Continuidade do negócio: de exercício teórico a pilar da resiliência nas organizações

Durante muito tempo, a continuidade do negócio foi vista em diversas organizações como um exercício teórico, algo que importa ter documentado, mas que raramente é posto em prática. Planos de contingência elaborados, testes ocasionais, relatórios arquivados. No entanto, os últimos anos trataram de desmontar essa visão confortável. Pandemias, conflitos geopolíticos, ciberataques, falhas em cadeias de abastecimento, com o ‘blackout’ ibérico de abril 2025 ainda fresco na memória, e fenómenos climáticos extremos como o mais recente comboio de depressões que assolaram o nosso país, tornaram claro que a disrupção deixou de ser uma exceção — passou a fazer parte do nosso quotidiano.

Falar de continuidade do negócio hoje já não é apenas falar de recuperar sistemas ou voltar a operar em ‘business-as-usual’ após um incidente. É falar de resiliência das organizações, do Estado e das populações, da capacidade de planear e antecipar, responder e recuperar. No caso das organizações, trata-se de uma questão estratégica, diretamente ligada à sobrevivência, à confiança dos clientes e à credibilidade das instituições. Uma organização que não consegue garantir a continuidade dos seus serviços críticos compromete não só os seus resultados, mas também o ecossistema em que se insere.

É precisamente por reconhecer este impacto sistémico que a União Europeia tem dado uma atenção crescente a estes temas. Iniciativas como a NIS2* e o DORA** não surgem por mero excesso regulatório. Elas refletem uma leitura clara do contexto atual: a economia europeia é profundamente digital, interligada e dependente de infraestruturas críticas. Uma falha relevante num operador essencial, numa instituição financeira ou num fornecedor tecnológico pode ter efeitos em cascata à escala de países inteiros. 

Neste sentido, defendo que há uma visão francamente positiva que importa transmitir às organizações: investir em Continuidade do Negócio não é um custo, mas um investimento, que deve ser encarado como um esforço premente e não de caráter opcional. Boas práticas existem e devem ser implementadas, designadamente: a identificação prévia de processos e ativos críticos que os suportam (i.e. pessoas, sistemas, fornecedores, infraestrutura física); investimento em redundâncias; planos simples e claros, dotados de estratégias acionáveis; formação e partilha interna de conhecimento; exercícios regulares com envolvimento da gestão de topo; e testes realistas baseados em cenários que assumem, por exemplo, falhas prolongadas de energia ou comunicações, ou ainda ciberataques — também frequentes nos dias que correm. 

Em suma, a continuidade do negócio falha quando não é assumida como prioridade estratégica, quando não é testada em condições reais e quando permanece confinada a documentos que não são consultados em contexto de crise. Os eventos recentes em Portugal evidenciam que a disrupção já não é um cenário hipotético, mas uma realidade recorrente. Perante isto, a questão deixa de ser se as organizações devem investir em continuidade do negócio, e passar a ser quando e com que profundidade. Neste ponto, a minha convicção é clara: as organizações que internalizarem esta mensagem não estarão apenas mais bem preparadas para resistir à próxima crise — estarão a construir organizações mais resilientes e credíveis, capazes de operar num mundo cada vez mais imprevisível.

* A diretiva NIS2 (Network and Information Security 2) é o novo regulamento da União Europeia que reforça a cibersegurança em setores críticos (energia, saúde, transportes, banca, etc.). A NIS2 aplica-se a um maior número de entidades, exige gestão de risco rigorosa, reporte rápido de incidentes e impõe multas elevadas (até 10 M€ ou 2% do volume de negócios) e substitui a NIS de 2016.

** DORA (Digital Operational Resilience Act) fornece um quadro de resiliência operacional digital e de cibersegurança harmonizado, que emerge da necessidade de se estabelecerem regras mínimas no que diz respeito à segurança das redes e sistemas de informação atualmente em vigor na União Europeia, para mitigar os riscos que inerentes à digitalização dos serviços financeiros.