🚨 A NIS2 já está em vigor. A sensibilização para a segurança é agora uma obrigação legal na UE.

Verificar a conformidade
Inicia o teu teste gratuito
Voltar ao Centro de Recursos

Requisitos de formação da NIS2: Obrigações, limites e quem tem de cumprir

As escolas e instituições de ensino em toda a Europa são cada vez mais alvo de cibercriminosos. No início de 2025, os hackers tiveram acesso aos sistemas informáticos da Universidade Tecnológica de Eindhoven (TU/e) durante cinco dias, utilizando credenciais roubadas e uma VPN sem autenticação de dois fatores. As aulas foram canceladas durante uma semana inteira. Ao mesmo tempo, a diretiva NIS2 exige que parte do setor educativo europeu melhore de forma comprovada a sua segurança digital. Mas a que instituições se aplica e o que é que elas precisam de fazer exatamente? Este artigo explica tudo.

A educação está abrangida pelo NIS2?

A NIS2 aplica-se quando uma organização cumpre simultaneamente duas condições: deve operar num setor designado (Anexo I ou II da diretiva) e ultrapassar os limiares de dimensão. A dimensão por si só não é suficiente; a designação do setor é o critério principal.

A diretiva NIS2 inclui o ensino superior como parte do setor da investigação (Anexo II). As universidades e as escolas superiores de ciências aplicadas que realizam investigação podem, portanto, ser classificadas como entidades importantes. O ensino secundário e o ensino básico não constam dos anexos e não são automaticamente abrangidos pela NIS2, independentemente da sua dimensão.

Dito isto, não é tão simples como dizer que «as grandes instituições de formação profissional estão sempre isentas». Existem três situações em que as instituições de ensino secundário e básico podem ainda ser afetadas.

Que instituições de ensino (potencialmente) estão abrangidas pelo NIS2?

Tipo de instituição Estado do NIS2 Notas
Universidades Provavelmente uma entidade importante Pesquisar função + tamanho; satisfazer ambas as condições
Faculdades de ciências aplicadas Entidade possivelmente importante Depende do tamanho e das atividades de investigação
Instituições de ensino profissional (MBO) Não está automaticamente abrangido Setor não designado; a designação nacional ou a estrutura mista podem alterar isso
Ensino secundário Não está automaticamente abrangido Setor não designado; os grandes grupos escolares podem ser abrangidos pelo NIS2 através de uma designação nacional ou de uma estrutura mista
Ensino básico Não está automaticamente abrangido Setor não especificado; é possível que haja requisitos indiretos através de parceiros

Limites de dimensão: O NIS2 aplica-se a organizações com mais de 50 funcionários ou com um volume de negócios anual/total do balanço superior a 10 milhões de euros. Mas a dimensão, por si só, não faz com que uma organização seja abrangida — a designação do setor é sempre o primeiro requisito.

Afinal, quando é que as escolas secundárias e primárias passam a estar abrangidas pelo NIS2?

«Não abrangido automaticamente» não significa «não relevante». Existem três situações em que as instituições de ensino secundário e básico se deparam com o NIS2:

1. Designação nacional

Os Estados-Membros podem designar organizações como entidades críticas fora dos anexos europeus. O governo holandês pode decidir que grandes grupos escolares com um papel social significativo sejam abrangidos pela Lei de Cibersegurança. Em particular, os conselhos de administração de grande dimensão que supervisionam dezenas de escolas e milhares de funcionários correm esse risco.

2. Organizações mistas

Muitos grupos escolares oferecem tanto ensino secundário como profissional, ou estão ligados a uma universidade de ciências aplicadas. Se a vertente profissional ou de ensino superior for suficientemente significativa e realizar atividades de investigação, essa parte pode ser abrangida pelo NIS2. Na prática, isso faz com que os requisitos de segurança se apliquem a toda a organização.

3. Necessidades indiretas através da cadeia de abastecimento

As organizações sujeitas à NIS2 têm de proteger a sua cadeia de abastecimento. Se uma organização escolar fornecer software, partilhar dados ou colaborar com instituições sujeitas à NIS2, esses parceiros podem impor requisitos de segurança. Os organismos financiadores e os clientes públicos também estão cada vez mais a impor este tipo de requisitos.

Quais são as obrigações das instituições de ensino?

Quando uma instituição de ensino está abrangida pelo NIS2, aplicam-se as mesmas obrigações básicas que aos outros setores. As mais relevantes no contexto da educação são:

Análise de riscos e política de segurança

Tens de identificar sistematicamente os riscos para as tuas redes, sistemas e dados, incluindo os sistemas utilizados por fornecedores, tais como prestadores de serviços SIS, serviços na nuvem para plataformas de aprendizagem e ferramentas de colaboração.

Obrigação de comunicar incidentes

Incidentes graves, como ataques de ransomware a sistemas de gestão de alunos ou violações de dados que envolvam dados pessoais dos alunos, têm de ser comunicados à autoridade competente no prazo de 24 horas.

Segurança da cadeia de abastecimento

Os fornecedores de software e serviços têm de cumprir comprovadamente os teus requisitos de segurança. Pensa, por exemplo, em fornecedores de plataformas de aprendizagem, sistemas de informação sobre alunos ou armazenamento na nuvem.

Gestão de acesso e autenticação

A autenticação multifatorial para o acesso a sistemas que contêm dados confidenciais é obrigatória. No contexto educativo, isto aplica-se certamente aos funcionários com acesso a registos de alunos, sistemas financeiros e dados de investigação. O ataque à TU Eindhoven, em janeiro de 2025, ilustra o que pode correr mal sem a autenticação multifatorial: os hackers conseguiram entrar através de uma VPN sem verificação em duas etapas e mantiveram o acesso sem serem detetados durante cinco dias.

Formação em sensibilização para a segurança destinada aos funcionários

A NIS2 exige explicitamente que as instituições formem o pessoal em cibersegurança. Isto abrange não só o pessoal de TI, mas também docentes, investigadores e pessoal de apoio, ou seja, qualquer pessoa com acesso aos sistemas e aos dados.

Por que a cibersegurança na educação merece uma atenção especial

As instituições de ensino são alvos atraentes para os cibercriminosos devido à combinação de dados de investigação valiosos, grandes volumes de dados pessoais e uma cultura de TI relativamente aberta. Alguns desafios específicos:

  • Grandes grupos de utilizadores — dezenas de milhares de estudantes e funcionários com diferentes direitos de acesso.
  • Elevada rotatividade — todos os anos há alunos que se matriculam e se formam; é preciso gerir ativamente as contas.
  • Cultura de rede aberta — a liberdade académica entra, por vezes, em conflito com políticas de segurança rigorosas.
  • Orçamentos de TI limitados — especialmente nas instituições mais pequenas, há pouca margem para investir em segurança.
  • Dados de investigação valiosos — a propriedade intelectual e os resultados da investigação são alvo de interesse por parte dos atores estatais.

Como é que a Guardey ajuda as instituições de ensino

A Guardey oferece formação em sensibilização para a segurança com conteúdos adaptados ao setor da educação. Os funcionários aprendem a reconhecer o phishing, a lidar com os dados de forma segura e a saber o que fazer quando detetam algo suspeito. Tudo isto em módulos curtos e fáceis de assimilar, que se encaixam numa semana de trabalho agitada.

Ao formar o pessoal de forma consistente, as instituições de ensino cumprem a obrigação de sensibilização prevista na NIS2 e, ao mesmo tempo, tornam-se menos vulneráveis aos ataques que afetam o setor diariamente.

Queres saber exatamente o que a NIS2 significa para a tua instituição? Consulta o guia da NIS2 para 2026, com todas as obrigações, limites e uma lista de verificação prática.

Nem todas as instituições de ensino estão formalmente abrangidas pelo NIS2, mas a linha divisória é menos clara do que parece. As universidades e as grandes escolas superiores de ciências aplicadas estão, na maioria dos casos, sujeitas ao NIS2. No que diz respeito ao ensino profissional, secundário e básico, isso depende da classificação nacional, da estrutura organizacional e dos parceiros com quem trabalham.

Começa por definir claramente o âmbito de aplicação, realiza uma análise de riscos e garante que o pessoal tenha formação comprovada. Esses são os passos que abordam diretamente a maioria das obrigações da NIS2 e que demonstram, enquanto instituição, que a cibersegurança é levada a sério.

Formação em sensibilização para a segurança: útil mesmo sem a NIS2

A NIS2 pode não se aplicar a todas as instituições de ensino, mas as ameaças a que ela dá resposta aplicam-se a todas. A formação em sensibilização para a segurança ajuda a tua equipa a reconhecer e a responder a ciberataques, independentemente de ser ou não exigida a conformidade.

Guardey para a educação

A Guardey desenvolveu módulos de formação específicos para o pessoal docente. Descarrega a brochura ou descobre como seria um programa personalizado para a tua instituição.

Guardey para a educação
Dinela Lokvancic
Dinela Lokvancic Especialista em Marketing A Dinela mantém a presença online da Guardey atualizada. Ela cria conteúdos que tornam acessíveis temas complexos de cibersegurança e ajuda as organizações a entender por que a formação em consciencialização de segurança é importante para as suas equipas.
PRONTO PARA COMEÇAR?

Junta-te às mais de 500 empresas que já protegem as suas equipas com o Guardey

Começa o teu período de teste gratuito de 14 dias
14 dias grátis · Sem cartão de crédito · Acesso total · Configuração em 5 minutos
Ou marca uma demonstração personalizada