A cibersegurança tornou-se, nas últimas duas décadas, um domínio fundamental da segurança nacional. O crescimento exponencial das tecnologias digitais, a interligação das infraestruturas críticas e a dependência crescente da economia, dos serviços públicos e da vida quotidiana em redes informáticas e sistemas de informação, tornaram o ciberespaço um novo "campo de batalha" — invisível, mas extremamente vulnerável e estratégico. 

Portugal, enquanto Estado membro da União Europeia e da NATO, tem vindo a desenvolver um conjunto de estratégias, estruturas institucionais e medidas operacionais para garantir a segurança no ciberespaço. O presente texto visa analisar, de forma aprofundada, o que tem sido feito em Portugal em matéria de cibersegurança pelos organismos públicos e pelas forças de segurança, incluindo o papel da legislação, da capacitação e da cooperação internacional. 

Estratégia Nacional de Cibersegurança 

Portugal adotou a sua primeira Estratégia Nacional de Cibersegurança (ENCS) em 2015. Esta foi posteriormente revista e reforçada em 2019, e mais recentemente em 2024, alinhando-se com a nova diretiva europeia NIS 2 e com os padrões da NATO e da ONU. 

A ENCS 2024-2028 assenta em 7 eixos estratégicos: 

1. Promoção de uma cultura nacional de cibersegurança 

1. Proteção do ciberespaço nacional 

1. Reforço da resiliência das infraestruturas críticas 

1. Capacitação dos recursos humanos na Administração Pública 

1. Promoção da investigação, desenvolvimento e inovação 

1. Reforço da cooperação internacional 

1. Garantia de uma resposta coordenada a incidentes cibernéticos 

Esta estratégia define linhas orientadoras para os setores público e privado, promovendo um ecossistema de segurança digital colaborativo, transversal e sustentável. 

Estruturas públicas responsáveis pela cibersegurança 

Centro Nacional de Cibersegurança (CNCS) 

Criado em 2014, o CNCS é a entidade pública de coordenação nacional da cibersegurança. Está integrado no Gabinete Nacional de Segurança e é responsável pela implementação da estratégia nacional e pela coordenação da resposta a incidentes cibernéticos de grande escala. 

Competências principais: 

• Coordenar a aplicação da diretiva europeia NIS/NIS2 

• Emitir orientações técnicas e recomendações para as entidades públicas e operadores de serviços essenciais 

• Promover a partilha de informação sobre ameaças e vulnerabilidades 

• Coordenar o CERT.PT, o centro de resposta a incidentes da Administração Pública 

• Desenvolver programas de capacitação e sensibilização 

• Atuar como ponto de contacto com entidades congéneres internacionais (ENISA, CERT-EU, NATO CCDCOE) 

Gabinete Nacional de Segurança (GNS) 

Tem como missão assegurar a proteção da informação classificada e apoiar tecnicamente o governo na definição de políticas de segurança da informação, incluindo a segurança das redes e sistemas. 

Polícia Judiciária – Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T) 

A Polícia Judiciária (PJ), através da UNC3T, é a principal força de investigação de crimes informáticos em Portugal. 

Crimes investigados: 

• Acesso ilegítimo a sistemas 

• Ataques DDoS 

• Ransomware 

• Fraudes online 

• Phishing e engenharia social 

• Pornografia infantil online 

• Espionagem informática e sabotagem digital 

A UNC3T integra equipas altamente especializadas, com competências em investigação forense digital, análise de malware, monitorização de darknet e rastreamento de criptomoedas. 

A PJ também integra redes internacionais de cooperação, como: 

• Europol EC3 (European Cybercrime Centre) 

• Interpol Cybercrime Directorate 

• No More Ransom Project 

• Joint Cybercrime Action Taskforce (J-CAT) 

GNR e PSP – Cibercrime e sensibilização 

Apesar de não serem polícias de investigação criminal especializada em cibercrime, a GNR e a PSP têm núcleos dedicados a: 

• Apoio à investigação (em articulação com a PJ) 

• Ciberpatrulhamento 

• Prevenção e literacia digital 

• Apoio a vítimas de cibercrime 

• Ciberbullying e crimes online em ambiente escolar 

 

Estas forças têm vindo a reforçar as suas capacidades tecnológicas e colaboram com o CNCS e a PJ no âmbito de campanhas de sensibilização, formação e resposta local a incidentes. 

Legislação relevante 

Portugal tem vindo a alinhar a sua legislação com os compromissos europeus e internacionais. Destacam-se: 

• Lei do Cibercrime (Lei n.º 109/2009) – transposição da Convenção de Budapeste. 

• Regulamento Geral de Proteção de Dados (RGPD) – aplicável desde 2018. 

• Diretiva NIS – Diretiva europeia sobre a segurança das redes e sistemas de informação. 

• NIS 2 (transposição em curso) – impõe obrigações reforçadas para empresas, operadores de infraestruturas críticas e administração pública. 

• Lei da Cibersegurança do Estado (em desenvolvimento) – visa proteger os sistemas críticos da administração central e entidades estratégicas. 

Infraestruturas críticas e operadores de serviços essenciais (OSE) 

Portugal identifica e classifica infraestruturas críticas nos setores da energia, transportes, saúde, telecomunicações, água, administração pública, banca e defesa. 

Estes operadores são obrigados a: 

• Ter planos de gestão de risco cibernético 

• Reportar incidentes ao CNCS 

• Realizar auditorias de conformidade 

• Estabelecer contactos com equipas de resposta (CERTs) 

Cooperação internacional 

Portugal participa em várias estruturas internacionais de cibersegurança, nomeadamente: 

• ENISA (Agência Europeia para a Cibersegurança) – colabora com o CNCS na definição de políticas e boas práticas. 

• NATO CCDCOE (Centre of Excellence for Cyber Defence) – Portugal é membro desde 2020. 

• Fórum Global sobre Ciberespecialistas da ONU 

• European Cyber Security Organisation (ECSO) 

Esta rede de cooperação permite troca de informações em tempo real, resposta conjunta a ameaças globais e partilha de recursos e conhecimento técnico. 

Formação e sensibilização 

O CNCS e o GNS lideram campanhas nacionais de sensibilização como: 

• "CyberSafe.pt" – programa de literacia digital para jovens, professores e encarregados de educação. 

• "Segurança Digital nas Escolas" – sessões com GNR e PSP em estabelecimentos de ensino. 

• Formações para quadros superiores da Administração Pública 

• Simulações de cibercrises (ex. CyberEx, exercícios com a NATO e a UE) 

A formação é considerada uma prioridade nacional, com investimentos crescentes na criação de centros de competências em cibersegurança, como o C2i (Centro de Competências em Cibersegurança e Inovação). 

Exemplos de ciberincidentes recentes em Portugal 

Portugal tem sofrido ciberataques de grande visibilidade nos últimos anos: 

• 2022 – Ciberataque ao Grupo Impresa (Expresso e SIC), com dados apagados e exigência de resgate. 

• 2022-2023 – Ataques ao Hospital de Santa Maria e ao Instituto Nacional de Estatística. 

• 2024 – Ataque ransomware a sistemas de autarquias locais e empresas de água e energia. 

Estes incidentes evidenciaram fragilidades na segurança de sistemas públicos e levaram ao reforço do investimento em backup, redundância, resposta rápida e segmentação de redes. 

Desafios atuais e futuros 

Apesar dos avanços, Portugal enfrenta vários desafios: 

• Falta de recursos humanos especializados na Administração Pública 

• Necessidade de maior interoperabilidade entre sistemas públicos 

• Deficiente cultura de cibersegurança em empresas e organismos locais 

• Subnotificação de incidentes 

• Elevada dependência de fornecedores estrangeiros (risco de backdoors) 

• Risco de ataques híbridos e ciberespionagem em contextos geopolíticos 

Portugal tem dado passos firmes na construção de uma arquitetura nacional de cibersegurança assente na coordenação, no reforço legislativo, na capacitação técnica e na cooperação internacional. O papel desempenhado pelo CNCS, pela Polícia Judiciária e pelas estruturas de coordenação e resposta a incidentes tem sido essencial na prevenção, deteção e mitigação de ciberameaças. 

Contudo, a evolução constante das técnicas de ataque, a interdependência digital e a escassez de quadros especializados exigem que Portugal continue a apostar numa cibersegurança estratégica, transversal, e sustentada, capaz de proteger a soberania digital do Estado, a economia e os direitos dos cidadãos.