← Blog

Dois prazos disparam à mesma hora

Editor ·

Dois prazos disparam à mesma hora

Quando uma violação de dados atinge uma empresa portuguesa, dois cronómetros arrancam no instante em que alguém percebe o problema — e não no instante em que o ataque começou. O RGPD exige que o responsável pelo tratamento notifique a Comissão Nacional de Proteção de Dados (CNPD) em até 72 horas, conforme o artigo 33.º. Em paralelo, quem agora está abrangido pelo novo quadro de cibersegurança nacional tem de enviar um alerta preliminar ao CSIRT/Centro Nacional de Cibersegurança em apenas 24 horas. Omissão de qualquer um dos dois vira multa.

A transposição da diretiva NIS2 em Portugal materializou-se no Decreto-Lei n.º 125/2025, que entrou em vigor a 3 de abril de 2026 e criou um dos regimes mais exigentes da União Europeia. A sobreposição entre RGPD e NIS2 significa que uma única intrusão pode gerar três obrigações formais encadeadas: aviso em 24 horas, notificação detalhada em 72 horas e relatório final em um mês. Quem não consegue descrever o que aconteceu simplesmente não consegue cumprir os prazos.

O que muda com o DL 125/2025

O novo diploma português transpõe a Diretiva (UE) 2022/2555 e alarga drasticamente o universo de entidades obrigadas. Entram setores antes fora do radar — água, gestão de resíduos, manufatura, serviços digitais e cadeias de fornecimento críticas. O regime distingue entidades essenciais e importantes, mas ambas ficam sujeitas a medidas mínimas de segurança e à obrigação de reportar incidentes significativos.

A 20 de janeiro de 2026, a Comissão Europeia apresentou um pacote de cibersegurança com alterações pontuais à NIS2 para aumentar a clareza jurídica, o que torna o cumprimento um alvo em movimento. Para uma PME, a consequência prática é imediata: mesmo que não fosse diretamente regulada antes, pode agora ser apanhada como fornecedora de uma entidade essencial, com exigências contratuais de segurança que refletem o novo quadro.

Por que a forense digital decide tudo

A notificação não é um formulário vazio. Tanto a CNPD como o regulador de cibersegurança querem saber que dados foram acedidos, quantos titulares afetados, quais as medidas tomadas e qual a causa raiz. Sem investigação forense, a empresa responde "ainda não sei" durante 72 horas — e depois paga por isso. A forense digital é, na prática, a máquina que produz as respostas exigidas por lei.

Uma análise forense bem feita reconstrói a linha do tempo do atacante: ponto de entrada, lateral movement, máquinas comprometidas, dados exfiltrados. É exatamente o conteúdo que o artigo 33.º do RGPD pede na notificação e que o artigo 23.º da NIS2 exige no relatório detalhado. Quem trata a forense como luxo descobre, durante uma auditoria pós-incidente, que ela era a evidência que separava uma defesa aceitável de uma negligência sancionável.

Autopsy e Volatility: por onde começar

Para discos e imagens forenses, o Autopsy — mantido pela Sleuth Kit Labs — é a plataforma gratuita de referência. Ele examina discos rígidos, imagens e dispositivos móveis, recupera ficheiros apagados, indexa conteúdo e gera timelines que mostram a sequência exata das ações do invasor. Não há custo de licença e a comunidade publica módulos para análise de registos, e-mails e artefactos de navegador.

Para a memória viva — o que estava a correr quando o incidente foi detetado — o Volatility 3 é o padrão aberto. Um dump de RAM captura processos ocultos, ligações de rede ativas e malware fileless que nunca toca no disco e que uma análise só de ficheiros perderia inteiramente. A combinação Autopsy + Volatility cobre as duas superfícies que importam numa resposta a incidente, sem um único euro em software comercial.

Velociraptor escala sem custo

Quando o incidente envolve dezenas ou centenas de endpoints, recolher dumps um a um é inviável dentro das 72 horas. O Velociraptor resolve isso: é uma ferramenta open-source de investigação e resposta em escala que instala agentes leves e permite correr coleção de artefactos forenses em toda a frota a partir de uma consola. Em minutos, obtém-se um inventário de processos suspeitos, ligações anómalas e persistência instalada em cada máquina.

Para uma PME sem orçamento para uma ferramenta EDR corporativa, o Velociraptor preenche a lacuna entre "saber que algo aconteceu" e "provar exatamente o quê, onde e quando" — exatamente o que a autoridade reguladora vai perguntar.

Cadeia de custódia sem softwares caros

Provar conformidade não termina em descobrir o que aconteceu; termina em conseguir defender essa descoberta. Isso exige cadeia de custódia: cada evidência precisa de ter origem documentada, hash criptográfico, hora e responsável. O princípio é o mesmo de uma investigação criminal — e ferramentas gratuitas como o The Sleuth Kit geram os hashes e os registos de aquisição que sustentam essa cadeia.

O erro mais comum é recolher a evidência sem isolá-la: montar o disco comprometido no sistema comprometido, sobrescrever metadados, ou analisar sem antes calcular o hash da imagem original. Defesa destruída, prazo perdido. O procedimento correto — adquirir imagem bit-a-bit, registar o hash SHA-256 imediatamente, trabalhar só sobre a cópia — preserva o valor probatório que tanto o RGPD como a NIS2 esperam ver numa notificação séria.

O erro que invalida uma notificação

Há uma armadilha silenciosa. Muitas PMEs notificam dentro do prazo, mas com conteúdo tão vago que a CNPD classifica a notificação como insuficiente — e o relógio das sanções continua a correr como se nada tivesse sido entregue. A CNPD, mesmo com recursos limitados, aplicou em 2023 a maior coima de proteção de dados da história de Portugal: 4,3 milhões de euros ao Instituto Nacional de Estatística. O sinal é claro — tamanho não blinda ninguém.

O mesmo vale para o lado NIS2: uma notificação sem causa raiz documentada não cumpre o artigo 23.º. A combinação que fecha a brecha é simples e barata: ter Autopsy, Volatility 3 e Velociraptor prontos antes do incidente, e um procedimento de cadeia de custódia ensaiado. Quando o ataque chega — e em 2026 chega a um ritmo de cerca de 1,3 queixas de violação de dados por dia só em Portugal — a empresa gasta as suas 72 horas a investigar, não a improvisar.

Fontes e referências