Reportagem

Claranet: cibersegurança e a NIS2 não são um «travão» à inovação

Na segunda edição do Security & Compliance Day, a Claranet reuniu clientes e parceiros que revelaram que a NIS2 vai aumentar a maturidade de cibersegurança das empresas nacionais e, consequentemente, a do País.

© Claranet

No evento da tecnológica, que se realizou no Unicorn Stage, em Lisboa, e contou com mais de cem participantes, Alexandre Ruas (managing director da Claranet Portugal) destacou que a resiliência cibernética é um tema de «extrema importância para as empresas, para Portugal e para a Europa» e revelou que a cibersegurança «deixou de ser um travão da inovação e passou a ser uma condição absolutamente essencial para se inovar».

O responsável alertou ainda para o facto de cada vez existirem mais ataques e mais sofisticados, referindo que «o cibercrime é hoje a terceira maior economia do mundo, à frente quase de todos os países, atrás apenas dos Estados Unidos e da China». Além disso, disse que este está «organizado, tem financiamento próprio, não paga impostos e não respeita fronteiras, horários ou a ética». Alexandre Ruas referiu que, em Portugal, os incidentes reportados em 2025 subiram «cerca de 35%» e que nenhuma entidade, quer seja pública, quer seja privada, «está imune» a ser atacada.

De seguida, o CISO dos CTT, Nelson Topete, partilhou a experiência da construção de um centro de operações de segurança (SOC) em parceria com a Claranet, com foco na NIS2. O responsável indicou que «a cibersegurança é protecção de negócio» e que a directiva foi «um catalisador» e «encarada como uma oportunidade». Desta forma, o SOC permitiu à equipa dos CTT «deixar de ser bombeiros, andar a apagar fogos todos os dias e passar a gastar mais tempo a antecipar o risco». O CISO sublinhou ainda que este centro de operações possibilitou aumentar a «maturidade e a resiliência operacional», já que passam a «detectar mais cedo, decidir melhor e acima de tudo limitar o impacto».

Incluir o negócio
No painel ‘O Custo da Não-Conformidade – Inovação e Accountability na Era NIS2: Como encontrar o equilíbrio?’, foi discutido como diversas empresas nacionais estão a cumprir com a directiva que foi transposta para Portugal pelo Decreto-Lei n.º 125/2025, que estabelece o Novo Regime Jurídico de Cibersegurança (RJC). David Marques, head of cybersecurity do Grupo Nabeiro, referiu que a «NIS2 não tem de ser um travão à inovação» e que a sua equipa avalia os riscos, leva essas informações à gestão de topo para que seja «o negócio a decidir se aceita ou não o risco». Este tema foi também abordado por João Carlos Falcão, CISO do Grupo Brisa, que disse que os chief information security officers «têm de falar a linguagem do negócio» e «fazer a ponte» entre a parte «técnica e o conselho de administração». Sobre a implementação da NIS2, o responsável avançou que «é um programa de transformação e não uma conformidade» que requer «melhorar muito as competências» dos colaboradores, reconhecendo que na Brisa já «existe alguma maturidade» no que diz respeito à cibersegurança. David Marques acrescentou ainda que o RJC permitiu ter uma cultura de risco estruturada: «Existia, mas era formal. É um caminho que estamos a percorrer com awareness dos colaboradores até à gestão de topo».

Partilhar informações
Já Teresa Girbal, vice-presidente e CIO da ESPAP, falou da perspectiva da administração pública e referiu que, tal como nas empresas, a NIS2 exige o envolvimento directo da liderança, mas que é preciso «usá-la como um valor acrescentado». A responsável avançou que no Estado os desafios são maiores porque «a gestão é muito baseada em legislação» e dependem «de orçamentos anuais rígidos que impõem limitações para responder às crises». Assim, «a prevenção» torna-se ainda mais importante, já que «a cibersegurança é um problema de todos». A colaboração entre o ecossistema foi um dos assuntos debatidos e Teresa Girbal classificou a «partilha de experiências» entre administração pública e o sector privado como «vital», algo com o qual todos os participantes concordaram, realçando que também o é entre empresas privadas.

A cadeia de abastecimento
Por outro lado, Hélder Barbosa, head of cyber resilience da E-REDES, esclareceu que a empresa, ao ser uma infraestrutura crítica do sector da energia, é já regulada e a NIS2 não representou um grande «impacto transformador», já que «o caminho de maturidade e de evolução» em termos de cibersegurança começou há vários anos. Assim, a nova directiva foi uma oportunidade para «expandir a maturidade na gestão de fornecedores e da cadeia de abastecimento», já que as organizações são obrigadas a garantir a segurança dos produtos e serviços fornecidos por terceiros. O responsável disse que isso «potencia a segurança do ecossistema, dos parceiros com quem trabalham» para garantir a conformidade. Este foi um tema abordado por todos os intervenientes, sendo que David Marques reconheceu que este pilar da NIS2 «pode ter um impacto transversal no mercado e aumentar a maturidade geral». Já João Carlos Falcão disse que este é um factor crítico «para criar um ecossistema real de cibersegurança no País».

Soberania digital
O professor auxiliar na NOVA School of Law, Felipe Pathé Duarte, salientou que o termo «geopolítica» tem vindo a substituir a «globalização» no discurso político e das empresas, já que este tipo de risco passou a «ser uma variável incontornável no processo de decisão das empresas». O docente explicou o conceito de soberania digital como «a capacidade de um Estado, organização ou de um indivíduo poder fazer escolhas independentes e aplicáveis sobre os sistemas digitais dos quais depende». E referiu que esta opera em três camadas: a física/infraestrutura, a dos códigos/normas (software, algoritmos) e a dos dados. Felipe Pathé Duarte sublinhou que a soberania digital não tem como objectivo «o isolamento, mas sim o poder de decisão, ou seja, saber em que se pode confiar, compreender os trade-offs e essencialmente evitar dependências passivas».

O professor disse ainda que «quem controla as plataformas, as redes, a cloud e a inteligência artificial» tem a capacidade de exercer influência política, militar e económica. Neste cenário, alertou que grande parte dos ciberataques e campanhas de desinformação tem motivação geopolítica, visto que servem para «fragilizar cada vez mais a coesão social, influenciar os processos democráticos e alterar as dinâmicas de poder político».

No final, David Grave (cyber security senior director da Claranet Portugal) deixou uma «mensagem de responsabilidade», assegurando «o papel» da empresa na resiliência digital do País. E deu como exemplo o evento Security & Compliance Day, que «permite juntar profissionais de organizações que de alguma forma partilham os mesmos desafios e estão focadas no mesmo objectivo para partilhar as melhores práticas e o seu conhecimento».

Deixe um comentário