Dados-chave do ENISA TL 2025
Distribuição por tipo de ameaça
O ENISA TL 2025 documenta uma dualidade no panorama de ameaças: em volume de ataques, os DDoS dominam (77% dos incidentes), muitos deles de motivação hacktivista relacionada com conflitos geopolíticos. Em impacto operacional e financeiro, o ransomware domina esmagadoramente.
Distribuição do cybercrime por tipo
| Tipo de ameaça | % cybercrime | Tendência |
|---|---|---|
| Ransomware (cybercrime) | 81,1% | Estável (vs 78,3% em 2024) |
| Data breaches (sem ransomware) | 15,2% | Crescimento +3pp |
| Fraude digital | 3,7% | Estável |
Top ransomware strains, cybercrime (jul 2024–jun 2025)
| Ranking | Grupo | Share | Setores principais |
|---|---|---|---|
| #1 | Akira | 48,7% | Manufactura, saúde, serviços profissionais |
| #2 | Qilin | 20,5% | Saúde, infraestruturas críticas, retalho |
| #3 | FOG | 10,3% | Educação, governo, serviços financeiros |
Top ransomware, setor administração pública UE
| Grupo | Share |
|---|---|
| NightSpire | 41,7% |
| SafePay | 33,3% |
| Stormous | 25,0% |
Tendências emergentes identificadas pelo ENISA
Convergência IT/OT
O ENISA TL 2025 documenta um aumento significativo de incidentes em que o comprometimento começa em redes IT corporativas e progride para ambientes OT/SCADA. Esta convergência é especialmente relevante para operadores de energia, água e transportes abrangidos pelo Anexo I do DL 125/2025.
Hacktivismo e ataques state-aligned
O relatório documenta crescimento de hacktivismo relacionado com conflitos geopolíticos (Ucrânia, Médio Oriente), frequentemente usando DDoS e defacement como ferramentas de perturbação simbólica. Mais preocupantes são os grupos state-aligned que combinam espionagem com pré-posicionamento para eventual perturbação de infraestruturas.
Decentralização do ecossistema de ameaças
A fragmentação do mercado de ransomware após operações policiais criou um ecossistema mais resiliente, dezenas de grupos menores são mais difíceis de desarticular do que poucos líderes concentrados.
Para o planeamento NIS2: O ENISA TL é a referência de facto para justificar decisões de investimento em cibersegurança perante órgãos de gestão. As entidades devem referenciar os dados relevantes do seu setor ao elaborar avaliações de risco ao abrigo do Art. 21.º.
Recomendações ENISA para entidades NIS2
O relatório inclui recomendações explícitas para entidades abrangidas pela NIS2:
- MFA phishing-resistant em todos os sistemas de acesso remoto, endereça o principal vetor de acesso inicial.
- Patch management estruturado com SLAs definidos por criticidade de vulnerabilidade.
- Threat intelligence sharing através das redes ISACs setoriais e CERT/CSIRT nacionais.
- Tabletop exercises com cenários baseados nos grupos documentados no TL do setor relevante.
- Logging centralizado e retenção de 12 meses para suportar investigação forense pós-incidente.