Implementação
Fevereiro 03, 2026 7 minha leitura

SRI2 no setor energético: obrigações para as empresas energéticas portuguesas

O setor energético está entre os mais críticos — e mais rigorosamente regulamentados — ao abrigo da Diretiva SRI2. As infraestruturas energéticas são um alvo privilegiado para ciberataques, uma vez que as perturbações têm consequências imediatas e de grande alcance para a sociedade, a segurança pública e a segurança nacional. Para as empresas energéticas portuguesas, a SRI2 introduz obrigações abrangentes em matéria de cibersegurança que vão significativamente além dos requisitos anteriores.

SRI2 no setor energético: obrigações para as empresas energéticas portuguesas

Índice

Quais organizações do setor energético estão incluídas?

O Anexo I da SRI2 designa o setor energético como essencial, o que significa que as entidades de média e grande dimensão são automaticamente classificadas como Entidades Essenciais ou Importantes. Os subsetores abrangidos no setor energético são extensos:

Energia elétrica

  • Empresas de eletricidade (fornecedores, comerciantes)
  • Operadores de Sistemas de Distribuição de Eletricidade (DSOs)
  • Operadores de Sistemas de Transmissão de Eletricidade (TSOs)
  • Produtores de eletricidade
  • Operadores do mercado de eletricidade nomeados
  • Operadores de pontos de recarga (infraestrutura de carregamento de veículos elétricos)
  • Sistemas de aquecimento e refrigeração urbanos

Óleo

  • Operadores de oleodutos de transporte de petróleo
  • Operadores de instalações de produção, refinação, processamento, armazenamento e transporte de petróleo
  • Instalações centrais de armazenamento (entidades de armazenamento de petróleo)

Gás (Gás Natural e GNL)

  • Empresas fornecedoras
  • Operadores de sistemas de distribuição
  • Operadores de sistemas de transmissão
  • Operadores de sistemas de armazenamento
  • Operadores de sistemas de GNL
  • Empresas de gás natural
  • Operadores de instalações de refino e tratamento de gás natural

Hidrogênio

  • Operadores de produção, armazenamento e transporte de hidrogênio

Para pequenas entidades no setor energético, a SRI2 aplica-se apenas quando a organização foi formalmente identificada como operadora de infraestruturas críticas pelas autoridades portuguesas. No entanto, a rápida expansão das energias renováveis, da geração distribuída e da recarga de veículos elétricos significa que mais organizações do que nunca estão a receber essas designações.

Classificação de entidades no setor energético: essencial versus importante

A classificação das entidades energéticas depende da dimensão:

Size Classification Size
Large (≥250 FTE or >€50M turnover + >€43M balance) Essential Entity Large (≥250 FTE or >€50M turnover + >€43M balance)
Medium (≥50 FTE or >€10M turnover/balance) Important Entity Medium (≥50 FTE or >€10M turnover/balance)
Small (if identified as critical) Essential Entity (by identification) Small (if identified as critical)

Na prática, os operadores de infraestruturas energéticas mais significativos — REN (rede de transporte), EDP Distribuição, Galp e outros intervenientes importantes — serão Entidades Essenciais sujeitas ao mais alto nível de obrigações e supervisão proativa.

O Cenário Regulatório: CNCS + ERSE

Em Portugal, as organizações do setor energético enfrentam requisitos regulamentares complexos em matéria de cibersegurança:

As empresas de energia devem coordenar suas atividades de conformidade com os requisitos da CNCS e da ERSE. Quando as regulamentações específicas do setor impõem requisitos mais rigorosos do que os da SRI2, esses requisitos mais rigorosos prevalecem.

Principais obrigações SRI2 para empresas do setor energético

1

Tecnologia Operacional (OT) e Segurança de TI

A infraestrutura energética se destaca por sua forte dependência da Tecnologia Operacional (OT) — os sistemas de controle industrial (ICS), sistemas SCADA e sistemas de controle distribuído (DCS) que gerenciam a infraestrutura energética física. A SRI2 se aplica tanto a ambientes de TI quanto de OT.

Isso é fundamental: muitas organizações do setor energético têm historicamente tratado a segurança OT como um domínio separado, muitas vezes com menor maturidade do que a segurança de TI. A SRI2 exige uma abordagem unificada:

  • As avaliações de risco devem abranger os sistemas OT (SCADA, ICS, medidores inteligentes, sistemas de gerenciamento de rede).
  • É necessário implementar medidas de segurança nas redes OT.
  • As obrigações de notificação de incidentes aplicam-se a incidentes OT (por exemplo, manipulação de sistemas de rede).
  • A segmentação de rede entre ambientes de TI e OT é altamente recomendada.

Norma recomendada: A IEC 62443 (Segurança para Sistemas de Automação e Controle Industrial) é a principal estrutura de segurança OT referenciada juntamente com a ISO 27001 para conformidade com a SRI2 no setor energético.

2

Integração entre segurança física e cibernética

Os ataques energéticos raramente são puramente digitais — frequentemente envolvem acesso físico às instalações, adulteração de equipamentos ou ataques físicos e cibernéticos combinados. A SRI2 exige que as organizações considerem a segurança cibernética no contexto das medidas de segurança física para locais de infraestrutura crítica.

3

Resiliência e Redundância

Dada a natureza crítica do abastecimento energético, a SRI2 espera que os operadores energéticos mantenham elevados padrões de resiliência:

  • Redundância N-1 para sistemas críticos
  • Testamos planos de continuidade de negócios e recuperação de desastres que abrangem cenários de ataques cibernéticos.
  • Procedimentos de emergência que podem funcionar mesmo quando os sistemas de gestão digital estão comprometidos

4

Segurança da cadeia de abastecimento no setor energético

A cadeia de abastecimento do setor energético é altamente complexa e cada vez mais global, abrangendo:

  • Fabricantes de medidores inteligentes
  • Fornecedores de sistemas SCADA
  • Fornecedores de hardware industrial (comutadores, transformadores)
  • Provedores de serviços de nuvem e TI
  • Provedores de telecomunicações que oferecem suporte às comunicações da rede

Todos os fornecedores significativos devem ser avaliados de acordo com os requisitos de segurança da cadeia de abastecimento da SRI2. A abordagem da UE ao risco da cadeia de abastecimento em infraestruturas críticas inclui orientações sobre fornecedores de alto risco, particularmente para as telecomunicações e infraestruturas 5G que sustentam cada vez mais as comunicações da rede energética.

5

Relatório de incidentes

Os incidentes no setor energético que atingirem o limiar "significativo" devem ser comunicados dentro dos prazos padrão da SRI2 (alerta precoce em 24 horas, notificação em 72 horas, relatório final em 1 mês). Dado o potencial de os incidentes energéticos se agravarem rapidamente e afetarem grandes populações, o alerta precoce é especialmente crítico.

Exemplos de gatilhos para relatórios do setor energético:

  • Acesso não autorizado a sistemas SCADA ou plataformas de gerenciamento de rede
  • Ransomware que afeta sistemas operacionais ou TI corporativa com potencial impacto em OT
  • Interrupção no fornecimento de energia elétrica causada por um incidente cibernético
  • Ataque de phishing bem-sucedido contra funcionários com acesso ao sistema OT
  • Comprometimento de um parceiro da cadeia de suprimentos com acesso a sistemas de gerenciamento de energia

Roteiro prático de conformidade para empresas do setor energético

  • Fase 1 – Avaliação (Meses 1-2)
    • Utilize nossa ferramenta gratuita para confirmar o escopo e a classificação.
    • Inventariar todos os sistemas de TI e OT dentro do escopo.
    • Identificar lacunas em relação aos requisitos do artigo 21.º da SRI2
    • Avalie os riscos da cadeia de suprimentos para fornecedores essenciais
  • Fase 2 – Controles Fundamentais (Meses 2 a 6)
    • Implementar ou formalizar processos de avaliação de riscos que abranjam OT
    • Implemente a segmentação de rede entre TI e OT
    • Estabeleça recursos de detecção de incidentes em ambos os ambientes.
    • Desenvolver ou atualizar o plano de resposta a incidentes com cenários específicos para o setor energético.
    • Registre-se na CNCS e estabeleça procedimentos de relatório.
  • Fase 3 – Controles Avançados (Meses 6-12)
    • Realizar testes de penetração específicos para OT
    • Implementar um programa de segurança da cadeia de abastecimento
    • Concluir o treinamento em gestão e o envolvimento com a SRI2 em nível de diretoria.
    • Realizar um exercício completo de resposta a incidentes, incluindo simulação de relatórios regulamentares.
  • Fase 4 – Melhoria contínua (em andamento)
    • Avaliações de risco anuais
    • Reavaliações periódicas dos fornecedores
    • Treinamento contínuo dos funcionários
    • Acompanhe as atualizações das orientações regulatórias da CNCS e da ERSE.

Conclusão

Para as empresas de energia portuguesas, a conformidade com a SRI2 não é opcional, e as consequências da não conformidade — penalidades financeiras, sanções operacionais e danos à reputação — são significativas. Mais importante ainda, as medidas de cibersegurança exigidas pela SRI2 são realmente necessárias para proteger a infraestrutura da qual milhões de pessoas dependem diariamente.

Observação:

Este artigo tem caráter meramente informativo e não constitui aconselhamento jurídico.

A SRI2 aplica-se à minha organização?

Faça a nossa avaliação gratuita de 5 minutos para determinar a sua classificação NIS2 e obter recomendações personalizadas para conformidade.

Iniciar Avaliacão