIS2 e do novo regime jurídico da cibersegurança é uma obrigatoriedade bem‑vinda, tornando o software produzido e os sistemas de forma geral mais resilientes».
