Resiliência jurídica contra a ofensiva digital de 2026

Artigo21 de janeiro de 2026
Manuel Asenjo, CIO da ECIJA, analisa o novo panorama do risco cibernético, a pressão regulamentar da NIS2 e os desafios estratégicos para as sociedades de advogados.

À medida que 2025 se aproximava, muitos de nós esperávamos uma trégua tecnológica; no entanto, os dados do início de 2026 confirmam que a pressão sobre as nossas infra-estruturas não só persiste como se tornou mais sofisticada graças às novas ferramentas e à IA. Como líderes em tecnologia e segurança nos escritórios de advogados, não podemos ignorar que o risco cibernético é agora a principal preocupação de 48% das empresas espanholas, à frente de qualquer outra contingência operacional.


O alerta das infra-estruturas críticas e o quadro regulamentar

O incidente mais significativo deste ano, o ciberataque à Endesa e à Energía XXI, deve servir de aviso para todos nós (sabemos que devemos estar atentos). Embora tenha afetado o sector da energia, a metodologia é um alerta para todos: o acesso não autorizado expôs os dados de milhões de clientes, incluindo nomes, números de identificação nacional e IBANs (com apenas esta informação, podem ser cometidas fraudes telefónicas ou burlas).


É uma chamada de atenção para a vulnerabilidade dos grandes ecossistemas. Num escritório de advogados, uma violação desta magnitude não só compromete os dados financeiros, como também mina o pilar fundamental do nosso sector: o sigilo profissional e a confiança dos clientes.


O desafio não é apenas operacional, mas também regulamentar. Estamos num momento crítico com a iminente transposição da Diretiva NIS2 em Espanha. Este regulamento não é "apenas mais um regulamento"; é uma mudança de paradigma que nos obriga a elevar a cibersegurança ao nível da governação empresarial. Para as empresas que actuam como fornecedores críticos para sectores essenciais ou que atingem o limiar de entidades significativas, a NIS2 introduz

  • Responsabilidade executiva: Os sócios-gerentes deixarão de poder delegar a cibersegurança como uma questão puramente informática; serão diretamente responsáveis pela conformidade, o que pode ter consequências penais e pessoais (multas de milhões, desqualificações, entre outras).
  • Gestão da cadeia de abastecimento: Teremos de auditar não só a nossa própria segurança, mas também a de todos os nossos fornecedores de tecnologia. Se não o fizer, poderá ser responsabilizado, mesmo que a culpa seja do seu fornecedor.
  • Notificação rigorosa: prazos de24 horas para a notificação prévia de incidentes significativos. Em comparação com o RGPD, este prazo é muito mais curto.


Perfil da "Ameaça" em 2026

O ambiente atual é caracterizado por três vectores críticos que a NIS2 pretende mitigar e que temos de abordar com urgência:

  • Aumento do ransomware: Com um aumento global de 60% em relação ao ano anterior e uma média de 1.883 ataques por semana em Espanha, grupos como o Qilin e o LockBit5 estão a demonstrar capacidades de perturbação sem precedentes. O ransomware é, de facto, a ameaça mais temida por 60% das organizações devido à sua eficácia e taxa de sucesso, tanto em termos de infeção como de retorno económico.
  • Compromisso de identidade: o mês de janeiro foi marcado por ataques que utilizam credenciais legítimas para se movimentarem lateralmente dentro das organizações. No sector jurídico, onde o acesso remoto aos ficheiros é a norma, a proteção da identidade digital é o nosso elo mais crítico. Os nossos advogados estão cada vez mais a trabalhar em locais remotos, em casa dos clientes, em estações e aeroportos. Isto torna o perímetro cada vez maior e mais complicado de defender.
  • Exfiltração e falsificação de identidade (phishing): Mais do que a encriptação de dados, o roubo de credenciais e a exfiltração de informações sensíveis estão a tornar-se as tácticas preferidas para extorquir as empresas. Neste ponto, não devemos esquecer os actores internos. No paradigma da Confiança Zero, a máxima é que não devemos confiar em ninguém. As ameaças podem vir de fora ou de dentro, e estas últimas são as mais perigosas. O roubo de credenciais sem aviso prévio, funcionários que acidentalmente (descarregamento em massa de informações por conveniência ou para trabalhar offline) ou por raiva contra a empresa podem colocar-nos em situações críticas e inesperadas são elementos a considerar.

Aqui, os sistemas NDR (Network Detection and Response), ferramentas que aprendem os padrões dos utilizadores através da deteção, comunicação e resposta a acções invulgares, e os sistemas DLP (Data Loss Prevention), especificamente concebidos para detetar fugas de informação, serão os nossos melhores aliados.


Roteiro para o CIO/CISO jurídico

Perante este cenário, a nossa estratégia para este ano não pode ser reactiva e deve ser dupla: proteger os "dados" e cumprir a regulamentação.


  • Governação e formação (exigência NIS2): É imperativo formar os órgãos de gestão. A cibersegurança é atualmente um risco jurídico e financeiro significativo.
  • Adoção do Zero Trust: Valide cada acesso, especialmente no trabalho remoto, para evitar os movimentos laterais a que assistimos nos ataques do início do ano.
  • Resiliência operacional: a prevenção não é suficiente; é necessário estar preparado para recuperar a empresa em horas, e não em dias, no caso de uma encriptação do sistema.

Conclusão: Da reatividade à excelência operacional

2026 começou com uma pressão cibernética implacável e um quadro regulamentar, o NIS2, que nos exigirá excelência. Já não é suficiente ser "reativo" ou confiar nas soluções tradicionais de perímetro. O facto de quase metade das empresas espanholas considerarem o risco cibernético a sua principal ameaça reflecte uma maturidade na perceção do perigo, mas agora esta perceção deve ser transformada em investimento e cultura institucional.


Para uma sociedade de advogados, a cibersegurança não é um custo informático, mas sim a salvaguarda da nossa reputação e do nosso sigilo profissional. Cumprir a NIS2 e mitigar o aumento de 9% na frequência dos ataques não é apenas uma obrigação legal; é uma vantagem competitiva.


As empresas que conseguirem integrar a segurança no ADN da sua prática jurídica não só sobreviverão à onda de ransomware deste ano, como também se estabelecerão como os parceiros de confiança que o mercado exige num ambiente digital hostil. A nossa missão enquanto CIOs e CISOs é liderar esta mudança, assegurando que, à medida que o mundo digital se torna mais complexo, a confiança dos nossos clientes se mantém inalterada.


Aceda ao artigo completo publicado na Law & Trends aqui.

Una imagen en blanco y negro de un puente con cables tensados contra un cielo nublado.
  • Inteligência Artificial

ATUALIDADE #ECIJA