Nos últimos dias, assistimos a algo que parecia impensável para quem viaja frequentemente: sistemas de check-in e de entrega de bagagens paralisados em alguns dos maiores aeroportos europeus, como Heathrow, Bruxelas e Berlim. O motivo não foi uma tempestade, nem uma greve, mas sim um ataque cibernético contra a Collins Aerospace, fornecedora crítica de tecnologia para companhias aéreas e aeroportos em todo o mundo.
De repente, processos altamente digitalizados voltaram ao papel e caneta. Passageiros em filas intermináveis, voos atrasados, cancelados ou desviados, e milhões de euros em perdas diretas e indiretas. É um choque de realidade: a aviação global, um dos setores mais interligados e dependentes de tecnologia, mostrou-se vulnerável a um único ponto de falha na sua cadeia de fornecimento.
O que este ataque nos ensina
As cadeias de fornecimento são tão fortes quanto o elo mais fraco
Aeroportos e companhias aéreas dependem de soluções tecnológicas externas para operações críticas. Sistemas de reservas, check-in de bagagens, controlo aéreo ou manutenção, todos assentam em fornecedores especializados. Quando um fornecedor sofre um ataque, todo o ecossistema sofre com ele. Os líderes do setor têm de assumir que a gestão da cibersegurança já não se esgota na sua organização: é necessário auditar, exigir e monitorizar a postura de segurança de toda a cadeia de fornecimento.
A resiliência operacional não é opcional
Os planos de contingência funcionaram apenas parcialmente. O recurso a processos manuais mostrou improviso, mas também revelou falta de redundância digital robusta. Num setor cada vez mais digital, a continuidade operacional tem de ser planeada ao nível da sua importância estratégica. A pergunta a colocar é simples: em caso de disrupçãp, temos sistemas redundantes independentes que assegurem a operação?
A confiança do passageiro é um ativo frágil
No transporte aéreo, confiança é sinónimo de pontualidade e previsibilidade. Um incidente destes abala a imagem de segurança e fiabilidade do setor. Não se trata apenas das perdas financeiras imediatas, mas do impacto na reputação, o ativo mais difícil de recuperar.
Onde entra a NIS2
A Diretiva NIS2, que entrou em vigor em 2023 e terá de ser aplicada nos Estados-Membros da UE, não é apenas um documento legal. É um guia de sobrevivência para setores críticos como o transporte aéreo.
Na prática, e com este incidente, devemos focar a análise em 4 pontos essenciais:
- Gestão da cadeia de fornecimento (Art. 21 NIS2): fornecedores TIC críticos devem ser auditados, certificados e monitorizados. Não basta confiar; é preciso verificar.
- Planos de continuidade operacional: processos manuais não podem ser o plano A em 2025. Redundância digital e sistemas paralelos são obrigatórios.
- Notificação de incidentes (24h / 72h / 1 mês): a comunicação estruturada e rápida às autoridades nacionais e europeias deve ser tratada com a mesma prioridade que a segurança física.
- Responsabilidade dos gestores (Art. 20): a cibersegurança já não é um tema apenas de técnicos. Conselhos de administração devem estar envolvidos, informados e preparados.
Os líderes que encarem estas exigências como uma oportunidade terão vantagem competitiva. Num setor onde minutos equivalem a milhões, a resiliência operacional será a nova marca de confiança.
A visão executiva: de obrigação a vantagem competitiva
A aplicação da NIS2 não deve ser vista apenas como um fardo regulatório. Pelo contrário, para aeroportos, companhias aéreas e fornecedores de tecnologia, ser resiliente é um diferenciador de mercado.
Num setor em que atrasos de minutos custam milhões, mostrar capacidade de resistir a ciberataques e manter operações contínuas pode ser o fator decisivo para conquistar passageiros e parceiros. Mais do que evitar multas, que podem ir até 2% do volume de negócios global, aplicar a NIS2 é investir na confiança dos passageiros, em eficiência operacional e na construção de uma reputação internacional sólida.
