NIS2 Portugal

NIS2 no setor dos transportes

Guia prático de conformidade NIS2 e DL 125/2025 para operadores de aviação, transportes ferroviários, marítimos e rodoviários, aeroportos e portos em Portugal.

Enquadramento NIS2

O setor da transportes está incluído no Anexo I: Setores de alta criticidade da Diretiva NIS2 (transposta pelo DL 125/2025). OE (Operadores Essenciais) para os principais operadores de cada subsetor (aviação, ferroviário, marítimo, rodoviário) e gestores de infraestrutura; OI (Operadores Importantes) nos restantes casos.

Ver todos os 18 setores abrangidos

Classificacao setorial

Anexo I: Setores de alta criticidade

OE (Operadores Essenciais) para os principais operadores de cada subsetor (aviação, ferroviário, marítimo, rodoviário) e gestores de infraestrutura; OI (Operadores Importantes) nos restantes casos.

Exemplos de entidades abrangidas

  • TAP Air Portugal e outros transportadores aéreos
  • CP (Comboios de Portugal) e Infraestruturas de Portugal
  • Portos de Lisboa, Sines, Leixões e outros portos nacionais
  • ANA Aeroportos de Portugal
  • Operadores de transporte público rodoviário (Carris, Rodoviária de Lisboa)

Autoridades competentes

IMT : Instituto da Mobilidade e dos Transportes: autoridade regulatória nacional para os transportes terrestres e marítimos, ponto de contacto setorial NIS2.
ANAC : Autoridade Nacional de Aviação Civil: regulador da aviação civil em Portugal, responsável pela supervisão dos requisitos de cibersegurança no setor da aviação (EASA Part-IS).
CNCS : Centro Nacional de Cibersegurança: autoridade nacional NIS2 competente, ponto de contacto para notificação de incidentes de cibersegurança.

Ameacas especificas do setor

O setor dos transportes combina sistemas de tecnologia de informação (IT) com sistemas de tecnologia operacional (OT) e sistemas de controlo críticos para a segurança. O princípio safety over security e a crescente digitalização das infraestruturas de transporte criam uma superfície de ataque com potencial de impacto nas vidas humanas e nas cadeias de abastecimento internacionais.

Spoofing e jamming de GPS na navegação

O spoofing de GPS afeta a navegação de aeronaves, navios e veículos de transporte. Incidentes de spoofing de GPS documentados no Mediterrâneo e no Mar Negro provocaram desvios de rota involuntários em navios comerciais. Na aviação, o spoofing de sinal GPS pode comprometer a precisão dos sistemas de aproximação e de gestão de voo.

Ataques a sistemas de sinalização ferroviária ERTMS

O sistema ERTMS/ETCS (European Rail Traffic Management System) controla a sinalização e o espaçamento de comboios em toda a Europa. Um ataque bem-sucedido a sistemas ERTMS pode comprometer a segurança operacional dos comboios. Em 2021, um atacante comprometeu sistemas de sinalização ferroviária na Polónia, causando paragens de emergência. A integração IT/OT nos sistemas ferroviários modernos amplia a superfície de ataque.

Compromisso de ADS-B e sistemas aviónicos

O protocolo ADS-B (Automatic Dependent Surveillance-Broadcast) não está encriptado nem autenticado, permitindo a injeção de aeronaves fantasma ou a manipulação de posições em sistemas de controlo de tráfego aéreo. Vulnerabilidades em sistemas aviónicos e de entretenimento a bordo foram demonstradas em contextos de investigação, levantando questões sobre a separação entre redes de passageiros e redes aviação.

Ransomware com paralisação de operações de transporte

O ataque NotPetya à Maersk em 2017 paralisou o maior operador de contentores do mundo durante semanas, com um custo estimado de 300 milhões de dólares. A Deutsche Bahn foi atingida pelo WannaCry em 2017. Ataques a sistemas de gestão portuária e aeroportuária podem bloquear o fluxo de mercadorias e passageiros com impacto macroeconómico significativo.

Maersk/NotPetya (2017): o ciberataque mais caro nos transportes O ataque NotPetya à A.P. Moller-Maersk em junho de 2017 destruiu 45 000 computadores e 4 000 servidores, paralisando completamente as operações do maior operador de contentores do mundo durante 10 dias. O custo estimado foi de 300 milhões de dólares. O incidente obrigou a reinstalar toda a infraestrutura IT global a partir de um único controlador de domínio que sobreviveu offline em África. Este caso é a referência de impacto operacional e financeiro de um ciberataque no setor dos transportes.

Regulacao aplicavel

Para além do DL 125/2025 (transposição da Diretiva NIS2), o setor da transportes está sujeito a regulação setorial específica que se articula com as obrigações NIS2.

DL 125/2025 : Art. 27.º (9 medidas)

Transposição da Diretiva NIS2 em Portugal. Operadores de transportes abrangidos nos subsetores de aviação, ferroviário, marítimo e rodoviário devem implementar as 9 medidas de cibersegurança do Art. 27.º. Aplica-se o princípio safety over security: as medidas de cibersegurança não podem comprometer a segurança operacional.

EASA Part-IS (aviação)

O Regulamento (UE) 2022/1645 da EASA estabelece requisitos de segurança da informação (Part-IS) para aviação civil, incluindo gestão de riscos de segurança, reporte de incidentes e gestão da cadeia de abastecimento. Complementa e especifica os requisitos NIS2 para operadores de aviação.

IMO Resolution MSC.428(98) (marítimo)

A Resolução MSC.428(98) da Organização Marítima Internacional exige que a gestão de riscos cibernéticos seja integrada nos Sistemas de Gestão de Segurança (SMS) dos navios, em conformidade com o Código ISM. Os armadores e operadores de navios devem avaliar os riscos cibernéticos que afetam os sistemas de navegação, propulsão e carga.

ERTMS/ETCS e Galileo PRS (ferroviário e navegação)

O ERTMS/ETCS (European Rail Traffic Management System) define os requisitos de segurança funcional e de cibersegurança para os sistemas de controlo e comando ferroviários. O Galileo PRS (Public Regulated Service) oferece sinal de posicionamento encriptado e resistente a spoofing para utilizadores governamentais e de segurança crítica.

As 9 medidas do Art. 27.º aplicadas ao setor

O Art. 27.º do DL 125/2025 (que transpõe o Art. 21 da Diretiva NIS2) estabelece 9 medidas de cibersegurança obrigatórias para operadores essenciais e importantes. Aqui mostramos como cada medida se aplica especificamente ao setor da transportes.

al. a)

Tratamento de incidentes

Definir procedimentos de deteção, resposta e recuperação, com notificação ao CNCS em 24 horas (Art. 42.º) e relatório final em 30 dias (Art. 44.º).

al. b)

Continuidade das atividades e gestão de crises

Manter cópias de segurança offline e testadas, planos de recuperação de desastres e capacidade de operação em modo degradado.

al. c)

Segurança da cadeia de abastecimento

Avaliar a cibersegurança de fornecedores e prestadores de serviços diretos e incluir cláusulas contratuais adequadas.

al. d)

Segurança na aquisição, desenvolvimento e manutenção

Incluir requisitos de cibersegurança em sistemas e equipamentos, com tratamento e divulgação de vulnerabilidades.

al. e)

Avaliação da eficácia das medidas

Realizar auditorias e testes de resiliência periódicos para validar a eficácia dos controlos.

al. f)

Práticas básicas de ciber-higiene e formação

Formar todos os colaboradores e os órgãos de gestão; simular ataques de phishing dirigidos ao contexto do setor.

al. g)

Criptografia e cifragem

Cifrar dados sensíveis em repouso e em trânsito, com gestão adequada de chaves.

al. h)

Segurança dos recursos humanos, controlo de acessos e gestão de ativos

Aplicar controlo de acessos baseado em funções (RBAC), inventário de ativos e revisão periódica de privilégios.

al. i)

Autenticação multifator e comunicações seguras

Exigir autenticação multifator para acessos remotos e privilegiados e proteger as comunicações internas.

Templates para o setor da transportes

Documentação pronta a usar, adaptada às especificidades regulatórias e de ameaças do setor da transportes.

Checklist NIS2 : Transportes

Lista de verificação das obrigações do DL 125/2025 adaptada ao setor dos transportes, com referências à EASA Part-IS, à IMO MSC.428(98) e aos requisitos ERTMS para o subsetor ferroviário.

Descarregar DOCX

Matriz de risco : Transportes

Matriz de avaliação de riscos cibernéticos específica para operadores de transporte, cobrindo subsetores de aviação, ferroviário, marítimo e rodoviário, com cenários OT/IT e princípio safety over security.

Descarregar XLSX

Plano de resposta a incidentes : Transportes

Plano estruturado para resposta a incidentes no setor dos transportes, com fluxos de comunicação ao CNCS, ao IMT e às autoridades setoriais (ANAC, IPTM) e procedimentos de continuidade operacional.

Descarregar DOCX

Ferramentas relacionadas

Explore as ferramentas da plataforma para aprofundar a sua conformidade NIS2.

Radar de ameacas

Vulnerabilidades exploradas ativamente (CISA KEV) com contexto NIS2.

Observatorio de ransomware

Grupos ativos, setores alvo e tendencias de ransomware em 2025-2026.

Calculadora de classificacao

Determine se a sua organizacao e OE ou OI ao abrigo do DL 125/2025.

Sistema de auditoria NIS2

Avalie a maturidade da sua conformidade com as 9 medidas do Art. 27.

Setores abrangidos

Todos os 18 setores NIS2 e as suas obrigacoes especificas.

Perguntas frequentes

Questoes comuns sobre a conformidade NIS2 no setor da transportes.

Os operadores de transporte em Portugal estão abrangidos pela NIS2 / DL 125/2025?

Sim. O setor dos transportes (aviação, ferroviário, marítimo e rodoviário) está incluído no Anexo I da Diretiva NIS2 (setores de alta criticidade), transposta em Portugal pelo DL 125/2025. Os principais operadores de cada subsetor e os gestores de infraestrutura serão tipicamente classificados como Operadores Essenciais (OE). Use a calculadora de classificação para verificar o enquadramento do seu operador.

Como se articula a NIS2 com os requisitos de segurança da EASA (Part-IS) na aviação?

A EASA Part-IS (Regulamento UE 2022/1645) e a NIS2 (DL 125/2025) são complementares para operadores de aviação. A Part-IS é lex specialis para a aviação civil e os seus requisitos são mais detalhados e específicos que os da NIS2. As entidades sujeitas a ambos os regulamentos devem desenvolver um sistema de gestão de segurança da informação (ISMS) integrado que satisfaça simultaneamente os requisitos da Part-IS e do Art. 27.º do DL 125/2025.

Que prazo tem um operador de transportes para notificar um incidente ao CNCS?

O DL 125/2025 prevê notificação inicial ao CNCS em 24 horas após tomar conhecimento de um incidente significativo (Art. 42.º), com atualização em 72 horas e relatório final em 30 dias (Art. 44.º). Na aviação, a EASA Part-IS e os requisitos de notificação EASA podem estabelecer prazos adicionais. Os operadores devem coordenar os procedimentos de notificação entre o CNCS, a ANAC e, quando aplicável, a EASA.

Como gerir a separação entre redes IT e OT nos transportes para cumprir a NIS2?

A segmentação entre redes de tecnologia da informação (IT) e tecnologia operacional (OT) é um requisito fundamental coberto pela alínea d) do Art. 27.º do DL 125/2025. No setor dos transportes, os sistemas de controlo de tráfego, sinalização, navegação e propulsão devem estar isolados das redes corporativas e de passageiros. O princípio safety over security implica que qualquer medida de cibersegurança deve ser avaliada quanto ao seu impacto na segurança operacional antes de ser implementada, em articulação com as autoridades de aviação, marítimas e ferroviárias competentes.