O novo Regime Jurídico da Cibersegurança: uma cultura de responsabilidade e confiança digital

Com a aprovação do novo Regime Jurídico da Cibersegurança, através do Decreto-Lei n.º 125/2025, de 4 de dezembro, que transpõe para o ordenamento jurídico nacional a Diretiva (UE) 2022/2555 (NIS2), a cibersegurança passa a ocupar, de forma ainda mais evidente, um lugar central na governação das entidades públicas. Mais do que uma exigência técnica, trata-se hoje de uma responsabilidade institucional, transversal a toda a organização, que envolve toda a estrutura municipal numa atuação consciente, preventiva e articulada. O diploma assenta numa lógica de gestão do risco, resposta a incidentes, continuidade de atividade, supervisão e responsabilização, reforçando a ideia de que a segurança digital deixou de ser uma preocupação estritamente técnica para se afirmar como uma dimensão própria da boa governação pública.

Num contexto de crescente digitalização dos serviços públicos, a administração pública local enfrenta novos desafios, mas também novas responsabilidades. A utilização intensiva de plataformas digitais, sistemas de informação, canais eletrónicos de atendimento e ferramentas tecnológicas de apoio à decisão tornou a segurança dos ambientes digitais um fator essencial para a continuidade do serviço público, para a proteção da informação e para a confiança dos cidadãos nas instituições. A solidez da atuação administrativa passou, assim, a depender também da robustez, disponibilidade e resiliência dos meios digitais que suportam a atividade municipal.

A transformação digital trouxe ganhos muito relevantes de proximidade, eficiência e modernização administrativa. Trouxe, porém, uma maior exposição a riscos e ameaças que exigem resposta estruturada e permanente. A cibersegurança deixou, por isso, de poder ser entendida como matéria exclusiva dos serviços de tecnologias de informação e comunicações. É hoje um compromisso organizacional, que depende da solidez das soluções tecnológicas, mas também da cultura interna, dos procedimentos adotados e dos comportamentos diários de todos os que utilizam os sistemas e tratam informação. Neste novo paradigma, proteger sistemas e informação significa também proteger a continuidade da decisão administrativa, o regular funcionamento dos serviços e a credibilidade institucional.

É neste enquadramento que ganha especial importância a promoção de uma verdadeira cultura de resiliência digital nas organizações públicas. Prevenir, reconhecer e responder a incidentes deixou de ser uma preocupação reservada a contextos excecionais e passou a integrar a gestão quotidiana das entidades, exigindo atenção contínua, capacidade de adaptação e uma visão clara de que a segurança digital é parte integrante da qualidade do serviço prestado à comunidade. Mais do que reagir quando a ameaça se concretiza, importa reduzir vulnerabilidades, mitigar impactos e assegurar uma recuperação célere sempre que ocorram perturbações com potencial para afetar a prestação de serviços públicos.

Em termos simples, este novo enquadramento significa que a entidade deve saber claramente o que precisa de proteger, conhecer os seus ativos e serviços mais críticos, identificar os riscos mais relevantes, adotar medidas de segurança adequadas e proporcionais, estar preparada para responder a incidentes, assegurar a recuperação dos serviços e promover formação e capacitação regulares. Trata-se, por isso, de uma exigência que se projeta em toda a organização. No quotidiano, implica uma utilização responsável dos sistemas, a proteção da informação, o respeito pelas regras de acesso, a prudência perante mensagens, pedidos ou ligações suspeitas e a comunicação atempada de qualquer situação anómala. No plano organizativo, exige procedimentos claros, meios adequados, mecanismos de acompanhamento e uma resposta estruturada aos riscos. Esta leitura prática está, aliás, em linha com alguns dos principais eixos atualmente associados à gestão do risco de cibersegurança, designadamente o inventário de ativos críticos, a segmentação de redes, a autenticação multifator, a monitorização, as cópias de segurança testadas, o reporte estruturado e a formação contínua.

Neste contexto, assume especial relevância o papel de quem exerce funções de decisão na estrutura municipal. A cibersegurança depende também das opções de organização, das prioridades definidas, da afetação de recursos e da forma como os serviços são orientados e supervisionados. Compete, por isso, às lideranças promover uma cultura de responsabilidade, garantir que existem regras e procedimentos claros, assegurar que os trabalhadores conhecem os riscos associados à utilização dos sistemas e da informação, incentivar a partilha atempada de situações anómalas e integrar a dimensão do risco digital nas decisões correntes de gestão. Mais do que uma matéria reservada às equipas técnicas, a cibersegurança exige um compromisso ativo de liderança em toda a organização, capaz de criar condições para prevenir riscos, reforçar comportamentos seguros e preservar a continuidade do serviço público.

Ao mesmo tempo, importa reconhecer que a robustez tecnológica, por si só, não basta. A experiência demonstra que muitos incidentes resultam de gestos aparentemente simples do quotidiano organizacional, como a abertura de uma mensagem fraudulenta, a utilização pouco segura de credenciais, a partilha indevida de informação ou a ausência de reporte atempado perante um comportamento anómalo. Os dados recentes confirmam essa realidade. Nos últimos anos, o phishing/smishing (técnicas que recorrem a mensagens de correio eletrónico ou comunicações móveis fraudulentas para enganar utilizadores e obter dados ou induzir ações indevidas) voltou a ser o tipo de incidente mais registado pela equipa de resposta a incidentes de segurança informática portuguesa, o CERT.PT, enquanto a engenharia social foi a tipologia que mais cresceu. Isto mostra, com particular clareza, que a componente humana continua a ser um dos fatores mais determinantes na prevenção e contenção dos riscos digitais.

Neste quadro, a formação e a sensibilização devem ser entendidas como instrumentos centrais de prevenção. Promover boas práticas de utilização do correio eletrónico, reforçar a atenção a tentativas de fraude e engenharia social, estimular a utilização segura de palavras-passe e credenciais, alertar para os cuidados no uso de dispositivos móveis e sensibilizar para a proteção de dados pessoais e de informação sensível são medidas fundamentais para consolidar hábitos de segurança no dia a dia dos serviços. A estas dimensões acresce a importância de promover uma utilização responsável dos recursos digitais institucionais, reforçando a perceção de que cada utilizador tem um papel efetivo na proteção do ambiente digital da organização.

Da mesma forma, assume particular importância a comunicação célere de situações suspeitas ou incidentes. Reconhecer sinais de risco, saber como agir e conhecer os canais internos adequados para reportar uma ocorrência podem ser fatores decisivos na prevenção de danos mais graves, sobretudo num contexto em que a rapidez de reação condiciona a capacidade de contenção e mitigação dos seus efeitos. A prontidão na comunicação interna, aliada à clareza dos procedimentos, contribui para uma resposta mais eficaz e para um reforço da capacidade institucional de recuperação. Neste mesmo quadro, torna-se igualmente essencial assegurar a continuidade digital dos serviços municipais, preparando a organização para responder a perturbações, preservar o funcionamento das atividades essenciais e garantir condições de recuperação perante incidentes. A segurança digital mede-se, assim, também pela capacidade de manter a regularidade da ação administrativa e a prestação do serviço público, mesmo em contextos adversos.

A relevância deste esforço torna-se ainda mais evidente à luz da evolução do panorama europeu. A análise setorial mais recente da Agência da União Europeia para a Cibersegurança evidencia que a administração pública continua a desempenhar um papel crítico na prestação de serviços essenciais e permanece particularmente exposta a ameaças suscetíveis de afetar diretamente a continuidade do serviço e a reputação institucional, designadamente ataques de ransomware (programa malicioso que bloqueia sistemas ou dados e procura obter um resgate) e incidentes de violação de dados. Esta realidade assume especial significado no contexto municipal, onde proteger o ambiente digital significa salvaguardar a continuidade do atendimento, a segurança da informação administrativa e a confiança dos cidadãos nos serviços públicos.

No Município de Guimarães, esta visão tem vindo a ser concretizada através de ações desenvolvidas no âmbito das medidas de gestão de riscos de cibersegurança em curso. Estas iniciativas traduzem uma abordagem integrada, assente em esclarecimento, formação e capacitação, com vista ao reforço da cultura interna de segurança e à consolidação de comportamentos preventivos em toda a estrutura municipal. Trata-se de um esforço coerente com a dinâmica mais ampla de reforço da resiliência digital na administração local, igualmente visível no trabalho colaborativo promovido no âmbito do Fórum de Cibersegurança da Administração Local pelo Centro Nacional de Cibersegurança.

As campanhas de sensibilização em curso e futuras centrar-se-ão em aspetos essenciais da segurança digital no contexto organizacional, designadamente na utilização segura do correio eletrónico, na identificação de tentativas de phishing e de engenharia social, na gestão adequada de palavras-passe e acessos, na utilização responsável de equipamentos e dispositivos móveis, na proteção da informação e dos dados pessoais e na comunicação imediata de ocorrências anómalas. Paralelamente, a realização de ações específicas e exercícios práticos contribuirá para tornar mais claros os procedimentos de resposta e para reforçar a articulação entre os diversos serviços municipais. A dimensão prática destas iniciativas assumira particular relevo, por permitir transformar conhecimento abstrato em comportamentos concretos e operacionais. Um exemplo particularmente expressivo é o da verificação de pedidos urgentes - alteração de dados, pagamentos, entre outros - uma prática simples que pode impedir fraudes de impersonation (falsificação de identidade para induzir a vítima em erro) e de engenharia social.

Mais do que transmitir informação, estas campanhas procuram consolidar uma atitude. Procuram afirmar a ideia de que a cibersegurança se constrói todos os dias, através de escolhas simples, mas decisivas, feitas por cada utilizador no exercício das suas funções, num processo contínuo de atenção, prudência e responsabilidade. Cada acesso, cada mensagem, cada partilha de informação e cada decisão tomada no ambiente digital tem impacto na segurança coletiva da organização.

A mensagem que importa reforçar é, por isso, inequívoca. A cibersegurança é uma responsabilidade partilhada. Num tempo em que a confiança nos serviços públicos depende, em grande medida, da segurança, fiabilidade e resiliência dos sistemas digitais, investir em sensibilização, formação e cultura organizacional é investir em boa governação, em serviço público de qualidade e em confiança institucional. É esse o caminho para uma administração pública local mais preparada, mais resiliente e mais confiável.

Ricardo Machado

Diretor do Departamento de Inovação, Transformação Digital e Economia