NIS2 Portugal

NIS2 no setor das águas residuais

Guia prático de conformidade NIS2 e DL 125/2025 para Águas de Portugal (SIMTEJO, SIMRIA, SANEST), EPAL, Veolia e municípios em Portugal.

Enquadramento NIS2

O setor da águas residuais está incluído no Anexo I: Setores de alta criticidade da Diretiva NIS2 (transposta pelo DL 125/2025). OE (Operadores Essenciais) para operadores de sistemas de saneamento que sirvam uma população relevante ou com instalações de tratamento de capacidade significativa; OI (Operadores Importantes) nos restantes casos, conforme os critérios de dimensão e criticidade do DL 125/2025.

Ver todos os 18 setores abrangidos

Classificacao setorial

Anexo I: Setores de alta criticidade

OE (Operadores Essenciais) para operadores de sistemas de saneamento que sirvam uma população relevante ou com instalações de tratamento de capacidade significativa; OI (Operadores Importantes) nos restantes casos, conforme os critérios de dimensão e criticidade do DL 125/2025.

Exemplos de entidades abrangidas

  • SIMTEJO (Saneamento Integrado dos Municípios do Tejo e Trancão), subsidiária de Águas de Portugal
  • SIMRIA (Saneamento Integrado dos Municípios da Ria de Aveiro), subsidiária de Águas de Portugal
  • SANEST (Saneamento da Costa do Estoril), subsidiária de Águas de Portugal
  • Veolia Portugal em sistemas municipais de saneamento
  • SMAS (Serviços Municipalizados de Água e Saneamento) de municípios de grande dimensão

Autoridades competentes

ERSAR : Entidade Reguladora dos Serviços de Águas e Resíduos: regulação e supervisão da qualidade do serviço de saneamento de águas residuais em Portugal.
APA : Agência Portuguesa do Ambiente: gestão dos recursos hídricos, licenciamento de descargas e supervisão ambiental de ETAR.
IGAMAOT : Inspeção-Geral da Agricultura, do Mar, do Ambiente e do Ordenamento do Território: fiscalização ambiental e investigação de descargas não autorizadas.
CNCS : Centro Nacional de Cibersegurança: autoridade nacional NIS2 competente para notificação de incidentes e supervisão.

Ameacas especificas do setor

O setor das águas residuais opera infraestruturas críticas com impacto direto no ambiente e na saúde pública. A automação crescente das estações de tratamento de águas residuais (ETAR) através de sistemas SCADA, combinada com a pressão de redução de custos operacionais que frequentemente atrasa a renovação de equipamentos, cria vulnerabilidades persistentes com potencial de dano ambiental severo.

Maroochy Shire (2000): primeiro ataque OT documentado da história

Em 2000, Vitek Boden, ex-funcionário da empresa de saneamento de Maroochy Shire (Queensland, Austrália), utilizou equipamento roubado para enviar comandos fraudulentos ao sistema SCADA da rede de esgotos, causando a descarga deliberada de 800.000 litros de águas residuais não tratadas em rios, parques e terrenos. É o primeiro ataque informático a um sistema de controlo industrial (OT) documentado na história.

Comprometimento de SCADA de estações de tratamento de águas residuais

Os sistemas SCADA que controlam as ETAR gerem bombas de elevação, filtros biológicos e sistemas de dosagem de reagentes. O comprometimento destes sistemas pode resultar em descargas de efluentes não tratados para o ambiente, com impacto em ecossistemas aquáticos, captações de água a jusante e obrigações legais de qualidade da água ao abrigo da legislação ambiental europeia.

Descargas não tratadas para o ambiente

Um ataque informático que manipule os controlos de uma ETAR pode forçar a descarga de efluentes insuficientemente tratados para meios hídricos receptores. As consequências incluem coimas ambientais elevadas ao abrigo do DL 152/97 e do Regulamento (UE) 2024/3019, danos reputacionais e potencial suspensão da licença de operação pela IGAMAOT.

Ameaça interna e acesso privilegiado não controlado

O caso Maroochy Shire foi protagonizado por um ex-funcionário com conhecimento técnico do sistema. A ameaça interna em operadores de infraestruturas críticas, incluindo prestadores de serviços de manutenção com acesso remoto, é um vetor persistente que exige controlos de acesso baseados em funções, monitorização de sessões privilegiadas e revogação imediata de acessos após cessação de funções.

Caso Maroochy Shire: pioneiro mundial em ataques OT O caso Maroochy Shire (Austrália, 2000) é reconhecido pelo NIST, pela ENISA e pela ICS-CERT como o primeiro ataque informático documentado a um sistema de controlo industrial (OT) com consequências ambientais reais. Ocorreu mais de duas décadas antes dos ataques modernos a infraestruturas críticas, demonstrando que a ameaça a sistemas de saneamento por insiders e atores externos é uma realidade de longa data que a NIS2 veio finalmente endereçar com obrigações legais vinculativas.

Regulacao aplicavel

Para além do DL 125/2025 (transposição da Diretiva NIS2), o setor da águas residuais está sujeito a regulação setorial específica que se articula com as obrigações NIS2.

DL 125/2025: Art. 27.º (9 medidas)

Transposição da Diretiva NIS2 em Portugal. Todos os operadores de águas residuais abrangidos devem implementar as 9 medidas de cibersegurança previstas no Art. 27.º, com especial atenção à segurança dos sistemas SCADA de ETAR e à gestão de ameaças internas.

Diretiva 91/271/CEE e DL 152/97 (tratamento de águas residuais urbanas)

A Diretiva de Tratamento de Águas Residuais Urbanas e a sua transposição nacional pelo DL 152/97 estabelecem obrigações de tratamento adequado antes da descarga. Um incidente de cibersegurança que resulte em descarga não conforme pode acarretar responsabilidade regulatória ambiental, para além das obrigações NIS2.

Regulamento (UE) 2024/3019 (UWWTD revista)

O novo Regulamento europeu de tratamento de águas residuais urbanas (Urban Wastewater Treatment Directive revista) reforça os requisitos de monitorização e tratamento, incluindo a obrigação de sistemas digitais de controlo, e cria novos pontos de interação com as obrigações de cibersegurança da NIS2.

IEC 62443 (segurança de sistemas de controlo industrial)

Norma internacional de referência para segurança de sistemas de automação e controlo industrial aplicável aos sistemas SCADA de ETAR. A sua adoção permite demonstrar conformidade com as obrigações técnicas do Art. 27.º do DL 125/2025 e é reconhecida pelas autoridades competentes como abordagem adequada.

As 9 medidas do Art. 27.º aplicadas ao setor

O Art. 27.º do DL 125/2025 (que transpõe o Art. 21 da Diretiva NIS2) estabelece 9 medidas de cibersegurança obrigatórias para operadores essenciais e importantes. Aqui mostramos como cada medida se aplica especificamente ao setor da águas residuais.

al. a)

Tratamento de incidentes

Definir procedimentos de deteção, resposta e recuperação, com notificação ao CNCS em 24 horas (Art. 42.º) e relatório final em 30 dias (Art. 44.º).

al. b)

Continuidade das atividades e gestão de crises

Manter cópias de segurança offline e testadas, planos de recuperação de desastres e capacidade de operação em modo degradado.

al. c)

Segurança da cadeia de abastecimento

Avaliar a cibersegurança de fornecedores e prestadores de serviços diretos e incluir cláusulas contratuais adequadas.

al. d)

Segurança na aquisição, desenvolvimento e manutenção

Incluir requisitos de cibersegurança em sistemas e equipamentos, com tratamento e divulgação de vulnerabilidades.

al. e)

Avaliação da eficácia das medidas

Realizar auditorias e testes de resiliência periódicos para validar a eficácia dos controlos.

al. f)

Práticas básicas de ciber-higiene e formação

Formar todos os colaboradores e os órgãos de gestão; simular ataques de phishing dirigidos ao contexto do setor.

al. g)

Criptografia e cifragem

Cifrar dados sensíveis em repouso e em trânsito, com gestão adequada de chaves.

al. h)

Segurança dos recursos humanos, controlo de acessos e gestão de ativos

Aplicar controlo de acessos baseado em funções (RBAC), inventário de ativos e revisão periódica de privilégios.

al. i)

Autenticação multifator e comunicações seguras

Exigir autenticação multifator para acessos remotos e privilegiados e proteger as comunicações internas.

Templates para o setor da águas residuais

Documentação pronta a usar, adaptada às especificidades regulatórias e de ameaças do setor da águas residuais.

Checklist NIS2: Águas residuais

Lista de verificação das obrigações do DL 125/2025 adaptada ao setor das águas residuais, com referências à IEC 62443, ao DL 152/97 e ao Regulamento (UE) 2024/3019.

Descarregar DOCX

Matriz de risco: Águas residuais

Matriz de avaliação de riscos cibernéticos específica para sistemas SCADA de ETAR, incluindo cenários de descarga não tratada, sabotagem por insider e comprometimento remoto.

Descarregar XLSX

Plano de resposta a incidentes: Águas residuais

Plano estruturado para resposta a incidentes em ETAR, com fluxos de comunicação ao CNCS, à ERSAR e à IGAMAOT, e procedimentos de contenção ambiental.

Descarregar DOCX

Ferramentas relacionadas

Explore as ferramentas da plataforma para aprofundar a sua conformidade NIS2.

Radar de ameacas

Vulnerabilidades exploradas ativamente (CISA KEV) com contexto NIS2.

Observatorio de ransomware

Grupos ativos, setores alvo e tendencias de ransomware em 2025-2026.

Calculadora de classificacao

Determine se a sua organizacao e OE ou OI ao abrigo do DL 125/2025.

Sistema de auditoria NIS2

Avalie a maturidade da sua conformidade com as 9 medidas do Art. 27.

Setores abrangidos

Todos os 18 setores NIS2 e as suas obrigacoes especificas.

Perguntas frequentes

Questoes comuns sobre a conformidade NIS2 no setor da águas residuais.

O meu serviço municipal de saneamento está abrangido pela NIS2 / DL 125/2025?

Os operadores de tratamento de águas residuais estão incluídos no Anexo I da Diretiva NIS2 (setores de alta criticidade), transposta em Portugal pelo DL 125/2025. A classificação como Operador Essencial (OE) ou Operador Importante (OI) depende da dimensão do sistema (equivalentes populacionais servidos) e da criticidade da infraestrutura. Operadores de ETAR de grande capacidade que sirvam aglomerações urbanas relevantes serão tipicamente OE. Use a calculadora de classificação disponível no portal para verificar o seu caso.

Que prazo tenho para notificar um incidente de cibersegurança ao CNCS?

O DL 125/2025 prevê notificação inicial ao CNCS em 24 horas após tomar conhecimento de um incidente significativo (Art. 42.º). Segue-se uma atualização em 72 horas com mais detalhes e um relatório final no prazo de 30 dias (Art. 44.º). No setor das águas residuais, um incidente com impacto ambiental (descarga não conforme) deve também ser comunicado à APA e à IGAMAOT, podendo implicar procedimento contraordenacional ambiental independente das obrigações NIS2.

Os sistemas SCADA das ETAR estão abrangidos pelas obrigações NIS2?

Sim. As obrigações do Art. 27.º do DL 125/2025 abrangem todos os sistemas de redes e de informação utilizados pelos operadores, incluindo sistemas SCADA, PLCs e sensores de qualidade de efluentes nas ETAR. A segmentação entre redes OT e redes corporativas, o controlo de acessos remotos de manutenção e a monitorização de anomalias são obrigações concretas da NIS2 no setor das águas residuais.

Como devo gerir os acessos de prestadores externos de manutenção aos sistemas de controlo?

As medidas recomendadas incluem: implementar acesso remoto exclusivamente por VPN com autenticação multifator; atribuir credenciais temporárias de sessão única para cada intervenção de manutenção; monitorizar e registar todas as sessões de acesso remoto a sistemas OT; revogar imediatamente os acessos após conclusão dos trabalhos; e realizar auditoria periódica dos acessos privilegiados. A ameaça interna, ilustrada pelo caso Maroochy Shire, sublinha a importância crítica destes controlos no setor das águas residuais.