Resumo
A Diretiva NIS2, transposta para o ordenamento jurídico português pelo Decreto-Lei n.º 125/2025, elevou substancialmente as exigências de governança, gestão de risco e conformidade impostas às organizações. Em simultâneo, a escassez de profissionais qualificados torna inviável, para a maioria das entidades abrangidas, a contratação de um CISO a tempo inteiro. Este artigo analisa como um Virtual CISO (vCISO) suportado por Inteligência Artificial responde a este duplo desafio: aplica IA contextualizada aos dados reais da organização para apoiar a tomada de decisão dos órgãos de gestão, quantificar risco com metodologias como FAIR e manter conformidade contínua com a NIS2, o RGPD e frameworks como a ISO 27001.
Introdução
A entrada em vigor do Decreto-Lei n.º 125/2025, a 3 de abril de 2026, colocou milhares de organizações portuguesas perante obrigações de cibersegurança sem precedentes: nomeação de um responsável de cibersegurança, registo na plataforma MyCiber, análise de risco documentada, notificação de incidentes ao CNCS em 24 horas e responsabilização pessoal dos órgãos de gestão (CNCS, 2024). O Artigo 20.º da Diretiva NIS2 é explícito: os órgãos de direção devem aprovar as medidas de gestão de risco, supervisionar a sua aplicação e podem ser responsabilizados pelo incumprimento (European Parliament, 2022).
Esta exigência regulatória colide com uma realidade estrutural do mercado. A ENISA estima um défice persistente de centenas de milhares de profissionais de cibersegurança na União Europeia, com a função de CISO entre as mais difíceis de preencher (ENISA, 2024). Para uma entidade importante do setor alimentar, da indústria transformadora ou da gestão de resíduos, contratar um CISO sénior a tempo inteiro é frequentemente incomportável. É neste contexto que o modelo de Virtual CISO ganha relevância, e que a aplicação de IA a este modelo o transforma qualitativamente.
Do vCISO Tradicional ao vCISO com IA
O conceito de Virtual CISO não é novo: consultores externos que prestam serviços de direção de segurança em regime parcial existem há mais de uma década. O modelo tradicional, contudo, tem limitações conhecidas: disponibilidade limitada a algumas horas semanais, conhecimento do contexto organizacional que se degrada entre intervenções e custos que crescem linearmente com o âmbito.
Um vCISO suportado por IA opera de forma diferente. Em vez de depender exclusivamente da memória e disponibilidade de um consultor, o sistema mantém acesso permanente aos dados reais da organização: inventário de ativos, vulnerabilidades ativas, incidentes em curso, registo de riscos e estado de conformidade. Através de Retrieval-Augmented Generation (RAG), cada resposta é contextualizada com esses dados, cita as fontes utilizadas e estrutura as recomendações para a audiência adequada: conselho de administração, equipa técnica, função de compliance ou auditores externos.
A diferença prática é significativa. Perante a pergunta “qual o impacto da CVE-2026-1234 na nossa organização?”, um assistente genérico descreve a vulnerabilidade em abstrato. Um vCISO com RAG verifica se a vulnerabilidade afeta ativos do inventário real, cruza com a classificação de criticidade desses ativos (tríade CIA), avalia a exposição na superfície de ataque e produz recomendações priorizadas com remediação imediata e roadmap de longo prazo.
Figura 1: Fluxo de um vCISO com IA: dados reais da organização contextualizam cada resposta, estruturada para a audiência adequada
IA Aplicada à Governança
A governança é a dimensão do GRC onde a NIS2 introduz a mudança mais profunda: a responsabilização direta dos órgãos de gestão. Os administradores deixam de poder delegar integralmente a cibersegurança na equipa técnica; passam a ter de aprovar medidas, supervisionar a sua execução e receber formação adequada (European Parliament, 2022). O problema prático é a assimetria de linguagem: os dados de segurança são produzidos em linguagem técnica e os órgãos de gestão decidem em linguagem de negócio.
Um vCISO com IA atua precisamente nesta tradução. Três capacidades são determinantes:
Sumário executivo diário. Um relatório automático que sintetiza riscos críticos, tendências e action items em linguagem acessível à liderança. Em vez de o conselho de administração receber trimestralmente um relatório de 60 páginas, recebe diariamente uma síntese acionável, criando o trilho de evidência de supervisão contínua que o Artigo 20.º exige.
Relatórios multi-audiência. O mesmo facto técnico (por exemplo, uma vulnerabilidade crítica num servidor exposto) é comunicado de forma distinta ao board (risco de negócio e custo potencial), à equipa técnica (passos de remediação) e aos auditores (estado de controlo e evidências).
Apoio à elaboração de políticas. A redação e revisão de políticas de segurança alinhadas com frameworks como NIST CSF, ISO 27001 e CIS Controls, referenciados contextualmente, reduz semanas de trabalho de consultoria a horas de revisão interna.
IA Aplicada à Gestão de Risco
O Artigo 21.º da NIS2 exige uma abordagem de gestão de risco “todos os perigos” com medidas proporcionais ao risco real. A prática dominante nas organizações, matrizes qualitativas de probabilidade e impacto, tem fragilidades documentadas: escalas ordinais tratadas como cardinais, compressão de gama e ilusão de rigor (Hubbard & Seiersen, 2016).
A alternativa quantitativa é a metodologia FAIR (Factor Analysis of Information Risk), que decompõe o risco em fatores mensuráveis: frequência de eventos de ameaça (TEF), capacidade do agente de ameaça (TCap), força de resistência dos controlos, perda primária e perda secundária, culminando numa estimativa de perda anualizada (ALE) expressa em euros (FAIR Institute, 2021). O obstáculo histórico à adoção de FAIR é o esforço analítico: cada cenário exige calibração de estimativas e simulação.
É aqui que a IA altera a equação. Um vCISO integrado com o registo de riscos e com simulação Monte Carlo permite que a quantificação deixe de ser um exercício anual de consultoria e passe a ser um processo contínuo: os fatores FAIR são alimentados pelos dados operacionais reais (vulnerabilidades ativas, exposição da superfície de ataque, histórico de incidentes) e as estimativas de perda são atualizadas à medida que o contexto muda. O resultado para o decisor é uma resposta concreta a perguntas como “quanto risco financeiro reduzimos se remediarmos estas dez vulnerabilidades?”, em vez de uma célula vermelha numa matriz.
Figura 2: Mapeamento das capacidades de IA do vCISO nas três dimensões do GRC e respetivos artigos da NIS2
IA Aplicada à Conformidade
A dimensão de conformidade da NIS2 é, na prática, um problema de gestão de evidências em escala. As entidades abrangidas têm de demonstrar conformidade simultânea com a NIS2 (via DL 125/2025), o RGPD, frequentemente a ISO 27001 e, no setor financeiro, o DORA. Cada framework tem centenas de controlos, muitos deles sobrepostos, e a recolha manual de evidências consome uma fração desproporcionada do tempo das equipas de segurança.
Três aplicações de IA são particularmente relevantes neste domínio:
Conformidade contínua multi-framework. Em vez de auditorias anuais pontuais, o estado de cada controlo é avaliado de forma contínua a partir dos dados operacionais. Um controlo de gestão de vulnerabilidades, por exemplo, é avaliado contra os SLAs reais de remediação, não contra uma declaração de intenções.
Resposta a incidentes com prazos regulatórios. O DL 125/2025 impõe notificação inicial ao CNCS em 24 horas, relatório intercalar em 72 horas e relatório final em 30 dias. Durante um incidente, o vCISO apoia a equipa na classificação segundo a taxonomia CNCS, na preparação das notificações e na coordenação com a obrigação paralela de notificação à CNPD em 72 horas quando há dados pessoais envolvidos.
Preparação de auditorias. A capacidade de gerar relatórios adaptados a auditores, com citação das evidências subjacentes, reduz drasticamente o esforço de preparação e melhora a qualidade do trilho de auditoria.
Soberania de Dados: a Condição Prévia
Aplicar IA a dados de GRC levanta uma questão legítima: onde são processados estes dados? O registo de riscos, o inventário de vulnerabilidades e o histórico de incidentes estão entre os ativos de informação mais sensíveis de qualquer organização. Enviá-los para serviços de IA em nuvens de terceiros fora do controlo da organização cria precisamente o tipo de risco que o GRC procura mitigar, e pode comprometer a conformidade com o RGPD.
A abordagem do Viriatus a este problema assenta em infraestrutura controlada: a plataforma é executada na infraestrutura da CyberS3C, em território europeu e com acesso via VPN, ou na infraestrutura do próprio cliente. Em ambos os modelos, o motor de IA opera dentro desse perímetro controlado, os dados nunca são utilizados para treinar modelos e nunca são partilhados com terceiros. Para organizações abrangidas pela NIS2, esta arquitetura permite beneficiar de IA aplicada ao GRC sem introduzir uma nova dependência de fornecedores fora do espaço regulatório europeu.
Limites: a IA Não Substitui a Responsabilidade
Importa ser rigoroso quanto aos limites. A NIS2 e o DL 125/2025 atribuem responsabilidades a pessoas: os órgãos de gestão e o responsável de cibersegurança nomeado. Nenhum sistema de IA assume responsabilidade legal, e nenhuma recomendação automática dispensa julgamento humano em decisões críticas.
O papel correto de um vCISO com IA é o de multiplicador de capacidade: comprime o tempo entre pergunta e resposta fundamentada, elimina trabalho repetitivo de análise e reporte, e garante que as decisões humanas são tomadas com o contexto completo dos dados da organização. Para uma equipa de segurança de duas ou três pessoas, isto significa operar com um nível de maturidade de GRC que anteriormente exigiria uma equipa várias vezes maior. Para os órgãos de gestão, significa supervisão informada e documentada, exatamente o que o regulador exige.
Conclusão
A NIS2 e o DL 125/2025 transformaram o GRC de exercício documental em obrigação operacional contínua, com responsabilização pessoal dos órgãos de gestão. Num mercado com escassez estrutural de profissionais, a resposta não pode ser apenas contratar mais: tem de incluir multiplicar a capacidade das equipas existentes. Um Virtual CISO com IA, alimentado pelos dados reais da organização e operado em infraestrutura controlada, aplica essa multiplicação às três dimensões do GRC: traduz segurança técnica em linguagem de governança, quantifica risco em euros com FAIR e Monte Carlo, e mantém conformidade contínua com prazos regulatórios apertados. As organizações que adotarem esta abordagem não estarão apenas a cumprir a NIS2: estarão a construir uma função de segurança estruturalmente mais madura.
Referências
CNCS. (2024). Relatório Cibersegurança em Portugal. Centro Nacional de Cibersegurança.
Decreto-Lei n.º 125/2025, de 4 de dezembro. Diário da República.
ENISA. (2024). NIS Investments Report 2024. European Union Agency for Cybersecurity.
European Parliament. (2022). Directive (EU) 2022/2555 (NIS2). Official Journal of the European Union.
FAIR Institute. (2021). FAIR: Factor Analysis of Information Risk, Standard Documentation. The Open Group.
Hubbard, D. W., & Seiersen, R. (2016). How to Measure Anything in Cybersecurity Risk. Wiley.
NIST. (2024). The NIST Cybersecurity Framework (CSF) 2.0. National Institute of Standards and Technology.
