A cibersegurança atravessa atualmente uma transformação estrutural profunda, impulsionada pela crescente digitalização das infraestruturas críticas e pela sofisticação exponencial das ameaças. No contexto europeu, esta mudança atinge um ponto de inflexão com a implementação da Diretiva NIS 2, que não apenas reforça os requisitos de segurança, mas redefine o papel da cibersegurança enquanto função estratégica e transversal nas organizações.

Paralelamente, a literatura científica recente evidencia que as vulnerabilidades não podem ser compreendidas de forma isolada, sendo antes o resultado de interações complexas entre tecnologia, fatores humanos e processos organizacionais. Esta perspetiva sociotécnica fornece o enquadramento conceptual necessário para compreender o alcance e a profundidade das exigências introduzidas pela NIS 2.

A Cibersegurança como Problema Sociotécnico
A evolução dos sistemas digitais trouxe benefícios significativos em termos de eficiência e qualidade dos serviços, particularmente em setores críticos como a saúde. Contudo, essa evolução gerou ecossistemas altamente interdependentes, onde as vulnerabilidades emergem da interação entre múltiplos elementos, da interoperabilidade dos vários programas e fornecedores de software.

A literatura refere que as relações entre tecnologia, humanos e processos organizacionais conduzem a vulnerabilidades que podem ser exploradas por agentes maliciosos¹. Esta evidência sintetiza o problema contemporâneo em que a cibersegurança deixou de ser uma questão puramente técnica para se tornar um desafio sistémico.

“A evolução dos sistemas digitais trouxe benefícios significativos em termos de eficiência e qualidade dos serviços, particularmente em setores críticos como a saúde. Contudo, essa evolução gerou ecossistemas altamente interdependentes, onde as vulnerabilidades emergem da interação entre múltiplos elementos.”

A integração acelerada de tecnologias digitais aumentou significativamente a superfície de ataque. De facto, a rápida integração destas tecnologias introduziu vulnerabilidades significativas, tornando os sistemas mais suscetíveis a ciberataques¹. Este fenómeno é transversal a múltiplos setores e representa um dos principais desafios da economia digital. Adicionalmente, o fator humano assume um papel determinante. A escassez de profissionais qualificados, a insuficiência de formação e a ausência de uma cultura de segurança robusta contribuem diretamente para a exposição ao risco no setor da saúde¹.

Limitações do Modelo Tradicional de Segurança
Historicamente, as organizações adotaram uma abordagem centrada na proteção perimetral, frequentemente designada como modelo “tipo castelo”. No entanto, esta abordagem revela-se insuficiente num contexto de elevada interconetividade e dependência de terceiros.

A dissolução das fronteiras organizacionais, impulsionada pela cloud, mobilidade e integração de sistemas, expõe múltiplos pontos de vulnerabilidade. Simultaneamente, muitas organizações continuam a operar de forma reativa em vez de proativas. Este modelo limita a capacidade de antecipação e resposta, tornando as organizações particularmente vulneráveis a ataques sofisticados, como ransomware e ataques à cadeia de abastecimento.

A Diretiva NIS 2: Um Novo Paradigma Regulatório
A Diretiva NIS 2 surge como resposta a este contexto, estabelecendo um quadro regulatório mais rigoroso e harmonizado na União Europeia. O seu objetivo é reforçar a segurança dos sistemas de informação, melhorar a resiliência organizacional e promover uma resposta eficaz a incidentes.

Um dos aspetos mais relevantes da Diretiva NIS 2 é a responsabilização direta da gestão de topo. A cibersegurança passa a integrar a governação estratégica das organizações, exigindo que os líderes possuam competências para avaliar riscos, validar medidas de segurança e supervisionar a sua implementação.

“As organizações devem avaliar e monitorizar os riscos associados a fornecedores e parceiros, reconhecendo a natureza interdependente dos ecossistemas digitais.”

A diretiva impõe ainda a adoção de medidas técnicas, operacionais e organizacionais proporcionais ao risco, bem como a obrigatoriedade de notificação de incidentes dentro de prazos definidos. Este enfoque na resposta rápida reflete uma mudança de paradigma: da prevenção absoluta para a resiliência.

Outro elemento central é a gestão do risco na cadeia de fornecimento. As organizações devem avaliar e monitorizar os riscos associados a fornecedores e parceiros, reconhecendo a natureza interdependente dos ecossistemas digitais.

Resiliência e Integração como Fundamentos da Nova Cibersegurança
A literatura recente propõe modelos que incorporam estas exigências numa abordagem integrada. O modelo CKMIR (Cybersecurity Knowledge Management and Intelligence Response) constitui um exemplo relevante, combinando deteção de intrusões, análise comportamental, inteligência de ameaças e mecanismos de recuperação^2,3.

Este tipo de abordagem alinha-se com frameworks internacionais como o NIST Cybersecurity Framework, que estrutura a cibersegurança em cinco funções essenciais: (1) identificar, (2) proteger, (3) detetar, (4) responder e (5) recuperar³.

A resiliência emerge, assim, como o conceito central da cibersegurança moderna⁴. Não se trata apenas de prevenir ataques, mas de garantir a continuidade operacional e a rápida recuperação após incidentes.

Implicações Estratégicas Futuras
A convergência entre a perspetiva sociotécnica e a Diretiva NIS 2 implica uma transformação profunda na forma como as organizações encaram a cibersegurança.

Em primeiro lugar, é necessário integrar a cibersegurança na estratégia da organização, alinhando-a com a gestão de risco e os seus objetivos. Em segundo lugar, torna-se essencial investir no desenvolvimento de competências e na promoção de uma cultura de segurança⁴.

“A cibersegurança deve ser encarada como um fator de diferenciação competitiva. A capacidade de garantir elevados níveis de segurança e confiança digital pode reforçar a reputação organizacional e criar valor sustentável.”

Adicionalmente, as organizações devem adotar abordagens holísticas que integrem tecnologia, pessoas e processos, implementando monitorização contínua, auditorias regulares e planos de resposta a incidentes robustos⁵.

A cibersegurança deve ser encarada como um fator de diferenciação competitiva. A capacidade de garantir elevados níveis de segurança e confiança digital pode reforçar a reputação organizacional e criar valor sustentável.

Num cenário de crescente complexidade e interdependência, as organizações que adotarem uma abordagem proativa e orientada para a resiliência estarão melhor posicionadas para enfrentar os desafios do futuro.

Referências Bibliográficas
1. Ewoh, P., Vartiainen, T., & Mantere, T. (2025). Sociotechnical Cybersecurity Framework for Securing Health Care From Vulnerabilities and Cyberattacks: Scoping Review. Journal of Medical Internet Research, 27, e75584.
2. European Union. (2022). Directive (EU) 2022/2555 (NIS 2 Directive) on measures for a high common level of cybersecurity across the Union.
3. National Institute of Standards and Technology (NIST). (2018). Framework for Improving Critical Infrastructure Cybersecurity.
4. World Economic Forum. (2024). Global Cybersecurity Outlook 2024.
5. ENISA (European Union Agency for Cybersecurity). (2023). NIS 2 Directive – Implementation Guidelines and Cybersecurity Risk Management Measures.