NIS2 Portugal

NIS2 no setor da indústria transformadora

Guia prático de conformidade NIS2 e DL 125/2025 para fabricantes de dispositivos médicos, eletrónica, máquinas e veículos em Portugal.

Enquadramento NIS2

O setor da indústria transformadora está incluído no Anexo II: Outros setores críticos da Diretiva NIS2 (transposta pelo DL 125/2025). OI (Operadores Importantes) na generalidade; entidades de maior dimensão e criticidade podem ser classificadas como OE (Operadores Essenciais).

Ver todos os 18 setores abrangidos

Classificacao setorial

Anexo II: Outros setores críticos

OI (Operadores Importantes) na generalidade; entidades de maior dimensão e criticidade podem ser classificadas como OE (Operadores Essenciais).

Exemplos de entidades abrangidas

  • Fabricantes de dispositivos médicos e equipamentos de diagnóstico
  • Fabricantes de eletrónica, semicondutores e equipamentos elétricos
  • Fabricantes de máquinas industriais e equipamentos de processo
  • Fabricantes de veículos automóveis, componentes e sistemas de propulsão
  • Indústria química e petroquímica com linha de produção integrada

Autoridades competentes

INFARMED : Autoridade Nacional do Medicamento: supervisão de dispositivos médicos (MDR/IVDR) e requisitos de cibersegurança ao longo do ciclo de vida.
IMT : Instituto da Mobilidade e dos Transportes: regulação de cibersegurança automóvel alinhada com UNECE R155/R156.
ASAE : Autoridade de Segurança Alimentar e Económica: fiscalização da segurança de produtos industriais no mercado.
ACT : Autoridade para as Condições do Trabalho: supervisão da segurança e saúde no trabalho em ambiente industrial.
IAPMEI : Agência para a Competitividade e Inovação: apoio a PME industriais na adoção de práticas de cibersegurança.
CNCS : Centro Nacional de Cibersegurança: autoridade nacional NIS2 competente e ponto de contacto para reporte de incidentes.

Ameacas especificas do setor

A indústria transformadora é um dos setores com maior crescimento de incidentes cibernéticos, impulsionado pela convergência IT/OT. A ligação de sistemas de controlo industrial (ICS/SCADA) a redes corporativas e à internet amplifica dramaticamente a superfície de ataque e o potencial de impacto físico.

LockerGoga: ransomware que paralisa a produção

Em 2019, o ransomware LockerGoga atacou a Norsk Hydro, um dos maiores produtores mundiais de alumínio, forçando a paragem de fábricas em vários continentes e prejuízos superiores a 71 milhões de dólares. O ataque demonstrou que ransomware concebido para redes IT pode propagar-se a sistemas OT e interromper linhas de produção inteiras.

Honda 2020: produção automóvel parada por ransomware

Em junho de 2020, a Honda suspendeu a produção em fábricas na Europa, América do Norte e Japão após um ataque de ransomware (Snake/EKANS) que afetou especificamente sistemas de controlo industrial. O malware foi concebido para encerrar processos SCADA antes de cifrar ficheiros, ilustrando a evolução das ameaças para o ambiente OT.

Triton/Trisis: ataque a sistemas de segurança instrumentados

O malware Triton visou sistemas instrumentados de segurança (SIS) Schneider Electric Triconex numa instalação industrial, com o objetivo de desativar os mecanismos de proteção física. Um ataque bem-sucedido a SIS pode provocar acidentes industriais graves, tornando-o uma das ameaças mais críticas para instalações com processos perigosos.

Stuxnet: sabotagem de controladores PLC

O worm Stuxnet foi o primeiro ciberataque a causar danos físicos documentados em infraestrutura industrial, reprogramando controladores PLC Siemens S7 para destruir centrifugadoras. Estabeleceu o paradigma dos ataques a sistemas de controlo industrial e é referência obrigatória na avaliação de risco de qualquer instalação com PLC em rede.

Caso de referência: Norsk Hydro 2019 O ataque à Norsk Hydro em março de 2019 é o caso de referência mundial de ransomware industrial. A propagação do LockerGoga por toda a rede global da empresa forçou operações manuais em dezenas de fábricas, com perdas estimadas entre 71 e 75 milhões de dólares. A empresa optou por não pagar o resgate e a recuperação demorou várias semanas, com apoio da Microsoft e das autoridades norueguesas.

Regulacao aplicavel

Para além do DL 125/2025 (transposição da Diretiva NIS2), o setor da indústria transformadora está sujeito a regulação setorial específica que se articula com as obrigações NIS2.

DL 125/2025: Art. 27.º (9 medidas)

Transposição da Diretiva NIS2 em Portugal. Os fabricantes abrangidos devem implementar as 9 medidas de cibersegurança do Art. 27.º, com foco na segurança de sistemas OT/ICS e na gestão da cadeia de abastecimento industrial.

MDR/IVDR: Regulamentos UE 2017/745 e 2017/746

Fabricantes de dispositivos médicos devem garantir a cibersegurança ao longo de todo o ciclo de vida do produto, incluindo gestão de vulnerabilidades pós-comercialização e documentação técnica alinhada com as orientações MDCG.

UNECE R155/R156: cibersegurança automóvel

Obrigatório para fabricantes de veículos homologados na UE desde julho de 2024. Exige um sistema de gestão da cibersegurança (CSMS) certificado e um sistema de gestão de atualizações de software (SUMS) ao longo do ciclo de vida do veículo.

IEC 62443 e Regulamento (UE) 2023/1230 (máquinas)

A norma IEC 62443 estabelece requisitos de cibersegurança para sistemas de automação e controlo industrial (IACS). O Regulamento (UE) 2023/1230 relativo a máquinas inclui requisitos de proteção contra corrupção de software e impõe avaliação de conformidade para máquinas com funções de controlo digital.

As 9 medidas do Art. 27.º aplicadas ao setor

O Art. 27.º do DL 125/2025 (que transpõe o Art. 21 da Diretiva NIS2) estabelece 9 medidas de cibersegurança obrigatórias para operadores essenciais e importantes. Aqui mostramos como cada medida se aplica especificamente ao setor da indústria transformadora.

al. a)

Tratamento de incidentes

Definir procedimentos de deteção, resposta e recuperação, com notificação ao CNCS em 24 horas (Art. 42.º) e relatório final em 30 dias (Art. 44.º).

al. b)

Continuidade das atividades e gestão de crises

Manter cópias de segurança offline e testadas, planos de recuperação de desastres e capacidade de operação em modo degradado.

al. c)

Segurança da cadeia de abastecimento

Avaliar a cibersegurança de fornecedores e prestadores de serviços diretos e incluir cláusulas contratuais adequadas.

al. d)

Segurança na aquisição, desenvolvimento e manutenção

Incluir requisitos de cibersegurança em sistemas e equipamentos, com tratamento e divulgação de vulnerabilidades.

al. e)

Avaliação da eficácia das medidas

Realizar auditorias e testes de resiliência periódicos para validar a eficácia dos controlos.

al. f)

Práticas básicas de ciber-higiene e formação

Formar todos os colaboradores e os órgãos de gestão; simular ataques de phishing dirigidos ao contexto do setor.

al. g)

Criptografia e cifragem

Cifrar dados sensíveis em repouso e em trânsito, com gestão adequada de chaves.

al. h)

Segurança dos recursos humanos, controlo de acessos e gestão de ativos

Aplicar controlo de acessos baseado em funções (RBAC), inventário de ativos e revisão periódica de privilégios.

al. i)

Autenticação multifator e comunicações seguras

Exigir autenticação multifator para acessos remotos e privilegiados e proteger as comunicações internas.

Templates para o setor da indústria transformadora

Documentação pronta a usar, adaptada às especificidades regulatórias e de ameaças do setor da indústria transformadora.

Checklist NIS2: Indústria transformadora

Lista de verificação das obrigações do DL 125/2025 adaptada à indústria transformadora, com referências a MDR/IVDR, UNECE R155 e IEC 62443 para sistemas OT/ICS.

Descarregar DOCX

Matriz de risco: Indústria transformadora

Matriz de avaliação de riscos cibernéticos para ambientes industriais, incluindo vetores de ataque específicos a sistemas OT/ICS, SCADA e PLC, com critérios de severidade adaptados ao impacto físico.

Descarregar XLSX

Plano de resposta a incidentes: Indústria transformadora

Plano estruturado para resposta a incidentes em ambiente industrial, com procedimentos de isolamento de redes OT, continuidade de produção em modo degradado e comunicação ao CNCS.

Descarregar DOCX

Ferramentas relacionadas

Explore as ferramentas da plataforma para aprofundar a sua conformidade NIS2.

Radar de ameacas

Vulnerabilidades exploradas ativamente (CISA KEV) com contexto NIS2.

Observatorio de ransomware

Grupos ativos, setores alvo e tendencias de ransomware em 2025-2026.

Calculadora de classificacao

Determine se a sua organizacao e OE ou OI ao abrigo do DL 125/2025.

Sistema de auditoria NIS2

Avalie a maturidade da sua conformidade com as 9 medidas do Art. 27.

Setores abrangidos

Todos os 18 setores NIS2 e as suas obrigacoes especificas.

Perguntas frequentes

Questoes comuns sobre a conformidade NIS2 no setor da indústria transformadora.

A minha fábrica está abrangida pela NIS2 / DL 125/2025?

A indústria transformadora está incluída no Anexo II da Diretiva NIS2 (outros setores críticos), transposta em Portugal pelo DL 125/2025. A classificação como Operador Importante (OI) ou Operador Essencial (OE) depende da dimensão e da criticidade da entidade. Fabricantes de dispositivos médicos, veículos, eletrónica e máquinas com limiares de volume de negócios e número de trabalhadores acima dos critérios da NIS2 estão tipicamente abrangidos. Use a calculadora de classificação para verificar o seu caso.

Como proteger sistemas OT/SCADA ao abrigo do Art. 27.º do DL 125/2025?

O Art. 27.º do DL 125/2025 exige medidas de cibersegurança técnicas e organizacionais adequadas ao risco, incluindo segmentação de redes IT/OT, inventariação de ativos industriais, gestão de vulnerabilidades em sistemas de controlo e monitorização contínua. A norma IEC 62443 é a referência técnica recomendada para sistemas de automação e controlo industrial (IACS).

Que prazo tenho para notificar um incidente industrial ao CNCS?

O DL 125/2025 prevê notificação inicial ao CNCS em 24 horas após tomar conhecimento de um incidente significativo (Art. 42.º), com uma atualização em 72 horas e relatório final em 30 dias (Art. 44.º). Um incidente que afete sistemas de controlo industrial com potencial impacto físico deve ser reportado de imediato, mesmo que a avaliação da significância ainda não esteja concluída.

Os requisitos UNECE R155 e NIS2 são redundantes para fabricantes de automóveis?

Não são redundantes, mas são complementares. O UNECE R155 regula a cibersegurança do produto (o veículo) e exige um CSMS certificado por uma entidade acreditada. O DL 125/2025 (NIS2) regula a cibersegurança da organização fabricante como operador de redes e sistemas de informação. Ambos devem ser implementados em paralelo, sendo possível reutilizar análises de risco e controlos entre os dois frameworks.