Ataques cibernéticos a PMEs portuguesas aumentaram 78% em 2025 (dados do Centro Nacional de Cibersegurança). Ransomware, phishing e business email compromise deixaram de ser problema de grandes empresas.

São agora a principal ameaça operacional para qualquer negócio com dependência digital.

O seguro cibernético é uma das formas de transferir este risco, mas poucas PMEs percebem o que estão realmente a comprar.

O que é seguro cibernético

Apólice que cobre perdas financeiras decorrentes de incidentes cibernéticos. Distinta de coberturas tradicionais: multirriscos exclui explicitamente riscos cibernéticos desde 2020 (cláusula LMA5403 standard de mercado).

Coberturas principais

Custos de resposta a incidente:

  • Equipa forense digital (€150-€400/hora)
  • Restauração de sistemas e dados
  • Comunicação de breach a clientes e autoridades
  • CR manager externo

Perdas de negócio:

  • Faturação perdida durante downtime
  • Despesas operacionais adicionais (trabalhar em modo degradado)
  • Extras de staff para recuperar atrasos

Responsabilidade civil:

  • Indenizações a clientes por perda de dados
  • Multas RGPD (parcial, algumas apólices excluem multas)
  • Custas judiciais

Extorsão:

  • Pagamento de resgate em ransomware (controverso mas oferecido)
  • Negociação com atacantes (intermediários especializados)

Restauração de dados:

  • Recuperação de backups
  • Reconstrução de registos perdidos

Coberturas que costumam NÃO estar incluídas

  • Ataques patrocinados por estados (exclusão standard)
  • Melhorias de segurança (apólice indemniza restauração, não upgrade)
  • Perdas por falhas de fornecedor externo (não segurado por si)
  • Atos de empregados com dolo (insider threat intencional)
  • Custos anteriores à descoberta (se incidente decorre há meses)

NIS2 e obrigações de reporte

A Diretiva NIS2 (transposta em Portugal em 2024) impõe obrigações de reporte a empresas em setores críticos:

  • Energia
  • Transportes
  • Banca
  • Infraestruturas financeiras
  • Saúde
  • Água potável
  • Infraestruturas digitais
  • TIC service management (B2B)

Prazos de reporte

Após incidente significativo:

  • 24 horas: notificação preliminar ao CNCS (Centro Nacional de Cibersegurança)
  • 72 horas: notificação intermédia com mais detalhe
  • 1 mês: relatório final

Multas por incumprimento

Até €10 milhões ou 2% da faturação global anual (conforme o maior).

Mesmo PMEs fora do âmbito direto do NIS2 podem ser afetadas como subcontratantes de entidades obrigadas. Se for fornecedor de serviços TIC a uma empresa NIS2, vai receber exigências contratuais equivalentes.

Como seguradoras avaliam maturidade

Antes de emitir apólice, seguradora faz questionário técnico. Comum para PME:

Perguntas típicas

  1. Backups: frequência, localização off-site, testes de restauro
  2. MFA: multifactor autentication em email, VPN, sistemas críticos
  3. Patch management: política de atualização de sistemas operativos e software
  4. EDR/XDR: solução de deteção e resposta instalada (além do antivírus básico)
  5. Formation: treino de colaboradores em phishing (frequência)
  6. Segmentation: rede segmentada para limitar propagação
  7. Email security: filtro avançado, DMARC implementado
  8. Acessos remotos: VPN em vez de RDP exposto, MFA obrigatório
  9. Inventário de ativos: lista atualizada de hardware e software
  10. Plano de resposta: documentado, testado, com contactos externos

Pontuação e impacto no prémio

Cada item acima com pontuação 0-3. Score total:

  • >22 (maduro): prémio standard, condições melhores
  • 15-22 (médio): prémio standard
  • <15 (imatura): prémio carregado 30-100% ou recusa

Algumas seguradoras incluem cláusula de “manutenção de condições”: se maturidade baixar durante a apólice (ex: MFA desativada), cobertura pode ser recusada em sinistro.

Custo para PME portuguesa

Valores aproximados para 2026:

PME standard (escritório, 5-20 pessoas)

  • Cobertura: €100K-€500K
  • Francquia: €2.500-€10.000
  • Custo anual: €500-€2.500

PME com dados sensíveis (saúde, financeiro)

  • Cobertura: €500K-€2M
  • Francquia: €5.000-€25.000
  • Custo anual: €1.500-€8.000

PME com elevada dependência digital (e-commerce, SaaS)

  • Cobertura: €1M-€5M
  • Francquia: €5.000-€50.000
  • Custo anual: €2.000-€15.000

Fatores que aumentam prémio

  • Setor específico (saúde, financeiro, governo)
  • Volume de dados pessoais processados
  • Histórico de incidentes
  • Maturidade baixa
  • Operações internacionais
  • Número de colaboradores com acesso remoto

Caso real: ransomware em PME

Para concretizar, um caso típico em 2025 (detalhes anonimizados):

Empresa: distribuidor têxtil, 28 colaboradores, faturação €4M/ano, sede no Porto.

Incidente:

  • Sexta-feira, 18:30: colaborador abre anexo de email malicioso
  • Sábado, 02:00: ransomware encripta servidor de ficheiros e ERP
  • Domingo: atacante contacta exigindo €80.000 em Bitcoin

Sem seguro:

  • Tempo de inatividade: 9 dias úteis
  • Faturação perdida: €120.000
  • Custos de recuperação (forense + restauro): €35.000
  • Multa CNPD por breach de dados de clientes: €18.000
  • Processo de cliente por não cumprimento contrato: €25.000
  • Custo total: €198.000

Com seguro (cobertura €500K, francquia €10K):

  • Reporte à seguradora em 2h
  • Equipa forense despachada em 6h
  • Negociador contacta atacante, resgate baixado para €45.000
  • Cobertura pagou: €188.000 (todos custos menos francquia)
  • Custo para empresa: €10.000 (francquia) + €2.500 (prémio anual)
  • Total: €12.500 vs €198.000 sem seguro

Diferença de €185.500 num único incidente.

Exclusões críticas a verificar

Antes de assinar, leia com atenção:

“Prior acts” exclusion

Sinistros decorrentes de vulnerabilidades existentes antes da apólice podem ser excluídos. Exija cláusula sem esta exclusão ou com retroatividade ampla.

Warfare exclusion

Incidentes atribuídos a estados (Rússia, China, Coreia Norte) podem ser recusados. Após guerra Ucrânia, esta cláusula tem sido mais invocada. Ver linguagem específica.

Ransomware payment restrictions

Algumas apólices limitam pagamento de resgate a casos específicos. Ver se resgate é coberto sem limites arbitrários.

Software end-of-life

Sistemas operativos ou software fora de suporte (Windows XP, Server 2008) podem ser motivos de recusa.

Bodily injury / property damage

Apólices cyber costumam excluir danos físicos (mesmo se decorrentes de ciberataque). Cobertura deve vir de outra apólice (multirriscos, RC).

Processo de contratação

1. Auto-avaliação prévia

Antes de contactar seguradora, faça diagnóstico interno. Use frameworks gratuitos:

  • CNCS Cybersecurity Radar (Portugal)
  • NIST Cybersecurity Framework
  • CIS Controls

2. Recolha de informação técnica

Seguradora vai pedir:

  • Topologia de rede simplificada
  • Inventário de sistemas
  • Política de backups (desenho, frequência, testes)
  • Política de acessos (MFA onde, como)
  • Certificações (ISO 27001, SOC2 se aplicável)
  • Histórico de incidentes últimos 3 anos

3. Comparação de propostas

Mínimo 3 cotações. Atenção a:

  • Limite de cobertura (não só prémio)
  • Sublimites (cyber extortion pode ter limite separado)
  • Francquia
  • Condições de manutenção
  • Serviços incluídos (muitas seguradoras oferecem plataforma de formação)

4. Negociação

Com 3 propostas em mãos, negoceie. Itens negociáveis:

  • Prémio (5-15% tipicamente)
  • Francquia (subir reduz prémio)
  • Sublimites (aumentar cyber extortion coverage)
  • Serviços incluídos (acrescentar tabletop exercise anual)

5. Implementação de melhorias

Se a avaliação identificou lacunas, implemente antes da apólice entrar em vigor. Algumas seguradoras exigem isto como condição.

💡 Dica prática: Antes de contratar o seguro cibernético, implemente pelo menos 5 das 10 medidas que as seguradoras avaliam (MFA, backups off-site, EDR, formação em phishing e plano de resposta). Cada medida implementada reduz o prémio em 5-15% e elimina cláusulas de exclusão que poderiam deixá-lo sem cobertura na hora do sinistro. Invista primeiro na maturidade, depois no seguro.

Conclusão

Seguro cibernético deixou de ser opcional para qualquer PME com dependência digital, o que em 2026 é praticamente todas. Custo baixo (€500-€5.000/ano para PME típica) versus impacto potencial de um único incidente (€50K-€500K) torna o ROI evidente.

Mas seguro não substitui maturidade.

Mas seguro não substitui maturidade. PMEs que contratam seguro sem investir em defesas básicas (MFA, backups, formation) descobrem na altura do sinistro que apólice tem cláusulas de manutenção que limitam cobertura.

O caminho correto: implementar as 10 medidas base primeiro (as que seguradoras avaliam), depois contratar apólice como transferência de risco residual. Combinados, protegem a empresa contra ameaça que mais cresce em Portugal.