NIS2 energia | Conformidade, ameaças e templates

Enquadramento NIS2

O setor da energia está incluído no Anexo I: Setores de alta criticidade da Diretiva NIS2 (transposta pelo DL 125/2025). OE (Operadores Essenciais) para operadores de redes de transporte e distribuição, produtores de energia de grande dimensão e comercializadores relevantes; OI (Operadores Importantes) nos restantes casos.

Ver todos os 18 setores abrangidos

Classificacao setorial

Anexo I: Setores de alta criticidade

OE (Operadores Essenciais) para operadores de redes de transporte e distribuição, produtores de energia de grande dimensão e comercializadores relevantes; OI (Operadores Importantes) nos restantes casos.

Exemplos de entidades abrangidas

REN (Redes Energéticas Nacionais) como operador da rede de transporte de eletricidade e gás natural
EDP e EDP Distribuição como operadores de rede de distribuição
Operadores de rede de distribuição de gás natural
Produtores de energia renovável e convencional de grande dimensão
Comercializadores de energia com posição relevante no mercado

Autoridades competentes

ERSE : Entidade Reguladora dos Serviços Energéticos: regulação económica e de qualidade de serviço no setor elétrico e do gás natural.

DGEG : Direção-Geral de Energia e Geologia: política energética nacional e licenciamento de infraestruturas.

CNCS : Centro Nacional de Cibersegurança: autoridade nacional NIS2 competente para notificação de incidentes e supervisão.

Ameacas especificas do setor

O setor da energia é alvo prioritário de atores de Estado e grupos de cibercrime organizados. A convergência entre redes IT (tecnologias de informação) e OT (tecnologias operacionais) nos sistemas de controlo industrial (ICS/SCADA) expande significativamente a superfície de ataque, com potencial impacto direto no fornecimento de eletricidade e gás a milhões de cidadãos.

Volt Typhoon: APT estatal ativo em infraestruturas críticas

O FBI e a Dragos confirmaram em 2026 que o grupo Volt Typhoon (ligado à China) está ativamente posicionado em infraestruturas críticas de energia nos EUA e na Europa, em modo de pré-posicionamento para potencial sabotagem. A técnica living-off-the-land (LOtL) torna a deteção particularmente difícil com ferramentas convencionais.

Industroyer/CrashOverride e HAVEX: malware dedicado a sistemas de energia

O Industroyer (também conhecido como CrashOverride) foi o malware responsável pelo apagão de Kiev de 2016, o primeiro ataque informático a causar corte de energia elétrica em larga escala. O HAVEX visou especificamente sistemas SCADA de operadores de energia europeus através de comprometimento da cadeia de fornecimento de software industrial.

Aumento de 49% de ataques estatais a energia em 2024

O relatório Dragos ICS/OT Cybersecurity Year in Review 2024 documenta um aumento de 49% de ataques por atores alinhados com Estados a setores de energia, transportes e água. Portugal, como membro da NATO com infraestruturas de energia interligadas com Espanha e o mercado ibérico (MIBEL), é parte deste contexto geopolítico de risco elevado.

Ransomware em sistemas OT/SCADA

O ransomware tem vindo a evoluir para afetar diretamente sistemas OT. O ataque à Colonial Pipeline em 2021 (EUA) forçou a paragem de 8.850 km de oleoduto. Em Portugal, sistemas de supervisão e controlo (SCADA) de subestações e centros de despacho são alvos de elevado valor para grupos de ransomware como Cl0p e BlackBasta.

Regulacao aplicavel

Para além do DL 125/2025 (transposição da Diretiva NIS2), o setor da energia está sujeito a regulação setorial específica que se articula com as obrigações NIS2.

DL 125/2025: Art. 27.º (9 medidas)

Transposição da Diretiva NIS2 em Portugal. Todos os operadores de energia abrangidos devem implementar as 9 medidas de cibersegurança previstas no Art. 27.º, com especial atenção à segurança de sistemas OT e à segmentação de redes IT/OT.

ERSE Regulamento n.º 647/2019 (cibersegurança no setor elétrico)

Regulamento setorial da ERSE sobre cibersegurança no setor elétrico, que estabelece obrigações específicas para operadores de rede de transporte e distribuição, incluindo reporte de incidentes à ERSE e ao CNCS.

IEC 62443 (níveis SL-T 3-4 para infraestruturas críticas)

Norma internacional para segurança de sistemas de automação e controlo industrial (IACS). O setor da energia deve atingir níveis de segurança SL-T 3 ou 4 nos sistemas OT mais críticos, incluindo SCADA de subestações e centros de despacho.

Modelo Purdue para segmentação de redes IT/OT

O modelo Purdue (ISA-95) define uma arquitetura de referência para segmentação de redes industriais em zonas e condutas, separando os sistemas de controlo (níveis 0-2) dos sistemas de gestão (níveis 3-4) e da rede corporativa, reduzindo a superfície de ataque lateral.

As 9 medidas do Art. 27.º aplicadas ao setor

O Art. 27.º do DL 125/2025 (que transpõe o Art. 21 da Diretiva NIS2) estabelece 9 medidas de cibersegurança obrigatórias para operadores essenciais e importantes. Aqui mostramos como cada medida se aplica especificamente ao setor da energia.

al. a)

Tratamento de incidentes

Definir procedimentos de deteção, resposta e recuperação, com notificação ao CNCS em 24 horas (Art. 42.º) e relatório final em 30 dias (Art. 44.º).

al. b)

Continuidade das atividades e gestão de crises

Manter cópias de segurança offline e testadas, planos de recuperação de desastres e capacidade de operação em modo degradado.

al. c)

Segurança da cadeia de abastecimento

Avaliar a cibersegurança de fornecedores e prestadores de serviços diretos e incluir cláusulas contratuais adequadas.

al. d)

Segurança na aquisição, desenvolvimento e manutenção

Incluir requisitos de cibersegurança em sistemas e equipamentos, com tratamento e divulgação de vulnerabilidades.

al. e)

Avaliação da eficácia das medidas

Realizar auditorias e testes de resiliência periódicos para validar a eficácia dos controlos.

al. f)

Práticas básicas de ciber-higiene e formação

Formar todos os colaboradores e os órgãos de gestão; simular ataques de phishing dirigidos ao contexto do setor.

al. g)

Criptografia e cifragem

Cifrar dados sensíveis em repouso e em trânsito, com gestão adequada de chaves.

al. h)

Segurança dos recursos humanos, controlo de acessos e gestão de ativos

Aplicar controlo de acessos baseado em funções (RBAC), inventário de ativos e revisão periódica de privilégios.

al. i)

Autenticação multifator e comunicações seguras

Exigir autenticação multifator para acessos remotos e privilegiados e proteger as comunicações internas.

Templates para o setor da energia

Documentação pronta a usar, adaptada às especificidades regulatórias e de ameaças do setor da energia.

Checklist NIS2: Energia

Lista de verificação das obrigações do DL 125/2025 adaptada ao setor da energia, com referências à IEC 62443, ao modelo Purdue e ao Regulamento ERSE n.º 647/2019.

Descarregar DOCX

Matriz de risco: Energia

Matriz de avaliação de riscos cibernéticos específica para ambientes OT/SCADA no setor da energia, incluindo ameaças de atores estatais e ransomware industrial.

Descarregar XLSX

Plano de resposta a incidentes: Energia

Plano estruturado para resposta a incidentes em ambiente OT/SCADA no setor da energia, com fluxos de comunicação ao CNCS e procedimentos de continuidade operacional.

Descarregar DOCX

Ferramentas relacionadas

Explore as ferramentas da plataforma para aprofundar a sua conformidade NIS2.

Radar de ameacas

Vulnerabilidades exploradas ativamente (CISA KEV) com contexto NIS2.

Observatorio de ransomware

Grupos ativos, setores alvo e tendencias de ransomware em 2025-2026.

Calculadora de classificacao

Determine se a sua organizacao e OE ou OI ao abrigo do DL 125/2025.

Sistema de auditoria NIS2

Avalie a maturidade da sua conformidade com as 9 medidas do Art. 27.

Setores abrangidos

Todos os 18 setores NIS2 e as suas obrigacoes especificas.

Perguntas frequentes

Questoes comuns sobre a conformidade NIS2 no setor da energia.

A minha empresa de energia está abrangida pela NIS2 / DL 125/2025?

Os operadores do setor da energia estão incluídos no Anexo I da Diretiva NIS2 (setores de alta criticidade), transposta em Portugal pelo DL 125/2025. A classificação como Operador Essencial (OE) ou Operador Importante (OI) depende da dimensão e criticidade da entidade. Operadores de rede de transporte e distribuição, bem como produtores de grande dimensão, são tipicamente OE. Use a calculadora de classificação disponível no portal para verificar o seu caso específico.

Que prazo tenho para notificar um incidente de cibersegurança ao CNCS?

O DL 125/2025 prevê notificação inicial ao CNCS em 24 horas após tomar conhecimento de um incidente significativo (Art. 42.º). Segue-se uma atualização em 72 horas com mais detalhes e um relatório final no prazo de 30 dias (Art. 44.º). No setor da energia, incidentes com impacto na continuidade do fornecimento devem também ser comunicados à ERSE, conforme o Regulamento n.º 647/2019.

Os sistemas OT e SCADA estão abrangidos pelas obrigações NIS2?

Sim. As obrigações do Art. 27.º do DL 125/2025 abrangem todos os sistemas de redes e de informação utilizados pelos operadores, incluindo sistemas OT, ICS e SCADA. A segmentação entre redes IT e OT, a gestão de vulnerabilidades em equipamentos industriais e os planos de continuidade para sistemas de controlo são obrigações concretas da NIS2 no setor da energia.

Como se relacionam a NIS2 e a norma IEC 62443 para o setor da energia?

A IEC 62443 é a norma técnica internacional de referência para segurança de sistemas de automação e controlo industrial. A sua adoção é fortemente recomendada como forma de demonstrar conformidade com as obrigações técnicas do Art. 27.º do DL 125/2025. O alinhamento com os níveis de segurança SL-T 3 ou 4 exigidos para infraestruturas críticas de energia constitui uma abordagem aceite pelas autoridades competentes para cumprir as exigências NIS2.