Ataques cibernéticos a PMEs portuguesas aumentaram 78% em 2025 (dados do Centro Nacional de Cibersegurança). Ransomware, phishing e business email compromise deixaram de ser problema de grandes empresas.
São agora a principal ameaça operacional para qualquer negócio com dependência digital.
O seguro cibernético é uma das formas de transferir este risco, mas poucas PMEs percebem o que estão realmente a comprar.
O que é seguro cibernético
Apólice que cobre perdas financeiras decorrentes de incidentes cibernéticos. Distinta de coberturas tradicionais: multirriscos exclui explicitamente riscos cibernéticos desde 2020 (cláusula LMA5403 standard de mercado).
Coberturas principais
Custos de resposta a incidente:
- Equipa forense digital (€150-€400/hora)
- Restauração de sistemas e dados
- Comunicação de breach a clientes e autoridades
- CR manager externo
Perdas de negócio:
- Faturação perdida durante downtime
- Despesas operacionais adicionais (trabalhar em modo degradado)
- Extras de staff para recuperar atrasos
Responsabilidade civil:
- Indenizações a clientes por perda de dados
- Multas RGPD (parcial, algumas apólices excluem multas)
- Custas judiciais
Extorsão:
- Pagamento de resgate em ransomware (controverso mas oferecido)
- Negociação com atacantes (intermediários especializados)
Restauração de dados:
- Recuperação de backups
- Reconstrução de registos perdidos
Coberturas que costumam NÃO estar incluídas
- Ataques patrocinados por estados (exclusão standard)
- Melhorias de segurança (apólice indemniza restauração, não upgrade)
- Perdas por falhas de fornecedor externo (não segurado por si)
- Atos de empregados com dolo (insider threat intencional)
- Custos anteriores à descoberta (se incidente decorre há meses)
NIS2 e obrigações de reporte
A Diretiva NIS2 (transposta em Portugal em 2024) impõe obrigações de reporte a empresas em setores críticos:
- Energia
- Transportes
- Banca
- Infraestruturas financeiras
- Saúde
- Água potável
- Infraestruturas digitais
- TIC service management (B2B)
Prazos de reporte
Após incidente significativo:
- 24 horas: notificação preliminar ao CNCS (Centro Nacional de Cibersegurança)
- 72 horas: notificação intermédia com mais detalhe
- 1 mês: relatório final
Multas por incumprimento
Até €10 milhões ou 2% da faturação global anual (conforme o maior).
Mesmo PMEs fora do âmbito direto do NIS2 podem ser afetadas como subcontratantes de entidades obrigadas. Se for fornecedor de serviços TIC a uma empresa NIS2, vai receber exigências contratuais equivalentes.
Como seguradoras avaliam maturidade
Antes de emitir apólice, seguradora faz questionário técnico. Comum para PME:
Perguntas típicas
- Backups: frequência, localização off-site, testes de restauro
- MFA: multifactor autentication em email, VPN, sistemas críticos
- Patch management: política de atualização de sistemas operativos e software
- EDR/XDR: solução de deteção e resposta instalada (além do antivírus básico)
- Formation: treino de colaboradores em phishing (frequência)
- Segmentation: rede segmentada para limitar propagação
- Email security: filtro avançado, DMARC implementado
- Acessos remotos: VPN em vez de RDP exposto, MFA obrigatório
- Inventário de ativos: lista atualizada de hardware e software
- Plano de resposta: documentado, testado, com contactos externos
Pontuação e impacto no prémio
Cada item acima com pontuação 0-3. Score total:
- >22 (maduro): prémio standard, condições melhores
- 15-22 (médio): prémio standard
- <15 (imatura): prémio carregado 30-100% ou recusa
Algumas seguradoras incluem cláusula de “manutenção de condições”: se maturidade baixar durante a apólice (ex: MFA desativada), cobertura pode ser recusada em sinistro.
Custo para PME portuguesa
Valores aproximados para 2026:
PME standard (escritório, 5-20 pessoas)
- Cobertura: €100K-€500K
- Francquia: €2.500-€10.000
- Custo anual: €500-€2.500
PME com dados sensíveis (saúde, financeiro)
- Cobertura: €500K-€2M
- Francquia: €5.000-€25.000
- Custo anual: €1.500-€8.000
PME com elevada dependência digital (e-commerce, SaaS)
- Cobertura: €1M-€5M
- Francquia: €5.000-€50.000
- Custo anual: €2.000-€15.000
Fatores que aumentam prémio
- Setor específico (saúde, financeiro, governo)
- Volume de dados pessoais processados
- Histórico de incidentes
- Maturidade baixa
- Operações internacionais
- Número de colaboradores com acesso remoto
Caso real: ransomware em PME
Para concretizar, um caso típico em 2025 (detalhes anonimizados):
Empresa: distribuidor têxtil, 28 colaboradores, faturação €4M/ano, sede no Porto.
Incidente:
- Sexta-feira, 18:30: colaborador abre anexo de email malicioso
- Sábado, 02:00: ransomware encripta servidor de ficheiros e ERP
- Domingo: atacante contacta exigindo €80.000 em Bitcoin
Sem seguro:
- Tempo de inatividade: 9 dias úteis
- Faturação perdida: €120.000
- Custos de recuperação (forense + restauro): €35.000
- Multa CNPD por breach de dados de clientes: €18.000
- Processo de cliente por não cumprimento contrato: €25.000
- Custo total: €198.000
Com seguro (cobertura €500K, francquia €10K):
- Reporte à seguradora em 2h
- Equipa forense despachada em 6h
- Negociador contacta atacante, resgate baixado para €45.000
- Cobertura pagou: €188.000 (todos custos menos francquia)
- Custo para empresa: €10.000 (francquia) + €2.500 (prémio anual)
- Total: €12.500 vs €198.000 sem seguro
Diferença de €185.500 num único incidente.
Exclusões críticas a verificar
Antes de assinar, leia com atenção:
“Prior acts” exclusion
Sinistros decorrentes de vulnerabilidades existentes antes da apólice podem ser excluídos. Exija cláusula sem esta exclusão ou com retroatividade ampla.
Warfare exclusion
Incidentes atribuídos a estados (Rússia, China, Coreia Norte) podem ser recusados. Após guerra Ucrânia, esta cláusula tem sido mais invocada. Ver linguagem específica.
Ransomware payment restrictions
Algumas apólices limitam pagamento de resgate a casos específicos. Ver se resgate é coberto sem limites arbitrários.
Software end-of-life
Sistemas operativos ou software fora de suporte (Windows XP, Server 2008) podem ser motivos de recusa.
Bodily injury / property damage
Apólices cyber costumam excluir danos físicos (mesmo se decorrentes de ciberataque). Cobertura deve vir de outra apólice (multirriscos, RC).
Processo de contratação
1. Auto-avaliação prévia
Antes de contactar seguradora, faça diagnóstico interno. Use frameworks gratuitos:
- CNCS Cybersecurity Radar (Portugal)
- NIST Cybersecurity Framework
- CIS Controls
2. Recolha de informação técnica
Seguradora vai pedir:
- Topologia de rede simplificada
- Inventário de sistemas
- Política de backups (desenho, frequência, testes)
- Política de acessos (MFA onde, como)
- Certificações (ISO 27001, SOC2 se aplicável)
- Histórico de incidentes últimos 3 anos
3. Comparação de propostas
Mínimo 3 cotações. Atenção a:
- Limite de cobertura (não só prémio)
- Sublimites (cyber extortion pode ter limite separado)
- Francquia
- Condições de manutenção
- Serviços incluídos (muitas seguradoras oferecem plataforma de formação)
4. Negociação
Com 3 propostas em mãos, negoceie. Itens negociáveis:
- Prémio (5-15% tipicamente)
- Francquia (subir reduz prémio)
- Sublimites (aumentar cyber extortion coverage)
- Serviços incluídos (acrescentar tabletop exercise anual)
5. Implementação de melhorias
Se a avaliação identificou lacunas, implemente antes da apólice entrar em vigor. Algumas seguradoras exigem isto como condição.
💡 Dica prática: Antes de contratar o seguro cibernético, implemente pelo menos 5 das 10 medidas que as seguradoras avaliam (MFA, backups off-site, EDR, formação em phishing e plano de resposta). Cada medida implementada reduz o prémio em 5-15% e elimina cláusulas de exclusão que poderiam deixá-lo sem cobertura na hora do sinistro. Invista primeiro na maturidade, depois no seguro.
Conclusão
Seguro cibernético deixou de ser opcional para qualquer PME com dependência digital, o que em 2026 é praticamente todas. Custo baixo (€500-€5.000/ano para PME típica) versus impacto potencial de um único incidente (€50K-€500K) torna o ROI evidente.
Mas seguro não substitui maturidade.
Mas seguro não substitui maturidade. PMEs que contratam seguro sem investir em defesas básicas (MFA, backups, formation) descobrem na altura do sinistro que apólice tem cláusulas de manutenção que limitam cobertura.
O caminho correto: implementar as 10 medidas base primeiro (as que seguradoras avaliam), depois contratar apólice como transferência de risco residual. Combinados, protegem a empresa contra ameaça que mais cresce em Portugal.