A entrada em vigor da nova diretiva europeia NIS2, a 3 de abril de 2026, marca uma viragem clara na forma como o risco digital passa a ser encarado pelas organizações. Já não se trata apenas de reforçar sistemas de cibersegurança ou atualizar procedimentos técnicos. A NIS2 obriga as empresas a demonstrar controlo efetivo, contínuo e auditável sobre os seus riscos digitais, colocando a responsabilidade diretamente ao nível da gestão de topo.
Num contexto de crescente dependência de plataformas digitais, dados e Inteligência Artificial, esta mudança expõe uma fragilidade estrutural que muitas organizações continuam a ignorar: a existência de riscos operacionais invisíveis, fora do perímetro tradicional da segurança informática.
NIS2: quando a segurança deixa de ser apenas um tema de IT
A diretiva NIS2 alarga significativamente o conceito de segurança digital. Para além da proteção de infraestruturas críticas, passa a exigir governação ativa do risco, resiliência operacional, controlo sobre fornecedores e capacidade de resposta documentada a incidentes. Mais relevante ainda, introduz uma responsabilização explícita dos órgãos de gestão, deixando claro que a segurança deixa de ser um problema técnico delegado às áreas de IT.
Este enquadramento obriga as lideranças a conhecer, mapear e supervisionar riscos que atravessam toda a organização, incluindo áreas tradicionalmente afastadas das preocupações de cibersegurança, como marketing digital, analytics, experiência do cliente ou plataformas de automação.
O risco que não aparece nos relatórios de cibersegurança
Uma parte significativa do risco digital atual não está nos servidores, firewalls ou sistemas centrais. Está embutida em tecnologias de terceiros integradas em websites, aplicações móveis e plataformas digitais: scripts de analytics, ferramentas de marketing, gestores de consentimento, SDKs e serviços externos que recolhem, processam e transmitem dados continuamente.
Estas tecnologias são essenciais para a operação e para a tomada de decisão baseada em dados. No entanto, operam muitas vezes sem um modelo formal de governação, sem monitorização contínua e sem documentação clara do seu comportamento ao longo do tempo. O resultado é uma ilusão de controlo que colide diretamente com os requisitos da NIS2.
Marketing, dados e segurança: uma fragmentação perigosa
Em muitas organizações, a gestão destas tecnologias está entregue às equipas de marketing ou de produto, fora do radar das áreas de segurança e risco. Esta fragmentação cria uma perceção incompleta do risco real, dificultando a identificação de vulnerabilidades, a avaliação do impacto de fornecedores externos e a demonstração de conformidade regulatória.
Segundo Miguel Silva, CEO da Datatekin, “a maioria das empresas acredita que tem controlo sobre os seus sistemas digitais, mas isso raramente corresponde à realidade”. A ausência de visibilidade sobre tecnologias de terceiros significa que muitas organizações não conseguem garantir que os seus canais digitais estão alinhados com os princípios do RGPD ou com as novas exigências da NIS2, mesmo quando aparentam estar tecnicamente seguros.
Da cibersegurança à governação operacional do digital
A resposta a este novo enquadramento não passa por eliminar tecnologias digitais, mas por integrá-las num modelo de governação operacional. Isso implica saber que tecnologias estão ativas, que dados recolhem, como evoluem ao longo do tempo e que riscos introduzem na cadeia de valor digital.
A NIS2 reforça a necessidade de evidência auditável, monitorização contínua e responsabilidade clara. Num cenário em que a Inteligência Artificial passa a depender cada vez mais da qualidade, integridade e fiabilidade dos dados, a governação digital deixa de ser apenas uma questão de conformidade e passa a ser um fator estratégico de resiliência e competitividade.
Cumprir a NIS2 será, sobretudo, um teste de liderança
Mais do que um exercício técnico, a NIS2 representa um teste à maturidade das lideranças. Obriga a abandonar a lógica reativa, baseada em incidentes, e a adotar uma visão sistémica sobre risco, dados e tecnologia. As organizações que continuarem a tratar a segurança digital como um problema exclusivo de IT tenderão a falhar não apenas perante os reguladores, mas perante os próprios desafios do negócio.
Num ambiente regulatório, tecnológico e geopolítico cada vez mais exigente, o verdadeiro risco não está apenas nas ameaças externas, mas na incapacidade interna de ver, compreender e governar o digital de forma responsável.
