NIS2 no setor do espaço
Guia prático de conformidade NIS2 e DL 125/2025 para Portugal Space, operadores de estações terrestres, operadores de satélites e o programa de lançamento dos Açores.
Enquadramento NIS2
O setor da espaço está incluído no Anexo I: Setores de alta criticidade da Diretiva NIS2 (transposta pelo DL 125/2025). OE (Operadores Essenciais) para operadores de infraestruturas espaciais de importância crítica nacional; OI (Operadores Importantes) nos restantes casos.
Ver todos os 18 setores abrangidosClassificacao setorial
Anexo I: Setores de alta criticidadeOE (Operadores Essenciais) para operadores de infraestruturas espaciais de importância crítica nacional; OI (Operadores Importantes) nos restantes casos.
Exemplos de entidades abrangidas
- Portugal Space (agência espacial portuguesa)
- Operadores de estações terrestres de telecomunicações por satélite
- Operadores de satélites com ligação a Portugal
- Entidades ligadas ao programa de lançamento dos Açores (Spaceport Azores)
- Utilizadores governamentais e críticos dos serviços de posicionamento Galileo e Copernicus
Autoridades competentes
Ameacas especificas do setor
O setor espacial enfrenta ameaças de cibersegurança com características únicas: os sistemas afetados podem estar fisicamente inacessíveis (em órbita), os protocolos de comunicação espacial foram desenvolvidos sem requisitos modernos de cibersegurança e um único incidente pode comprometer serviços críticos de comunicação, navegação e observação da Terra que servem múltiplos setores.
Viasat KA-SAT (fevereiro de 2022): o maior ataque conhecido a infraestrutura espacial
Em 24 de fevereiro de 2022, horas antes da invasão russa da Ucrânia, um ataque cibernético ao sistema de satélite KA-SAT da Viasat destruiu a funcionalidade de dezenas de milhares de modems em toda a Europa. O ataque utilizou o wiper AcidRain contra os modems através do sistema de gestão da rede. Além de desligar comunicações militares ucranianas, afetou 5800 turbinas eólicas na Alemanha e utilizadores em múltiplos países europeus.
Jamming e spoofing do sistema de navegação Galileo
Ataques de jamming (interferência intencional do sinal) e spoofing (transmissão de sinais falsos de localização) do sistema Galileo e do GPS têm sido documentados no espaço aéreo europeu. Estes ataques afetam não apenas a navegação aérea e marítima, mas também a sincronização temporal de infraestruturas críticas (redes de telecomunicações, sistemas de energia e mercados financeiros) que dependem do sinal GNSS.
Hijack de ligações de comando e controlo de satélites (TT&C)
As ligações de telemetria, rastreamento e controlo (TT&C) de satélites, se comprometidas, permitem ao atacante assumir o controlo do satélite, alterar a sua órbita, desligar transponders ou destruir o equipamento por sobreaquecimento. Incidentes históricos documentados incluem o compromisso de satélites militares norte-americanos nos anos 1990 e mais recentemente de satélites comerciais de observação da Terra.
Ataques a infraestrutura de lançamento e controlo em terra
As estações terrestres de controlo de missão e os centros de lançamento são infraestrutura crítica com elevada concentração de sistemas de controlo industrial (ICS/SCADA). Um ataque a estes sistemas pode comprometer missões em preparação, causar falhas de lançamento com impacto de segurança física ou interromper o controlo de satélites já em órbita.
Regulacao aplicavel
Para além do DL 125/2025 (transposição da Diretiva NIS2), o setor da espaço está sujeito a regulação setorial específica que se articula com as obrigações NIS2.
DL 125/2025: Art. 27.º (transpõe o Art. 21 da Diretiva NIS2)
Transposição da Diretiva NIS2 em Portugal. Todas as entidades do setor espacial abrangidas devem implementar as 9 medidas de cibersegurança previstas no Art. 27.º do DL 125/2025. O setor espacial é uma novidade da NIS2 face à NIS1.
Regulamento (UE) 2021/696 (Programa Espacial da UE)
Estabelece o quadro do programa espacial da UE, incluindo Galileo, EGNOS, Copernicus e GOVSATCOM, e define requisitos de segurança para os sistemas e infraestruturas espaciais da UE. Integra requisitos de cibersegurança para os utilizadores governamentais.
Galileo PRS: Regulamento (UE) 1104/2011
Regula o acesso ao serviço público regulado (PRS) do Galileo, um sinal cifrado reservado a utilizadores governamentais e de segurança crítica. Impõe requisitos específicos de segurança para os recetores e sistemas PRS.
Normas ECSS e CCSDS para sistemas espaciais
As normas ECSS (European Cooperation for Space Standardization) e CCSDS (Consultative Committee for Space Data Systems) definem requisitos técnicos para sistemas espaciais, incluindo protocolos de comunicação e requisitos de segurança para ligações TT&C. Complementam os requisitos do DL 125/2025.
As 9 medidas do Art. 27.º aplicadas ao setor
O Art. 27.º do DL 125/2025 (que transpõe o Art. 21 da Diretiva NIS2) estabelece 9 medidas de cibersegurança obrigatórias para operadores essenciais e importantes. Aqui mostramos como cada medida se aplica especificamente ao setor da espaço.
Tratamento de incidentes
Definir procedimentos de deteção, resposta e recuperação, com notificação ao CNCS em 24 horas (Art. 42.º) e relatório final em 30 dias (Art. 44.º).
Continuidade das atividades e gestão de crises
Manter cópias de segurança offline e testadas, planos de recuperação de desastres e capacidade de operação em modo degradado.
Segurança da cadeia de abastecimento
Avaliar a cibersegurança de fornecedores e prestadores de serviços diretos e incluir cláusulas contratuais adequadas.
Segurança na aquisição, desenvolvimento e manutenção
Incluir requisitos de cibersegurança em sistemas e equipamentos, com tratamento e divulgação de vulnerabilidades.
Avaliação da eficácia das medidas
Realizar auditorias e testes de resiliência periódicos para validar a eficácia dos controlos.
Práticas básicas de ciber-higiene e formação
Formar todos os colaboradores e os órgãos de gestão; simular ataques de phishing dirigidos ao contexto do setor.
Criptografia e cifragem
Cifrar dados sensíveis em repouso e em trânsito, com gestão adequada de chaves.
Segurança dos recursos humanos, controlo de acessos e gestão de ativos
Aplicar controlo de acessos baseado em funções (RBAC), inventário de ativos e revisão periódica de privilégios.
Autenticação multifator e comunicações seguras
Exigir autenticação multifator para acessos remotos e privilegiados e proteger as comunicações internas.
Templates para o setor da espaço
Documentação pronta a usar, adaptada às especificidades regulatórias e de ameaças do setor da espaço.
Checklist NIS2: Espaço
Lista de verificação das obrigações do DL 125/2025 adaptada a operadores de satélites e estações terrestres, com referências ao Regulamento do Programa Espacial da UE e às normas ECSS.
Descarregar DOCXMatriz de risco: Espaço
Matriz de avaliação de riscos cibernéticos específica para infraestrutura espacial, incluindo ameaças a satélites, ligações TT&C, estações terrestres e dependências de serviços GNSS.
Descarregar XLSXPlano de resposta a incidentes: Espaço
Plano estruturado para resposta a incidentes em infraestrutura espacial, com fluxos de comunicação ao CNCS, Portugal Space e EUSPA, e procedimentos de contenção de ataques a ligações de controlo.
Descarregar DOCXFerramentas relacionadas
Explore as ferramentas da plataforma para aprofundar a sua conformidade NIS2.
Radar de ameacas
Vulnerabilidades exploradas ativamente (CISA KEV) com contexto NIS2.
Observatorio de ransomware
Grupos ativos, setores alvo e tendencias de ransomware em 2025-2026.
Calculadora de classificacao
Determine se a sua organizacao e OE ou OI ao abrigo do DL 125/2025.
Sistema de auditoria NIS2
Avalie a maturidade da sua conformidade com as 9 medidas do Art. 27.
Setores abrangidos
Todos os 18 setores NIS2 e as suas obrigacoes especificas.
Perguntas frequentes
Questoes comuns sobre a conformidade NIS2 no setor da espaço.
O setor espacial é uma novidade na NIS2 face à NIS1?
Sim. O setor espacial não estava incluído no âmbito da Diretiva NIS1. A NIS2 incluiu-o expressamente no Anexo I (setores de alta criticidade), reconhecendo que as infraestruturas espaciais constituem infraestrutura crítica da qual dependem múltiplos outros setores, incluindo telecomunicações, energia, transportes e serviços financeiros. Em Portugal, o DL 125/2025 transpõe esta obrigação, tornando os operadores espaciais elegíveis pela primeira vez.
Que entidades portuguesas estão abrangidas no setor espacial?
Estão abrangidos os operadores de infraestruturas terrestres de apoio a sistemas espaciais: operadores de estações de controlo, operadores de sistemas de comunicação por satélite, entidades que operam infraestruturas relacionadas com programas espaciais da UE (Galileo, Copernicus) em Portugal e entidades ligadas ao programa de lançamento dos Açores. A Portugal Space, como agência nacional, tem um papel de coordenação e pode ser diretamente abrangida.
Que prazo tenho para notificar um incidente de cibersegurança ao CNCS?
O DL 125/2025 prevê notificação inicial ao CNCS em 24 horas após tomar conhecimento de um incidente significativo (Art. 42.º). Segue-se uma atualização em 72 horas e um relatório final no prazo de 30 dias (Art. 44.º). Para o setor espacial, um incidente que afete a disponibilidade de serviços de posicionamento ou comunicação por satélite pode ser classificado como significativo com impacto transfronteiriço, o que implica coordenação com a ENISA.
Como proteger as ligações de comando e controlo (TT&C) de satélites?
As ligações TT&C devem ser cifradas com algoritmos modernos e protegidas com autenticação mútua forte. As normas CCSDS e ECSS fornecem orientações técnicas específicas. O DL 125/2025 (Art. 27.º) exige ainda segmentação de redes, gestão de acessos privilegiados às consolas de controlo e deteção de anomalias nos padrões de comando. A monitorização contínua das ligações de telemetria é fundamental para detetar tentativas de hijack.