Estes são tempos em que a nossa dependência do digital e infraestruturas críticas torna os ciberincidentes uma ameaça social à escala global. O apagão elétrico deste ano, por exemplo, tornou óbvio que uma falha ou ataque que afete os operadores de energia pode gerar consequências imensas: interrupção de serviços básicos, prejuízos económicos gigantescos, perda de confiança pública e, em última instância, risco para a segurança humana.

Os conflitos geopolíticos mais ativos como a invasão da Ucrânia pela Rússia, a situação no Médio Oriente decorrente do ataque terrorista do Hamas e os efeitos da resposta israelita, ou as tensões no Mar da China, têm trazido para o âmbito do ciberespaço grande parte da conflitualidade.

O recurso a grupos privados, ou aos tais grupos dissimulados ou furtivos atuando por conta (proxies) de Estados ou grandes interesses, atacando não só infraestruturas digitais mas também o espaço informacional, influenciando os media e atuando nas redes sociais, são marca dos tempos e consubstanciam ameaças híbridas.

É neste contexto que a preparação é fundamental para que a surpresa não seja inevitável: os exercícios de cibersegurança são absolutamente essenciais. Não se trata de um luxo para quem pode, mas de uma obrigação para organizações públicas e privadas, profissionais e para o próprio Estado.

Segundo o Observatório de Cibersegurança do Centro Nacional de Cibersegurança (CNCS), o número de incidentes reportados em Portugal continua a aumentar — como mostra o relatório Riscos & Conflitos, que indica um crescimento de cerca de 36% no total de incidentes em 2024, com quase 2.758 casos notificados. Entre estes incidentes, destacam-se tipologias como phishing, smishing, mas também engenharia social, malware e compromissos de contas (privilegiadas e não privilegiadas).

Estes incidentes apresentam consequências que ultrapassam o dano técnico ou financeiro: há impacto direto pela quebra confiança dos cidadãos nas instituições, afetando serviços de saúde, segurança, abastecimento de energia, redes de transportes. Em casos de falha grave, ou apagão elétrico, o resultado pode ser dramático — desde a paralisação de hospitais, falhas de comunicações, perdas de vida, até perturbações generalizadas da economia e da vida social.

Para mitigar estes riscos, não basta ter leis ou regulamentos. A eficácia depende de três pilares fundamentais:

1. Educação e sensibilização — para todos: cidadãos, empresas, escolas, organizações públicas. Quando se conhece o risco, quando se entende o que é phishing, vulnerabilidades ou engenharia social, as defesas humanas melhoram.

2. Governança — estruturas orgânicas adequadas ao risco que assegurem a inexistência de conflitos de interesse, o estabelecimento de missões claras e que não se confundam com serviços informáticos, clareza na estrutura de comando (quem faz o quê, e a nomeação do Responsável de Segurança). Sem governança adequada, o desastre é assegurado.

3. Treino técnico e exercícios estruturados — simulações, cenários de crise, resposta coordenada a incidentes, colaboração interinstitucional. Estes exercícios permitem pôr à prova planos de contingência, identificar fragilidades que só aparecem quando algo de facto corre mal, testar comunicações em crise, decisões sob pressão, capacidades de deteção e resposta.

CiberPerseu 2025 e a envolvência regional

Um exemplo relevante é o CiberPerseu, organizado pelo Exército Português e cuja edição deste ano decorreu entre os dias 13 e 16 de outubro. Desde 2012, que este exercício destina-se a preparar e avaliar as capacidades de resposta a ciberataques, tanto de âmbito nacional como internacional, escaláveis até crises de elevado nível. A sua execução envolve não só as Forças Armadas, mas também fornecedores de serviços essenciais, infraestruturas críticas, entidades nacionais e internacionais, e cooperação com organismos civis.

A nível regional a administração pública, serviços essenciais como energia ou água, hospitais, entre outras — vêm participando nestes exercícios desde 2016, sendo vital duas coisas: o aumento do âmbito de participação, nomeadamente passando a envolver as câmaras municipais, e o sector privado, especialmente empresas de maior dimensão e por outro lado o aumento da qualidade de treino para assegurar o envolvimento empenhado dos colaboradores e evitar a desmobilização por fadiga.

A Diretiva SRI 2 (mais conhecida por NIS2), que Portugal deverá muito em breve transpor através da atualização do Regime Jurídico de Segurança do Ciberespaço, constitui um marco importante. Esta norma alarga o âmbito das entidades obrigadas, reforça os requisitos de gestão de risco, segurança da cadeia de abastecimento, reporte rigoroso de incidentes, responsabilidades legais de pessoas singulares responsáveis, nomeadamente sobre os gestores de topo e os Responsáveis de Segurança e estabelece sanções severas em caso de incumprimento.

Para muitas organizações — públicas, privadas, essenciais ou importantes — cumprir NIS2 significa não só ter planos escritos, mas testar esses planos, fazer auditorias, garantir que o pessoal está treinado, que existe comunicação, backups, continuidade de operações. Em casos extremos, como apagões ou falhas massivas, a diretiva exige prontidão, recuperação e reporte eficientes.

Os exercícios de cibersegurança não são, portanto, opcionais: são uma necessidade estratégica para proteger as sociedades modernas. Quando tudo funciona normalmente, muitas vezes esquecemos as fragilidades; mas quando um ataque ou falha ocorre, as consequências são reais e severas.

Portugal tem boas bases — CNCS, estrutura que concentra capacidades: Observatório, Resposta a Incidentes (CERT), e realização de exercícios de cibersegurança. A Madeira dispõe de uma estrutura para endereçar a gestão de incidentes no âmbito da administração pública regional (âmbito da Direção Regional de Informática) e tem participado no CiberPerseu. Dispõe também de uma estrutura transversal de conformidade, proteção de dados pessoais e cibersegurança (vertente normativa e estratégica), no âmbito da Secretaria Regional das Finanças.

É preciso continuar a reforçar: educação alargada, melhorar a governança, treino contínuo, estender o âmbito ao sector privado e o cumprimento real da NIS2. Só assim se poderá garantir que, quando o sistema elétrico, ou qualquer infraestrutura crítica, for posta à prova, seremos resilientes — não apenas reativos.