No passado dia 28 de abril, uma falha elétrica deixou a Península Ibérica sem eletricidade, o que revelou um conjunto de vulnerabilidades numa multiplicidade de setores: energia, telecomunicações, banca, saúde, distribuição alimentar, apenas para enumerar alguns. Dentro da mesma indústria foram também observados diferentes desempenhos. Houve empresas de telecomunicações que asseguraram serviços durante várias horas, enquanto que outras deixaram os seus clientes sem serviços passado pouco tempo. Houve hospitais que funcionaram na totalidade, enquanto outros cancelaram consultas programadas e não urgentes. Houve grandes superfícies que mantiveram as portas abertas durante todo o horário (com restrições a nível dos pagamentos com cartão) e outras que passado pouco tempo simplesmente fecharam as portas. Há reportes de máquinas de ATM e pagamentos por cartão que simplesmente deixaram de funcionar, o que nos coloca questões sobre a dependência do dinheiro virtual. Houve voos cancelados e semáforos deixaram de funcionar.
O apagão ibérico leva a questionar se certos setores e entidades consideradas críticas – energia, transportes, banca, saúde, abastecimento alimentar, espaço, governo, ambiente, administração pública, infraestruturas digitais – devem ser especialmente resilientes. Isto é, capazes de prevenir, resistir, responder, atenuar, adaptar-se e recuperar de incidentes face a eventos com efeitos perturbadores (por conta do número de utilizadores afetados, interdependência com outros setores, impacto potencial na economia, sociedade, ambiente e saúde, quota de mercado da entidade, área geográfica afetada, incluindo regiões isoladas, e disponibilidade de alternativas) e garantir a continuidade do negócio.
Sucede que a Diretiva Europeia 2022/2557, de 14 de dezembro de 2022, sobre Resiliência das Entidades Críticas, já prevê estas questões. E, antes disso, para o setor da energia, mais focada para segurança física de instalações, a Diretiva 2008/114/CE. É verdade que a Diretiva tem de ser transposta pelos Estados-membros e em Portugal isso só aconteceu a 19 de março de 2025, com a publicação do Decreto-Lei n.º 22/2025, que define como entidades setoriais específicas, para monitorizar e supervisionar a resiliência em setores críticos, a DGEG na energia (eletricidade, gás, petróleo, hidrogénio), o IMT nos transportes (aéreo, ferroviário, rodoviário, marítimo), o Banco de Portugal na banca, a CMVM nas infraestruturas financeiras (ex.: sistemas de pagamento), o INEM na saúde, a ERSAR na água potável e águas residuais, a ANACOM nas infraestruturas digitais (internet, redes móveis, centros de dados), a DGAV na alimentação (produção, transformação e distribuição), para designar algumas.
Estabelece uma avaliação nacional de risco baseada na lista de serviços essenciais, considerando riscos naturais, humanos, os de natureza intersectorial, transfronteiriça, de saúde pública, ameaças híbridas, cibersegurança, infrações terroristas, bem como a realização de testes regulares. Neste quesito, podemos considerar que a avaliação de risco e teste de falha energética está concretizada. E se houver falha grave ou muito grave, que, segundo o decreto-lei nacional, corresponda sobretudo a falta de plano de resiliência aprovado e atualizado? Serão aplicadas coimas e sanções, a definir em diploma próprio, que eu procurei e não encontrei. Alguns dirão que faltam meses para o prazo de completa implementação e nisso terão razão.
Acontece que, já antes disso, a ISO 22301 sobre sistemas de gestão de continuidade de negócio, emitida em 2019 pela ISO (International Organization for Standardization), define requisitos para criar, manter e melhorar um sistema de gestão capaz de proteger, reduzir a probabilidade de disrupções e garantir resposta e recuperação eficazes, em organizações que precisam de manter produtos e serviços em níveis aceitáveis durante perturbações.
A ISO 22301 define que a gestão da continuidade de negócio deve abranger vertentes estratégicas (resiliência, reputação), financeiras (custos, exposição), de partes interessadas (proteção, confiança) e operacionais (controlo de riscos, resposta a falhas). Deve incluir ações, recursos, responsabilidades, prazos e avaliação, mantendo processos de análise de impacto e risco com revisão periódica ou sempre que ocorram mudanças relevantes. Estes processos devem identificar atividades críticas, critérios de impacto, prazos de recuperação, recursos e dependências externas, assegurando a recuperação dentro dos prazos aceitáveis, minimizando impactos e equilibrando riscos e custos. Deve também prever procedimentos para comunicar com partes interessadas internas e externas, definindo o que, quando, como e com quem comunicar, responder a alertas de risco e, entre outros, garantir meios de comunicação durante incidentes. Numa situação de disrupção, como falha elétrica generalizada ou ciberataque, é possível que os tradicionais meios de comunicação fiquem comprometidos, bem como acesso a documentos digitais, pelo que é necessário assegurar alternativas viáveis, como é mencionado nas orientações sobre gestão de crise do CNCS (Centro Nacional de Cibersegurança), que identificam alternativas, p.e., rádio, satélite.
Existe legislação, referenciais normativos, guias de orientação e implementação publicados por entidades de referência. O que falta? O que o apagão expôs de forma clara foi a assimetria real entre organizações que encaram a continuidade do negócio como uma disciplina estratégica — integrada na governação, financiada e praticada — e as que a tratam como um requisito documental. É facto que esperamos que sejam eventos com probabilidade remota, mas devemo-nos preparar para o pior enquanto esperamos o melhor. Foi um apagão, mas poderia ter sido outra perturbação igualmente disruptiva. A diferença observada entre empresas do mesmo setor, sujeitas aos mesmos riscos, só pode ser explicada pela cultura organizacional, liderança e grau de preparação prática. Ter um plano é diferente de ter capacidade real de resposta. As autoridades setoriais e reguladoras podem ter um papel fundamental, não apenas pela monitorização e fiscalização da resiliência, mas também pela partilha de boas práticas, promoção de exercícios intersectoriais e garantir que a cadeia de dependências críticas é mapeada e testada.
Que esta disrupção sirva de catalisador para a mudança. Os planos existem. As normas estão publicadas. A legislação foi aprovada. É importante garantir compromisso, coordenação e execução. A resiliência nacional e europeia é um imperativo estratégico. É um ativo geoestratégico. Foi mais do que um apagão: foi uma prova de integridade sistémica. A próxima disrupção pode surgir de um ataque cibernético, uma crise climática ou falha humana. A pergunta não é “se”, mas “quando”. O desafio agora é aprender antes que volte a suceder.