Saltar para o conteúdo
← Início

🏢 Empresas e Instituições

Guia prático de cibersegurança para PME, autarquias e instituições públicas em Portugal

A maioria dos ataques bem-sucedidos em Portugal não exige sofisticação técnica — explora pessoas, processos mal definidos e ausência de backups testados. Este guia foca-se no que realmente reduz risco, sem comprar produtos caros.

Principais ameaças em Portugal

Business Email Compromise (BEC)

Email falso do "CEO" ou de fornecedor a pedir transferência urgente. Maior fonte de perdas em PME portuguesas — média de 47k€ por incidente. Política de dupla validação por canal independente.

Ransomware

Encriptação de todos os ficheiros + pedido de resgate. Em 2025, várias autarquias e PME portuguesas foram alvo. Defesa: backups 3-2-1, segregação de rede, MFA em VPN, formação dos colaboradores.

Phishing dirigido aos colaboradores

90% dos ataques começam por email. Simulações periódicas de phishing (gophish, KnowBe4) reduzem em ~70% o clique. Forneça canal interno para reportar sem medo.

Engenharia social com IA

Vozes clonadas, vídeos deepfake e textos perfeitos. Pedidos urgentes de "diretor" por chamada/vídeo: confirme sempre por canal alternativo conhecido.

Fuga de dados

Notificação obrigatória à CNPD em 72h (RGPD). Tenha plano escrito de resposta a incidentes. Coimas até 20M€ ou 4% da faturação anual global.

Cadeia de fornecimento

Compromisso através de fornecedores e parceiros. Inclua cláusulas de segurança em contratos. Revise acessos de terceiros trimestralmente.

Checklist para PME (auto-avaliação)

Marque mentalmente o que já tem. O que falta é a sua lista de tarefas.

Pessoas

  • Formação anual obrigatória em cibersegurança para todos os colaboradores
  • Política clara: o que reportar, a quem, e como (sem culpabilizar quem clica)
  • Onboarding e offboarding com lista verificada de acessos a criar/revogar
  • Simulação periódica de phishing (trimestral) com medição de resultados

Acessos e autenticação

  • MFA obrigatório em todos os serviços críticos (email, VPN, cloud)
  • Gestor de palavras-passe corporativo (Bitwarden Teams, 1Password Business)
  • Princípio do menor privilégio — cada pessoa só acessa o que precisa
  • Revisão trimestral de permissões e contas inativas
  • Migração progressiva para passkeys onde suportadas

Sistemas

  • Atualizações automáticas em todos os endpoints (incluindo telemóveis BYOD)
  • EDR/antivírus corporativo gerido centralmente
  • Encriptação de discos (BitLocker, FileVault) em todos os portáteis
  • Inventário atualizado de dispositivos e software autorizado
  • Segregação de rede entre sistemas administrativos e operacionais

Backups e continuidade

  • Backups 3-2-1: três cópias, dois suportes, uma offsite
  • Testes de restauro pelo menos semestrais
  • Plano de recuperação documentado e ensaiado
  • Backups imutáveis ou air-gapped contra ransomware

RGPD e governance

  • Registo de atividades de tratamento (RAT) atualizado
  • Encarregado de Proteção de Dados (DPO) onde aplicável
  • Procedimento de resposta a pedidos de titulares (acesso, retificação, apagamento) — 30 dias
  • Plano de notificação de violação de dados à CNPD em 72h
  • Avaliações de impacto (AIPD) para tratamentos de alto risco

Instituições públicas — particularidades

Câmaras Municipais e Juntas

Alvo crescente — sistemas administrativos antigos, dados sensíveis de munícipes, sites de serviços online. Adira ao QUAR e ao Quadro Nacional de Referência para a Cibersegurança (CNCS).

Saúde (SNS, IPSS, hospitais)

Dados de saúde = categoria especial RGPD. Coimas máximas. Implementar segregação rigorosa de acessos clínicos, logs detalhados e plano específico para ransomware.

Escolas e Universidades

Dados de menores + investigação. Use SeguraNet e CNCS-AT&CK. Forme docentes e auxiliares — ataques entram por contas pessoais usadas no equipamento da escola.

Justiça e Forças de Segurança

Dados ultra-sensíveis e relevância nacional. Aderir ao QNRCS (Quadro Nacional de Referência) e seguir as orientações do CNCS para infraestruturas críticas.

Enquadramento legal

  • RGPD (Regulamento UE 2016/679) — proteção de dados pessoais. Coimas até 20M€ ou 4% da faturação mundial.
  • Lei nº 58/2019 — execução do RGPD em Portugal.
  • Diretiva NIS2 (UE 2022/2555) — transposta em Portugal pelo DL 125/2025, em vigor desde abril de 2026. Obrigações para entidades essenciais e importantes.
  • Lei do Cibercrime (Lei 109/2009) — quadro penal para crimes informáticos.
  • QNRCS — Quadro Nacional de Referência para a Cibersegurança — orientação técnica do CNCS para a Administração Pública e infraestruturas críticas.

Onde pedir apoio

Em caso de incidente

CERT.PT (CNCS) — equipa de resposta nacional. Reporte em cncs.gov.pt ou através do email cert@cert.pt. Disponíveis 24/7 para incidentes graves.

CNPD — notificação obrigatória em 72h após conhecimento de violação de dados pessoais.

Parceria com o NavegaSeguro

Use livremente os nossos materiais em sessões de formação interna. Pode também solicitar contacto para parcerias institucionais, integrações ou personalização de conteúdos.

Contactar →