NIS2 Portugal

NIS2 no setor da investigação

Guia prático de conformidade NIS2 e DL 125/2025 para universidades, institutos públicos de investigação, laboratórios associados e centros de I&D em Portugal.

Enquadramento NIS2

O setor da investigação está incluído no Anexo II: Outros setores críticos da Diretiva NIS2 (transposta pelo DL 125/2025). OI (Operadores Importantes) na generalidade; entidades de investigação de grande dimensão ou com projetos de elevada criticidade nacional podem ser classificadas como OE (Operadores Essenciais).

Ver todos os 18 setores abrangidos

Classificacao setorial

Anexo II: Outros setores críticos

OI (Operadores Importantes) na generalidade; entidades de investigação de grande dimensão ou com projetos de elevada criticidade nacional podem ser classificadas como OE (Operadores Essenciais).

Exemplos de entidades abrangidas

  • Universidades públicas e privadas
  • Institutos públicos de investigação (INESC TEC, LNEC, LIP, INESC MN)
  • Laboratórios associados do sistema científico nacional
  • Centros de I&D financiados pela FCT
  • Institutos de interface universidade-empresa

Autoridades competentes

FCT : Fundação para a Ciência e a Tecnologia: entidade financiadora e supervisora do sistema científico nacional, responsável por requisitos de segurança em projetos com financiamento público.
CNCS : Centro Nacional de Cibersegurança: autoridade nacional NIS2 competente, ponto de contacto para notificação de incidentes e operador da rede RCTS-CERT.
CNPD : Comissão Nacional de Proteção de Dados: supervisão do tratamento de dados pessoais em projetos de investigação, incluindo dados de participantes em ensaios clínicos.

Ameacas especificas do setor

O setor da investigação é um alvo prioritário de grupos APT patrocinados por Estados e de espionagem industrial. A propriedade intelectual, os dados de investigação de ponta e o acesso a infraestruturas de computação de alto desempenho tornam universidades e institutos de I&D alvos de elevado valor estratégico.

Roubo de propriedade intelectual por APT

O ataque à Universidade de Oxford em 2020, durante a investigação da vacina COVID-19, ilustra como a investigação de ponta atrai grupos APT patrocinados por Estados. Os atacantes visam dados de investigação, patentes em desenvolvimento e resultados pré-publicação com valor estratégico ou comercial elevado. Grupos APT chineses, russos e iranianos estão documentados como atores ativos neste domínio.

Exfiltração via bolseiros e estudantes

A natureza aberta das universidades, com acesso a redes e sistemas por bolseiros, estudantes de doutoramento e investigadores visitantes de múltiplas origens, cria vetores de exfiltração difíceis de controlar. Dispositivos pessoais não geridos, acesso a repositórios de dados sem autenticação robusta e partilha informal de credenciais são explorados para extrair dados de investigação.

Comprometimento de infraestrutura de computação

As infraestruturas de computação de alto desempenho (HPC) e os clusters de GPU utilizados para investigação em IA e ciência computacional são alvos valiosos para mineração de criptomoedas, processamento de dados roubados e ataques a terceiros. O comprometimento destas infraestruturas pode paralisar projetos de investigação de longa duração.

Phishing dirigido a investigadores

Campanhas de spear-phishing altamente personalizadas visam investigadores usando contextos académicos credíveis: convites para conferências, pedidos de revisão de artigos, notificações de bolsas. Uma vez comprometidas as credenciais de um investigador sénior, o atacante acede a dados de projetos, correspondência com parceiros industriais e, em alguns casos, sistemas de controlo de laboratório.

Investigação de ponta como alvo de espionagem estatal O ataque à Universidade de Oxford durante o desenvolvimento da vacina AstraZeneca/Oxford contra a COVID-19 em 2020 confirmou que a investigação científica de ponta é um alvo de espionagem estatal de primeiro plano. Grupos APT patrocinados por Estados visam ativamente universidades e institutos de investigação para obter vantagens estratégicas, económicas e de segurança nacional, incluindo dados de investigação em defesa, energia nuclear, saúde e inteligência artificial.

Regulacao aplicavel

Para além do DL 125/2025 (transposição da Diretiva NIS2), o setor da investigação está sujeito a regulação setorial específica que se articula com as obrigações NIS2.

DL 125/2025 : Art. 27.º (9 medidas)

Transposição da Diretiva NIS2 em Portugal. Entidades de investigação abrangidas devem implementar as 9 medidas de cibersegurança do Art. 27.º, com particular atenção à proteção de dados de investigação e à segurança da cadeia de abastecimento académica.

Regras de segurança do Horizonte Europa

O programa Horizonte Europa da Comissão Europeia exige que os beneficiários implementem medidas de segurança adequadas para proteger os dados de investigação financiados com fundos europeus, incluindo requisitos de gestão de dados (Data Management Plan) e planos de segurança para projetos com dupla utilização potencial.

Controlo de exportação de dupla utilização (Reg. UE 2021/821)

O Regulamento (UE) 2021/821 controla a exportação de tecnologias de dupla utilização, incluindo software e conhecimento científico com aplicações militares ou de segurança. As entidades de investigação devem verificar se os seus resultados ou colaborações internacionais estão sujeitos a controlos de exportação.

Classificação de dados de investigação (Tier 1 a 4)

O sistema de classificação de dados de investigação por níveis (Open, Restricted, Sensitive, Highly Sensitive) é adotado por financiadores como a FCT e o UK Research and Innovation para determinar os requisitos de segurança aplicáveis a cada tipo de dado de investigação ao longo do seu ciclo de vida.

As 9 medidas do Art. 27.º aplicadas ao setor

O Art. 27.º do DL 125/2025 (que transpõe o Art. 21 da Diretiva NIS2) estabelece 9 medidas de cibersegurança obrigatórias para operadores essenciais e importantes. Aqui mostramos como cada medida se aplica especificamente ao setor da investigação.

al. a)

Tratamento de incidentes

Definir procedimentos de deteção, resposta e recuperação, com notificação ao CNCS em 24 horas (Art. 42.º) e relatório final em 30 dias (Art. 44.º).

al. b)

Continuidade das atividades e gestão de crises

Manter cópias de segurança offline e testadas, planos de recuperação de desastres e capacidade de operação em modo degradado.

al. c)

Segurança da cadeia de abastecimento

Avaliar a cibersegurança de fornecedores e prestadores de serviços diretos e incluir cláusulas contratuais adequadas.

al. d)

Segurança na aquisição, desenvolvimento e manutenção

Incluir requisitos de cibersegurança em sistemas e equipamentos, com tratamento e divulgação de vulnerabilidades.

al. e)

Avaliação da eficácia das medidas

Realizar auditorias e testes de resiliência periódicos para validar a eficácia dos controlos.

al. f)

Práticas básicas de ciber-higiene e formação

Formar todos os colaboradores e os órgãos de gestão; simular ataques de phishing dirigidos ao contexto do setor.

al. g)

Criptografia e cifragem

Cifrar dados sensíveis em repouso e em trânsito, com gestão adequada de chaves.

al. h)

Segurança dos recursos humanos, controlo de acessos e gestão de ativos

Aplicar controlo de acessos baseado em funções (RBAC), inventário de ativos e revisão periódica de privilégios.

al. i)

Autenticação multifator e comunicações seguras

Exigir autenticação multifator para acessos remotos e privilegiados e proteger as comunicações internas.

Templates para o setor da investigação

Documentação pronta a usar, adaptada às especificidades regulatórias e de ameaças do setor da investigação.

Checklist NIS2 : Investigação

Lista de verificação das obrigações do DL 125/2025 adaptada a entidades de investigação, com referências às regras de segurança do Horizonte Europa e ao controlo de exportação de dupla utilização.

Descarregar DOCX

Matriz de risco : Investigação

Matriz de avaliação de riscos cibernéticos específica para entidades de investigação, incluindo cenários de espionagem APT, exfiltração de propriedade intelectual e comprometimento de infraestrutura HPC.

Descarregar XLSX

Plano de resposta a incidentes : Investigação

Plano estruturado para resposta a incidentes em entidades de investigação, com fluxos de comunicação ao CNCS e à FCT e procedimentos de preservação de dados de investigação após comprometimento.

Descarregar DOCX

Ferramentas relacionadas

Explore as ferramentas da plataforma para aprofundar a sua conformidade NIS2.

Radar de ameacas

Vulnerabilidades exploradas ativamente (CISA KEV) com contexto NIS2.

Observatorio de ransomware

Grupos ativos, setores alvo e tendencias de ransomware em 2025-2026.

Calculadora de classificacao

Determine se a sua organizacao e OE ou OI ao abrigo do DL 125/2025.

Sistema de auditoria NIS2

Avalie a maturidade da sua conformidade com as 9 medidas do Art. 27.

Setores abrangidos

Todos os 18 setores NIS2 e as suas obrigacoes especificas.

Perguntas frequentes

Questoes comuns sobre a conformidade NIS2 no setor da investigação.

A minha universidade ou instituto de investigação está abrangido pela NIS2 / DL 125/2025?

As entidades de investigação estão incluídas no Anexo II da Diretiva NIS2 (outros setores críticos), transposta em Portugal pelo DL 125/2025. A classificação como Operador Essencial (OE) ou Operador Importante (OI) depende da dimensão e da criticidade das atividades de investigação. Universidades e institutos de grande dimensão com projetos de investigação estratégicos serão tipicamente classificados como Operadores Importantes. Use a calculadora de classificação para verificar o seu caso.

Como proteger dados de investigação financiados pelo Horizonte Europa?

O Horizonte Europa exige um Plano de Gestão de Dados (Data Management Plan) que inclua medidas de segurança proporcionais à sensibilidade dos dados. Os dados de investigação classificados como Sensitive ou Highly Sensitive (Tier 3-4) requerem cifra em repouso e em trânsito, controlo de acessos baseado em funções e registo de acessos. A alínea h) do Art. 27.º do DL 125/2025 (criptografia e gestão de chaves) é diretamente aplicável a estes requisitos.

Que prazo tem a minha instituição para notificar um incidente ao CNCS?

O DL 125/2025 prevê notificação inicial ao CNCS em 24 horas após tomar conhecimento de um incidente significativo (Art. 42.º). Segue-se uma atualização em 72 horas e um relatório final em 30 dias (Art. 44.º). Em caso de suspeita de espionagem ou ataque APT, a instituição deve também contactar o CNCS e, se aplicável, o GNS, para coordenação com as autoridades de segurança nacional.

Como gerir os riscos de segurança associados a bolseiros e colaboradores estrangeiros?

A gestão de acessos de bolseiros e colaboradores visitantes é um dos maiores desafios de segurança no setor da investigação, coberto pela alínea i) do Art. 27.º do DL 125/2025 (segurança dos recursos humanos e controlo de acessos). As entidades devem implementar contas com privilégios mínimos, autenticação multifator, monitorização de transferências de dados para dispositivos externos e procedimentos de revogação imediata de acessos no fim de cada colaboração. A formação específica em segurança da informação deve ser obrigatória para todos os utilizadores com acesso a dados de investigação sensíveis.