Por Carlos Carvalho (*)

Durante muito tempo a cibersegurança viveu num espaço discreto dentro das organizações. Era reconhecida como necessária, mas raramente tratada como urgente, sendo considerada um tema técnico, delegado às equipas de IT, muitas vezes visto como um custo inevitável e facilmente adiado enquanto tudo parecia funcionar. Esse tempo terminou.

A União Europeia tem sido clara na mensagem que vem reforçando: a resiliência digital passou a ser um pilar central da sua autonomia estratégica. Num contexto marcado por instabilidade geopolítica, dependências tecnológicas externas e ataques cada vez mais sofisticados, Bruxelas decidiu reforçar o enquadramento regulatório em matéria de cibersegurança. A diretiva NIS2 surge exatamente nesse contexto, como um instrumento para elevar o nível de maturidade digital das organizações europeias.

Mais do que uma atualização legislativa, a NIS2 representa uma mudança de paradigma. Ao alargar significativamente o número de entidades abrangidas e ao aumentar o grau de exigência, a diretiva envia uma mensagem inequívoca: a segurança digital deixou de ser um assunto exclusivamente técnico e passou a ser um tema de liderança e governação.

Ao colocar responsabilidades claras ao nível da gestão de topo, a NIS2 rompe com a ideia confortável de que o risco pode ser totalmente delegado. Já não se trata apenas de proteger sistemas ou infraestruturas, mas de garantir continuidade de negócio, preservar a confiança no mercado e contribuir para a resiliência económica europeia. A cibersegurança passa, assim, a integrar a estratégia das organizações.

Apesar disso, grande parte do debate público continua excessivamente focado na dimensão normativa. Fala-se de prazos, de sanções e de obrigações legais, mas fala-se pouco do essencial: a NIS2 não foi concebida para criar mais burocracia, mas sim para corrigir fragilidades estruturais que se tornaram evidentes num mundo cada vez mais dependente do digital.

Quem encarar a diretiva apenas como um exercício de compliance tenderá a cumprir o mínimo e a falhar no que realmente importa. Vai investir de forma reativa, criar fricção interna e manter-se vulnerável. Pelo contrário, quem perceber que a NIS2 é uma oportunidade para ganhar maturidade organizacional estará alinhado com a visão estratégica que a própria União Europeia procura afirmar.

Num ecossistema cada vez mais interligado, um incidente digital raramente fica confinado a uma única organização. As cadeias de fornecimento, serviços essenciais e plataformas partilhadas amplificam impactos de forma rápida e imprevisível. É por isso que Bruxelas insiste tanto na ideia de resiliência coletiva, uma lógica que está no centro da NIS2.

Na prática, esta diretiva obriga as organizações a fazerem algo que muitas nunca fizeram de forma estruturada: conhecer os seus riscos reais, mapear dependências tecnológicas, identificar pontos críticos, preparar planos de resposta e testar cenários. Não se trata de adquirir mais tecnologia, mas de substituir improviso por método e reação por preparação.

Há ainda uma dimensão frequentemente subestimada no debate sobre a NIS2: a cibersegurança deixou de ser apenas um mecanismo de defesa e passou a ser um fator claro de diferenciação. Organizações que demonstram maturidade nesta área inspiram mais confiança, estão melhor posicionadas para internacionalizar, para estabelecer parcerias estratégicas e para aceder a financiamento num mercado cada vez mais exigente.

Para muitas pequenas e médias empresas, este movimento pode parecer excessivo. No entanto, estruturar segurança desde cedo é incomparavelmente mais simples e mais eficiente do que tentar corrigir fragilidades quando o crescimento já expôs todas as falhas. Neste sentido, a NIS2 pode funcionar como um acelerador de profissionalização e não como um travão ao crescimento.

Importa também desmontar um mito persistente: a NIS2 não exige perfeição. Exige consciência, proporcionalidade e capacidade de resposta. O risco zero não existe, o que existe é a responsabilidade de o conhecer, gerir e mitigar de forma informada.

Tal como aconteceu com a proteção de dados, as organizações que compreenderem cedo o alcance desta diretiva olharão para trás e perceberão que a adaptação foi um investimento estratégico. As que resistirem continuarão presas a uma lógica reativa, sempre a responder a crises em vez de as antecipar.

No final, a pergunta que a NIS2 coloca aos líderes empresariais é simples e profundamente estratégica: queremos apenas cumprir regras ou queremos construir organizações confiáveis num mundo digital cada vez mais hostil?

A resposta não está apenas na letra da lei. Está na liderança. E será ela a definir quem lidera e quem fica para trás nos próximos anos.

(*) CEO da Adyta