NIS2 no setor da água potável
Guia prático de conformidade NIS2 e DL 125/2025 para EPAL, Águas de Portugal, Indaqua, Veolia, municípios e SMAS em Portugal.
Enquadramento NIS2
O setor da água potável está incluído no Anexo I: Setores de alta criticidade da Diretiva NIS2 (transposta pelo DL 125/2025). OE (Operadores Essenciais) para operadores de sistemas de abastecimento público de água que sirvam uma população relevante; OI (Operadores Importantes) nos restantes casos, conforme os critérios de dimensão e criticidade do DL 125/2025.
Ver todos os 18 setores abrangidosClassificacao setorial
Anexo I: Setores de alta criticidadeOE (Operadores Essenciais) para operadores de sistemas de abastecimento público de água que sirvam uma população relevante; OI (Operadores Importantes) nos restantes casos, conforme os critérios de dimensão e criticidade do DL 125/2025.
Exemplos de entidades abrangidas
- EPAL (Empresa Portuguesa das Águas Livres) como operador do sistema de abastecimento de Lisboa
- Águas de Portugal e as suas subsidiárias regionais
- Indaqua (abastecimento de água em vários municípios do norte)
- Veolia Portugal (gestão de sistemas municipais de água)
- SMAS (Serviços Municipalizados de Água e Saneamento) de municípios de grande dimensão
Autoridades competentes
Ameacas especificas do setor
O setor do abastecimento de água potável é uma infraestrutura crítica de impacto direto na saúde pública. A crescente automação dos processos de tratamento e distribuição através de sistemas SCADA, aliada à conectividade remota, criou novos vetores de ataque com potencial para consequências graves na saúde de populações inteiras.
Oldsmar (2021): manipulação de SCADA em sistema de água potável
Em fevereiro de 2021, um atacante acedeu remotamente ao sistema SCADA da estação de tratamento de água de Oldsmar (Florida, EUA) e tentou aumentar o nível de hidróxido de sódio de 111 para 11.100 ppm, uma concentração perigosa para a saúde humana. O incidente foi detetado por um operador que observou o cursor a mover-se no ecrã. É a referência mundial de risco no setor da água potável.
Ataques a infraestruturas hídricas em Israel (2022)
Em 2022, múltiplas infraestruturas de abastecimento de água em Israel foram alvo de ataques informáticos coordenados que visaram sistemas de controlo de estações de bombagem e de tratamento. Os ataques foram atribuídos a atores estatais e ilustram a instrumentalização das infraestruturas de água como alvo em conflitos geopolíticos.
CyberAv3ngers (Irão) em Aliquippa, Pensilvânia (2023)
Em novembro de 2023, o grupo CyberAv3ngers, ligado ao IRGC iraniano, comprometeu controladores lógicos programáveis (PLC) da Unitronics na estação de tratamento de água de Aliquippa (Pensilvânia). O ataque foi possível pela exposição de controladores industriais à internet com credenciais predefinidas, um padrão frequente em operadores municipais de menor dimensão.
Comprometimento de SCADA de estações de tratamento de água
Estações de tratamento de água (ETA) recorrem a sistemas SCADA para controlo de dosagem de químicos, gestão de bombas e monitorização de qualidade. A exposição destes sistemas à internet, a ausência de segmentação de rede e o uso de credenciais predefinidas são vulnerabilidades persistentes que permitem a um atacante manipular processos de tratamento ou paralisar o fornecimento.
Regulacao aplicavel
Para além do DL 125/2025 (transposição da Diretiva NIS2), o setor da água potável está sujeito a regulação setorial específica que se articula com as obrigações NIS2.
DL 125/2025: Art. 27.º (9 medidas)
Transposição da Diretiva NIS2 em Portugal. Todos os operadores de abastecimento de água potável abrangidos devem implementar as 9 medidas de cibersegurança previstas no Art. 27.º, com especial atenção à segurança dos sistemas SCADA e à gestão de acessos remotos.
DL 306/2007 (qualidade da água para consumo humano)
Decreto-Lei que transpõe a Diretiva 98/83/CE e estabelece os parâmetros de qualidade da água para consumo humano. Um incidente de cibersegurança que comprometa o controlo de qualidade da água pode ter consequências regulatórias ao abrigo deste diploma, para além das obrigações NIS2.
Diretiva (UE) 2020/2184 (qualidade da água para consumo humano)
Diretiva europeia revista que reforça os requisitos de qualidade da água e introduz obrigações de avaliação de risco das redes de distribuição (incluindo riscos de sabotagem), complementares às obrigações NIS2 para operadores de água potável.
IEC 62443 (segurança de sistemas de controlo industrial)
Norma internacional de referência para segurança de sistemas de automação e controlo industrial aplicável a sistemas SCADA de estações de tratamento e redes de distribuição de água. A sua adoção constitui uma abordagem aceite para demonstrar conformidade com as obrigações técnicas do Art. 27.º do DL 125/2025.
As 9 medidas do Art. 27.º aplicadas ao setor
O Art. 27.º do DL 125/2025 (que transpõe o Art. 21 da Diretiva NIS2) estabelece 9 medidas de cibersegurança obrigatórias para operadores essenciais e importantes. Aqui mostramos como cada medida se aplica especificamente ao setor da água potável.
Tratamento de incidentes
Definir procedimentos de deteção, resposta e recuperação, com notificação ao CNCS em 24 horas (Art. 42.º) e relatório final em 30 dias (Art. 44.º).
Continuidade das atividades e gestão de crises
Manter cópias de segurança offline e testadas, planos de recuperação de desastres e capacidade de operação em modo degradado.
Segurança da cadeia de abastecimento
Avaliar a cibersegurança de fornecedores e prestadores de serviços diretos e incluir cláusulas contratuais adequadas.
Segurança na aquisição, desenvolvimento e manutenção
Incluir requisitos de cibersegurança em sistemas e equipamentos, com tratamento e divulgação de vulnerabilidades.
Avaliação da eficácia das medidas
Realizar auditorias e testes de resiliência periódicos para validar a eficácia dos controlos.
Práticas básicas de ciber-higiene e formação
Formar todos os colaboradores e os órgãos de gestão; simular ataques de phishing dirigidos ao contexto do setor.
Criptografia e cifragem
Cifrar dados sensíveis em repouso e em trânsito, com gestão adequada de chaves.
Segurança dos recursos humanos, controlo de acessos e gestão de ativos
Aplicar controlo de acessos baseado em funções (RBAC), inventário de ativos e revisão periódica de privilégios.
Autenticação multifator e comunicações seguras
Exigir autenticação multifator para acessos remotos e privilegiados e proteger as comunicações internas.
Templates para o setor da água potável
Documentação pronta a usar, adaptada às especificidades regulatórias e de ameaças do setor da água potável.
Checklist NIS2: Água potável
Lista de verificação das obrigações do DL 125/2025 adaptada ao setor do abastecimento de água potável, com referências à IEC 62443 e ao DL 306/2007.
Descarregar DOCXMatriz de risco: Água potável
Matriz de avaliação de riscos cibernéticos específica para sistemas SCADA de abastecimento de água, incluindo cenários de manipulação de tratamento químico e paragem de bombagem.
Descarregar XLSXPlano de resposta a incidentes: Água potável
Plano estruturado para resposta a incidentes em sistemas de abastecimento de água, com fluxos de comunicação ao CNCS e procedimentos de continuidade operacional e de saúde pública.
Descarregar DOCXFerramentas relacionadas
Explore as ferramentas da plataforma para aprofundar a sua conformidade NIS2.
Radar de ameacas
Vulnerabilidades exploradas ativamente (CISA KEV) com contexto NIS2.
Observatorio de ransomware
Grupos ativos, setores alvo e tendencias de ransomware em 2025-2026.
Calculadora de classificacao
Determine se a sua organizacao e OE ou OI ao abrigo do DL 125/2025.
Sistema de auditoria NIS2
Avalie a maturidade da sua conformidade com as 9 medidas do Art. 27.
Setores abrangidos
Todos os 18 setores NIS2 e as suas obrigacoes especificas.
Perguntas frequentes
Questoes comuns sobre a conformidade NIS2 no setor da água potável.
O meu serviço municipal de água está abrangido pela NIS2 / DL 125/2025?
Os operadores de abastecimento de água potável estão incluídos no Anexo I da Diretiva NIS2 (setores de alta criticidade), transposta em Portugal pelo DL 125/2025. A classificação como Operador Essencial (OE) ou Operador Importante (OI) depende da dimensão (número de utilizadores servidos) e da criticidade da entidade. Operadores que sirvam grandes aglomerações urbanas serão tipicamente OE. Use a calculadora de classificação disponível no portal para verificar o seu caso específico.
Que prazo tenho para notificar um incidente de cibersegurança ao CNCS?
O DL 125/2025 prevê notificação inicial ao CNCS em 24 horas após tomar conhecimento de um incidente significativo (Art. 42.º). Segue-se uma atualização em 72 horas com mais detalhes e um relatório final no prazo de 30 dias (Art. 44.º). No setor da água, um incidente com impacto na qualidade ou continuidade do abastecimento deve também ser comunicado à ERSAR e, se houver risco para a saúde pública, à DGS.
Os sistemas SCADA das estações de tratamento estão abrangidos pela NIS2?
Sim. As obrigações do Art. 27.º do DL 125/2025 abrangem todos os sistemas de redes e de informação utilizados pelos operadores, incluindo sistemas SCADA, PLCs e sensores de qualidade da água. A segmentação destes sistemas face às redes corporativas, a gestão de acessos remotos e a monitorização de anomalias são obrigações concretas da NIS2 no setor da água potável.
Como posso proteger os sistemas de controlo contra acessos remotos não autorizados?
As medidas essenciais incluem: eliminar exposições diretas de sistemas SCADA à internet; utilizar VPNs com autenticação multifator para acesso remoto de manutenção; alterar todas as credenciais predefinidas de controladores e sensores; implementar segmentação de rede entre os sistemas OT e as redes corporativas (modelo Purdue); e monitorizar acessos privilegiados a sistemas de controlo. Estas medidas estão detalhadas nos templates disponíveis para download.