Vivemos uma nova era da navegação - digital, automatizada e interconectada - em que as ameaças não partem mais de piratas hostis em alto-mar, mas de atores cibernéticos invisíveis, que rondam sistemas de informação de embarcações e zonas portuárias. Nesse contexto, os portos, enquanto infraestruturas críticas¹ fundamentais ao comércio global², tornaram-se alvos estratégicos de ataques cibernéticos, capazes de paralisar cadeias logísticas, causar prejuízos milionários e comprometer a soberania digital de empresas e Estados.

Um dos casos mais emblemáticos de ataque cibernético no setor portuário ocorreu em junho de 2017, quando a empresa dinamarquesa Maersk, operadora de transporte marítimo, foi duramente afetada pelo malware NotPetya. O ataque propagou-se a partir de um software fiscal amplamente utilizado na Ucrânia. Devido à ausência de segmentação de rede e à presença de sistemas desatualizados, o vírus se espalhou rapidamente pelos sistemas da Maersk, paralisando 17 dos seus 76 terminais portuários ao redor do mundo (SIPA, 2021).

As consequências foram severas: operações suspensas, sistemas de reservas indisponíveis, contêineres refrigerados em risco de perda, filas de caminhões nos portos e comunicação improvisada entre equipes - um verdadeiro pesadelo. A recuperação exigiu um esforço global e quase dois meses para restabelecer as operações, com prejuízos estimados entre 250 e 300 milhões de dólares - sem contar os impactos em cadeias de suprimentos e clientes indiretos (SIPA, 2021).

Em julho de 2023, o Porto de Nagoya - o maior do Japão em volume de cargas, responsável por aproximadamente 10% do comércio exterior do país e ponto estratégico para a logística da montadora Toyota - foi alvo de um ataque de ransomware atribuído ao grupo LockBit 3.0. O incidente teve início com uma falha na inicialização de um computador e a impressão de uma mensagem que indicava a infecção do sistema (CNN, 2023).

A ação comprometeu os sistemas responsáveis pela movimentação e comunicação logística dos terminais, resultando na suspensão completa das operações de carga e descarga. Como consequência, formaram-se grandes congestionamentos e houve atrasos significativos na circulação de mercadorias. A operadora do porto conseguiu isolar os servidores afetados e restaurar os sistemas por meio de backups, permitindo a retomada gradual das operações nos dias seguintes (CNN, 2023).

Já em maio de 2024, o Porto de São Francisco do Sul, em Santa Catarina, foi alvo de um ataque de ransomware que expôs documentos sensíveis, incluindo dados de contabilidade, recursos humanos, relatórios financeiros, contratos, operações e informações de funcionários. Apesar da gravidade do incidente, a operação foi parcialmente restaurada em menos de 24 horas (PORTO DE SÃO FRANCISCO DO SUL, 2024).

Diante desses episódios, as respostas das entidades públicas e privadas foram significativas e multifacetadas, destacando-se:

1. A Maersk reformulou sua arquitetura digital, investiu em segmentação de redes e atualização contínua de sistemas e protocolos de resposta a incidentes (SIPA, 2021). O caso também serviu como alerta global, impulsionando a criação de diretrizes internacionais voltadas à resiliência cibernética no setor marítimo. A IMO - Organização Marítima Internacional, entidade reguladora das Nações Unidas para o setor de transporte marítimo, estabeleceu de forma clara que a cibersegurança deve ser uma prioridade estratégica para o futuro da indústria. A partir de janeiro de 2021, suas diretrizes revisadas passaram a exigir que os requisitos de preparação para riscos cibernéticos sejam considerados nas auditorias de conformidade, ampliando os padrões internacionais de segurança aplicáveis ao setor, conforme estabelecido na resolução MSC.428(98) (IMO, 2017).
2. No Japão, o ataque levou a uma intensificação da cooperação entre autoridades portuárias e agências nacionais de cibersegurança, com envolvimento direto da NISC - National center of Incident readiness and Strategy for Cybersecurity que investigou o caso e reforçou orientações para proteção de infraestruturas críticas (NISC, 2024)
3. O Porto de São Francisco do Sul passou a adotar protocolos mais rigorosos de controle de acesso, monitoramento em tempo real e armazenamento de dados, além de impulsionar a articulação com a ANPD - Autoridade Nacional de Proteção de Dados e da Agência Nacional de Transportes Aquaviários - ANTAQ (PORTO DE SÃO FRANCISCO DO SUL, 2024).

Esses episódios, embora não isolados,³ evidenciam a crescente vulnerabilidade do setor portuário frente às ameaças digitais. Além disso, catalisaram, em escala global, o reconhecimento da cibersegurança como um vetor estratégico no setor portuário e fomentaram o desenvolvimento de legislações, normas técnicas, treinamentos e estruturas cooperativas.

No plano internacional, destacam-se como referências em cibersegurança marítima: (i) Documento MSC-FAL.1/Circ.3/Rev.2, da IMO, que trata do gerenciamento de risco cibernético marítimo; (ii) Recomendação n. 166 da International Association of Classification Societies (IACS) sobre resiliência cibernética; (iii) Norma ISO/IEC 27001 sobre Sistemas de Gestão de Segurança da Informação; (iv) Framework para Melhoria da Cibersegurança em Infraestruturas Críticas, do National Institute of Standards and Technology (NIST); (v) Diretrizes de Cibersegurança da IAPH - International Association of Ports and Harbors voltadas a portos e instalações portuárias (IMO, 2022).

Apesar dos esforços, a IAPH revela que há um longo caminho a percorrer no enfrentamento dos desafios relacionados à cibersegurança portuária em nível global. Os principais obstáculos incluem: (i) a ausência de uma abordagem holística e colaborativa; (ii) a falta de uma linguagem comum entre os diferentes atores do setor; e (iii) a disparidade tecnológica entre os portos - alguns já operando com sistemas altamente automatizados e inteligentes, enquanto outros ainda dependem fortemente de interações presenciais e processos baseados em papel (IAPH, 2021).

No cenário europeu, a diretiva 22/2555, conhecida com NIS 2 - Network and Information Security Directive 2, surge como um marco normativo para a temática da cibersegurança. Substituindo a diretiva NIS de 2016, a NIS 2 representa um avanço na consolidação de uma estratégia europeia comum de cibersegurança. Embora a aplicação da diretiva⁴ não seja específica para o setor marítimo, os portos, enquanto infraestruturas críticas, estão também abrangidos.  Deste modo, com o objetivo de elevar o nível de proteção das redes e sistemas de informação nos Estados-Membros, a nova diretiva atualiza e reforça as obrigações em matéria de cibersegurança, especialmente no que diz respeito a setores considerados críticos, como o da energia, saúde, transporte, água, administração pública, serviços digitais e, de forma expressa, o setor portuário (EUR-Lex, 2022).

Uma das principais inovações da NIS2 é a ampliação do escopo de aplicação, tanto em termos setoriais quanto no número de entidades abrangidas. Ao contrário da diretiva anterior, que fazia distinção entre operadores de serviços essenciais e fornecedores de serviços digitais, a NIS 2 passa a classificar as entidades como essenciais ou importantes, com base na criticidade dos serviços prestados - independentemente de sua dimensão, salvo exceções específicas (EUR-Lex, 2022).

Além disso, a diretiva estabelece requisitos mais rigorosos e detalhados em áreas fundamentais para a cibersegurança organizacional, tais como (EUR-Lex, 2022):

1. Gestão de riscos e adoção de medidas técnicas e organizacionais adequadas, compatíveis com o nível de exposição e o grau de criticidade das atividades desenvolvidas
2. Resposta a incidentes, com destaque para a obrigatoriedade de notificar incidentes significativos dentro de 24 horas após a detecção (relato inicial), seguido por um relatório intermediário em até 72 horas, e um relatório final em até um mês
3. Governança da segurança da informação, que exige o envolvimento direto da alta administração das entidades abrangidas, inclusive com a possibilidade de responsabilização
4. individual por falhas de conformidade
5. Gestão da cadeia de suprimentos, com imposição de deveres de supervisão, avaliação e controle sobre fornecedores terceirizados e prestadores de serviços críticos;

Auditorias e conformidade, com aplicação de sanções administrativas proporcionais, eficazes e dissuasivas, que podem atingir até 10 milhões de euros ou 2% do volume de negócios anual mundial da empresa infratora, adotando-se o maior valor entre os dois.  

Esses parâmetros refletem o esforço da União Europeia em estabelecer um regime normativo robusto e harmonizado para reforçar a resiliência digital em setores essenciais e importantes. A NIS 2 também fortalece os mecanismos de cooperação entre os Estados-Membros, prevendo a criação de redes de resposta a incidentes, como a EU-CyCLONe - European Cyber Crises Liaison Organisation Network, atualizações no papel da ENISA - Agência da União Europeia para a Cibersegurança e a harmonização das práticas regulatórias e sancionatórias em toda a União (EUR-Lex, 2022).

Com prazo de transposição até 17/10/24, os Estados-Membros devem adaptar seus ordenamentos jurídicos internos para garantir a efetiva implementação da diretiva.⁵ Em Portugal, por exemplo, o processo legislativo está em andamento, com a aprovação pelo Conselho de Ministros, em fevereiro de 2025, de uma proposta de lei que institui um novo regime Jurídico da Cibersegurança. Esta proposta segue agora para a Assembleia da República para aprovação (REPÚBLICA PORTUGUESA, 2025).

Embora a NIS 2 tenha aplicação direta apenas na União Europeia, seus efeitos repercutem globalmente, especialmente diante da crescente digitalização das infraestruturas logísticas e da interdependência nas cadeias de suprimentos. No setor portuário brasileiro, os impactos potenciais são significativos. Entre eles, destacam-se:

1. Adoção indireta de determinados padrões: Empresas nacionais que mantêm relações comerciais, tecnológicas ou contratuais com parceiros europeus poderão ser indiretamente pressionadas a adotar os padrões estabelecidos pela NIS 2, sob pena de perder competitividade.
2. Exigências pré-contratuais: Exportadores e importadores que operam por meio de portos europeus, utilizam sistemas de gestão compartilhada de carga ou fornecem serviços digitais a operadores estrangeiros já enfrentam exigências quanto à maturidade em cibersegurança, podendo ter de comprovar conformidade com critérios europeus como pré-requisito contratual.
3. Influência normativa: Ao estabelecer um novo patamar regulatório, a Diretiva pressiona por convergência internacional e inspira a revisão de legislações e normativas domésticas. No Brasil, isso pode se traduzir em medidas da Agência Nacional de Transportes Aquaviários (ANTAQ) e da Autoridade Nacional de Proteção de Dados (ANPD).
4. Incentivo à cooperação internacional: A diretiva promove o compartilhamento de informações sobre ameaças, vulnerabilidades e boas práticas entre Estados e operadores, o que pode abrir espaço para que o Brasil participe de redes colaborativas e fortaleça sua resiliência cibernética.⁶ Contudo, essa mesma exposição traz consigo maior escrutínio internacional, exigindo do país um compromisso consistente com a proteção das suas infraestruturas críticas.

A ausência de medidas alinhadas à diretiva NIS 2 poderá resultar não apenas em riscos operacionais e financeiros, mas também em exclusão de parcerias estratégicas. A transformação digital dos portos - marcada pelo avanço da IoT - Internet of Things, dos digital twins, da IA e da automação⁷ - exige que a cibersegurança seja tratada como eixo estruturante da inovação. Nesse sentido, a diretiva europeia funciona como um referencial técnico e estratégico para a modernização do setor, orientando a adoção de práticas robustas de prevenção e resposta a incidentes.

Nesse contexto, é importante ressaltar que o Brasil tem progredido no reconhecimento da importância da segurança portuária, especialmente no que se refere à proteção de dados e informações estratégicas. Em 2024, cerca de 53 terminais portuários no país encontravam-se em conformidade com a resolução 53/20 da Conportos - Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis, a qual estabelece diretrizes sobre gestão de riscos, segurança cibernética e prevenção de atos ilícitos nessas instalações (ATP, 2024).

Em linhas gerais, compreende-se que os princípios trazidos pela diretiva NIS 2 podem servir como referência valiosa para o fortalecimento da cibersegurança no setor portuário. Mais do que uma adequação formal à normativa europeia, trata-se de reconhecer a importância de práticas robustas de gestão de riscos, resposta a incidentes e proteção de infraestruturas críticas como pilares essenciais para: (i) ampliar a resiliência digital, (ii) reforçar a confiança nas cadeias logísticas e (iii) garantir a competitividade dos portos brasileiros em um ambiente global cada vez mais conectado e tecnologicamente dependente.

Como nos tempos das grandes navegações, os mares continuam a oferecer promessas e perigos. No oceano digital da atualidade, estar preparado para enfrentar os novos piratas é tão essencial quanto dominar, no passado, as rotas do comércio global.

___________

ATP, Comitê debate segurança cibernética no setor portuário. Publicado em: 18.07.2024. Disponível aqui. Acesso em: 25/3/25.

BRASIL. Decreto nº 10.569, de 9 de dezembro de 2020. Aprova a Estratégia Nacional de Segurança de Infraestruturas Críticas. Disponível aqui. Acesso em: 25/3/25.

COMISSÃO EUROPEIA, Ponto da situação da transposição da Diretiva SRI 2 (2025). Disponível aqui. Acesso em: 25/3/25.

CNN, Japan's largest port hit with ransomware attack. Publicado em: 06.06.2023. Disponível aqui. Acesso em: 25/3/25.

EUR-Lex, Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive). Disponível aqui. Acesso em: 25/3/25.

FARIA, Luis Cláudio Furtado; COSTA, Mariana Rodrigues da. Como a inteligência artificial pode contribuir para a eficiência da indústria marítima. Publicado em: 01.08.2024. Disponível aqui. Acesso em: 25/3/25.

GOV.BR, Portos brasileiros registram maior movimentação da história com 1,32 bilhão de toneladas em 2024. Publicado em: 18.02.2025. Disponível aqui. Acesso em: 25/3/25.

IAPH, IAPH Cybersecurity Guidelines for Ports and Port Facilities (2021). Disponível aqui. Acesso em: 25/3/25.

IMO, MSC-FAL.1/Circ.3/Rev.2. Publicado em: 07.06.2022. Disponível aqui. Acesso em: 25/3/25.

IMO, Resolution MSC.428(98). Publicado em: 16.06.2017. Disponível aqui. Acesso em: 25/3/25.

NISC, The Cybersecurity Policy for Critical Infrastructure Protection. (2024). Disponível aqui. Acesso em: 25/3/25.

PORTO DE SÃO FRANCISCO DO SUL. Nota Oficial - Porto retoma operações em menos de 24 horas após ataque cibernético. Publicado em: 09.05.2025. Disponível aqui. Acesso em: 25/3/25.

REPÚBLICA PORTUGUESA, Conselho de Ministros aprova nova lei de cibersegurança. Publicado em: 06.02.2025.  Disponível aqui. Acesso em: 25/3/25.

SENARAK, Chalermpong. Port cyberattacks from 2011 to 2023: a literature review and discussion of selected cases. Marit Econ Logist 26, 105-130 (2024). Disponível aqui. Acesso em: 25/3/25.

SIPA. NotPetya: A Columbia University Case Study (2021). Disponível aqui.  Acesso em: 25/3/25.

UNCTAD, Review of Maritime Transport 2024. Disponível aqui. Acesso em: 25/3/25.

______________