NIS2 Portugal

NIS2 no setor dos produtos químicos

Guia prático de conformidade NIS2 e DL 125/2025 para produtores, armazenistas e distribuidores de produtos químicos, incluindo instalações Seveso em Portugal.

Enquadramento NIS2

O setor da produtos químicos está incluído no Anexo II: Outros setores críticos da Diretiva NIS2 (transposta pelo DL 125/2025). OI (Operadores Importantes) na generalidade; instalações Seveso de nível superior e operadores de maior dimensão podem ser classificados como OE (Operadores Essenciais).

Ver todos os 18 setores abrangidos

Classificacao setorial

Anexo II: Outros setores críticos

OI (Operadores Importantes) na generalidade; instalações Seveso de nível superior e operadores de maior dimensão podem ser classificados como OE (Operadores Essenciais).

Exemplos de entidades abrangidas

  • Produtores de substâncias e preparações químicas industriais
  • Instalações de armazenamento de produtos químicos perigosos (Seveso)
  • Distribuidores e operadores logísticos de produtos químicos a granel
  • Produtores de produtos agroquímicos e fertilizantes
  • Refinarias e instalações petroquímicas com linha de produção integrada

Autoridades competentes

IGAMAOT : Inspeção-Geral da Agricultura, do Mar, do Ambiente e do Ordenamento do Território: entidade competente para Seveso III e prevenção de acidentes industriais graves.
APA : Agência Portuguesa do Ambiente: autoridade competente para licenciamento ambiental e gestão de riscos associados a substâncias perigosas.
ACT : Autoridade para as Condições do Trabalho: fiscalização da segurança e saúde no trabalho em instalações com substâncias perigosas.
INFARMED : Autoridade Nacional do Medicamento: supervisão de substâncias de uso farmacêutico e químicos de enquadramento regulatório misto.
CNCS : Centro Nacional de Cibersegurança: autoridade nacional NIS2 competente e ponto de contacto para reporte de incidentes.

Ameacas especificas do setor

O setor químico apresenta um perfil de risco único: um ciberataque bem-sucedido a sistemas de controlo pode ter consequências físicas graves, incluindo libertação de substâncias perigosas, explosões ou contaminação ambiental. A convergência entre IT e OT nas instalações modernas eleva o potencial de impacto de ameaças cibernéticas para além do âmbito digital.

Triton/Trisis: o primeiro malware concebido para matar

Em 2017, o malware Triton/Trisis atacou os sistemas instrumentados de segurança (SIS) Schneider Electric Triconex numa instalação petroquímica no Médio Oriente. O objetivo era desativar as proteções físicas de emergência para provocar um acidente industrial. É considerado o primeiro malware explicitamente concebido para causar dano físico a pessoas, e a sua arquitetura foi estudada por atacantes de todo o mundo.

Ransomware em instalações de produção química

A Norsk Hydro (2019) e a BASF (alvo de intrusão por ciberespionagem) ilustram a exposição do setor a ataques que paralisam sistemas de controlo de processo. Em instalações com substâncias perigosas, uma paragem não planeada pode activar protocolos de emergência ou criar condições propícias a acidentes, para além do impacto operacional e económico.

Comprometimento de redes SCADA e DCS

Os sistemas de controlo de processo (DCS) e de supervisão (SCADA) em instalações químicas gerem variáveis críticas de segurança como temperatura, pressão e caudal. O comprometimento destes sistemas por movimentação lateral a partir de redes corporativas pode resultar em manipulação de parâmetros com consequências físicas graves.

Ataques a sistemas instrumentados de segurança (SIS)

Os SIS são a última linha de defesa em instalações com processos perigosos. Vulnerabilidades em protocolos industriais legados (Modbus, Profibus, OPC) e a ligação crescente de SIS a redes supervisoras criam vetores de ataque diretos. A norma IEC 61511 define os níveis de integridade de segurança (SIL) e os requisitos de proteção destes sistemas.

Caso de referência: Triton 2017 O ataque Triton em 2017 a uma instalação petroquímica visou especificamente desativar os sistemas de segurança instrumentados (SIS) para causar um acidente físico. O incidente foi descoberto por acidente quando o malware provocou uma paragem de emergência inesperada. A CISA, o FBI e o NCSC publicaram alertas conjuntos sobre o grupo por detrás do Triton (atribuído ao instituto estatal russo CNIIHM), classificando-o como uma ameaça persistente ao setor de energia e ao setor químico.

Regulacao aplicavel

Para além do DL 125/2025 (transposição da Diretiva NIS2), o setor da produtos químicos está sujeito a regulação setorial específica que se articula com as obrigações NIS2.

DL 125/2025: Art. 27.º (9 medidas)

Transposição da Diretiva NIS2 em Portugal. Os operadores abrangidos do setor químico devem implementar as 9 medidas de cibersegurança do Art. 27.º, com ênfase na proteção de sistemas OT e na gestão de risco de instalações com substâncias perigosas.

REACH: Regulamento (CE) n.º 1907/2006

O regulamento REACH exige registo, avaliação e autorização de substâncias químicas. A integridade digital dos sistemas de registo e rastreabilidade de substâncias é um requisito implícito de conformidade com o REACH, que pode ser comprometida por ciberataques.

CLP: Regulamento (CE) n.º 1272/2008 e Seveso III (DL 150/2015)

O CLP regula a classificação, rotulagem e embalagem de substâncias perigosas. O DL 150/2015 (Seveso III) impõe obrigações de prevenção de acidentes industriais graves, incluindo sistemas de controlo de processo seguros, com relevância direta para a cibersegurança de instalações de nível superior.

IEC 61511: níveis de integridade de segurança (SIL)

A norma IEC 61511 é a referência técnica para sistemas instrumentados de segurança (SIS) em instalações de processo. Define os requisitos funcionais e de integridade (SIL 1 a SIL 4) e inclui requisitos de gestão do ciclo de vida da segurança, incluindo a proteção contra ameaças cibernéticas.

As 9 medidas do Art. 27.º aplicadas ao setor

O Art. 27.º do DL 125/2025 (que transpõe o Art. 21 da Diretiva NIS2) estabelece 9 medidas de cibersegurança obrigatórias para operadores essenciais e importantes. Aqui mostramos como cada medida se aplica especificamente ao setor da produtos químicos.

al. a)

Tratamento de incidentes

Definir procedimentos de deteção, resposta e recuperação, com notificação ao CNCS em 24 horas (Art. 42.º) e relatório final em 30 dias (Art. 44.º).

al. b)

Continuidade das atividades e gestão de crises

Manter cópias de segurança offline e testadas, planos de recuperação de desastres e capacidade de operação em modo degradado.

al. c)

Segurança da cadeia de abastecimento

Avaliar a cibersegurança de fornecedores e prestadores de serviços diretos e incluir cláusulas contratuais adequadas.

al. d)

Segurança na aquisição, desenvolvimento e manutenção

Incluir requisitos de cibersegurança em sistemas e equipamentos, com tratamento e divulgação de vulnerabilidades.

al. e)

Avaliação da eficácia das medidas

Realizar auditorias e testes de resiliência periódicos para validar a eficácia dos controlos.

al. f)

Práticas básicas de ciber-higiene e formação

Formar todos os colaboradores e os órgãos de gestão; simular ataques de phishing dirigidos ao contexto do setor.

al. g)

Criptografia e cifragem

Cifrar dados sensíveis em repouso e em trânsito, com gestão adequada de chaves.

al. h)

Segurança dos recursos humanos, controlo de acessos e gestão de ativos

Aplicar controlo de acessos baseado em funções (RBAC), inventário de ativos e revisão periódica de privilégios.

al. i)

Autenticação multifator e comunicações seguras

Exigir autenticação multifator para acessos remotos e privilegiados e proteger as comunicações internas.

Templates para o setor da produtos químicos

Documentação pronta a usar, adaptada às especificidades regulatórias e de ameaças do setor da produtos químicos.

Checklist NIS2: Produtos químicos

Lista de verificação das obrigações do DL 125/2025 adaptada ao setor químico, com referências a Seveso III, REACH, CLP e IEC 61511 para instalações com substâncias perigosas.

Descarregar DOCX

Matriz de risco: Produtos químicos

Matriz de avaliação de riscos cibernéticos para o setor químico, com critérios de severidade adaptados ao impacto físico em instalações Seveso e vetores de ataque específicos a sistemas SIS e DCS.

Descarregar XLSX

Plano de resposta a incidentes: Produtos químicos

Plano estruturado para resposta a incidentes em instalações químicas, com procedimentos de isolamento de sistemas OT, coordenação com autoridades Seveso e comunicação ao CNCS.

Descarregar DOCX

Ferramentas relacionadas

Explore as ferramentas da plataforma para aprofundar a sua conformidade NIS2.

Radar de ameacas

Vulnerabilidades exploradas ativamente (CISA KEV) com contexto NIS2.

Observatorio de ransomware

Grupos ativos, setores alvo e tendencias de ransomware em 2025-2026.

Calculadora de classificacao

Determine se a sua organizacao e OE ou OI ao abrigo do DL 125/2025.

Sistema de auditoria NIS2

Avalie a maturidade da sua conformidade com as 9 medidas do Art. 27.

Setores abrangidos

Todos os 18 setores NIS2 e as suas obrigacoes especificas.

Perguntas frequentes

Questoes comuns sobre a conformidade NIS2 no setor da produtos químicos.

Uma instalação Seveso está abrangida pela NIS2 / DL 125/2025?

A produção, o armazenamento e a distribuição de produtos químicos estão incluídos no Anexo II da Diretiva NIS2 (outros setores críticos), transposta em Portugal pelo DL 125/2025. Instalações Seveso de nível superior e operadores de maior dimensão são tipicamente classificados como Operadores Importantes (OI) ou Essenciais (OE). As obrigações NIS2 são complementares às já existentes ao abrigo do DL 150/2015 (Seveso III).

Como proteger sistemas SIS ao abrigo do Art. 27.º do DL 125/2025?

O Art. 27.º do DL 125/2025 exige medidas técnicas e organizacionais adequadas ao risco, que para instalações com SIS incluem segmentação física e lógica entre redes IT, OT e sistemas de segurança, gestão de vulnerabilidades em PLCs e controladores de segurança, controlo de acessos físico e lógico a cabines de controlo, e auditorias de conformidade com IEC 61511. A lição do Triton é que os SIS não podem ser considerados imunes a ciberataques.

Que prazo tenho para notificar um incidente ao CNCS?

O DL 125/2025 prevê notificação inicial ao CNCS em 24 horas após tomar conhecimento de um incidente significativo (Art. 42.º), com atualização em 72 horas e relatório final em 30 dias (Art. 44.º). Em instalações Seveso, um incidente cibernético que afete sistemas de controlo de processo deve ser também comunicado à IGAMAOT se criar risco de acidente industrial grave, em paralelo com a notificação ao CNCS.

O REACH e a NIS2 têm requisitos de cibersegurança sobrepostos?

Não diretamente, mas são complementares. O REACH impõe obrigações de rastreabilidade e gestão de dados sobre substâncias químicas; a NIS2 (DL 125/2025) exige a proteção dos sistemas de informação que suportam essa rastreabilidade. Uma violação de dados que comprometa a integridade dos registos REACH pode constituir simultaneamente uma violação do regulamento europeu e um incidente significativo ao abrigo do DL 125/2025.