Cloud soberana

Plano Nacional de Nuvem Soberana – Estado vai ter Cloud Soberana?

Sem comentários

O Estado Português está, finalmente, a dar passos no sentido de se auto-definir em termos de soberania digital no que diz respeito à nuvem soberana ou “Cloud”. No Plano Nacional de Nuvem Soberana (PNSC) que acaba de ser publicado em Diário da República (Resolução do Conselho de Ministros n.º 102/2026, de 27 de maio) são definidas, entre outros, categorias de processos por grau de criticidade e um plano de ação com oito iniciativas a iniciarem-se na sua esmagadora maioria já em 2026.

Plano Nacional de Nuvem Soberana (PNSC)

Pela primeira vez reconhece-se que haverá um nível de criticidade de processos que exigem o recurso a uma infraestrutura sob controlo reforçado do Estado com requisitos máximos de soberania, segurança e resiliência. Cabe agora a uma conjunto de instituições públicas avançar para classificação e para a construção da infraestrutura soberana necessária. O Orçamento do Estado será a fonte de receitas para financiar as operações.

Como referido, associado a este plano nacional é definido também um plano de ação que irá permitir transformar em atividades, produtos e serviços as orientação estratégicas definidas no plano nacional. Há ainda muitos detalhes para conhecer mas há já entidades mandatadas para atuar e fundos definidos para financiar as ações das primeiras fases.

Na imagem anexa presente na Resolução do Conselho de Ministros n.º 102/2026  verificamos que esta apresenta uma matriz que ajuda a compreender o Modelo de Classificação Soberana. A matriz cruza as dimensões de criticidade com as categorias de nuvem adequadas. O grande destaque vai para a transição lógica:

  • Processos de negócio comuns ou públicos utilizam infraestruturas de nuvem convencionais (public cloud local/europeia).

  • À medida que o impacto na segurança nacional ou nos direitos dos cidadãos aumenta, os dados sobem na pirâmide de soberania, exigindo obrigatoriamente isolamento físico, chaves de criptografia geradas em território nacional e operação exclusiva por entidades sob jurisdição portuguesa/europeia.

Plano Nacional de Nuvem Soberana e o respetivo Plano de Ação

Plano Nacional de Nuvem Soberana e o respetivo Plano de AçãoDo Plano Nacional (nível estratégico) destacamos os seguintes pontos:

  • Objetivo Estratégico: Garantir a soberania e a resiliência digital de Portugal, protegendo a informação estratégica do Estado e assegurando a continuidade operacional dos serviços públicos.

  • Governação e Financiamento: A transição e a migração inicial são centralizadas e coordenadas pelo Centro Nacional de Cibersegurança (CNCS), pela Agência para a Reforma Tecnológica do Estado, I. P. (ARTE, I. P.), com financiamento garantido pelo Orçamento do Estado.

  • Enquadramento: Alinha-se com o Cloud Sovereignty Framework da Comissão Europeia e com as regras nacionais de cibersegurança (transposição da Diretiva SRI 2 / NIS 2).

  • Fases e Transição: Prevê uma migração faseada assente num modelo híbrido e multicloud, em que nem toda a informação exige o mesmo nível de soberania.

Plataforma de Classificação e Avaliação da Informação Pública (CLAV)

Em termos práticos, as instituições da Administração Pública deverão recorrer à Plataforma de Classificação e Avaliação da Informação Pública (CLAV) para proceder à classificação dos processos e completar a sua matriz operacional à luz do que é definido no plano e respeitando o Modelo e metodologia para a qualificação dos processos de negócio que o CNCS e a ARTE, I. P. ajudarão a definir.

Em termos mais operacionais a Resolução define o seguinte:

Para apoiar a aplicação deste modelo, o CNCS e a ARTE, I. P., procederão:

i) à definição de um procedimento de pontuação de processos de negócio; e

ii) à qualificação preliminar dos processos de negócio do 2.º nível do Catálogo de Processos de Negócio da Administração Pública, disponibilizado através da Plataforma de Classificação e Avaliação da Informação Pública (CLAV).

O procedimento de pontuação de processos de negócio permitirá efetuar a pontuação dos processos do 2.º nível da CLAV com base em três dimensões sempre com três níveis possíveis em cada uma delas (Sem Impacto, Impacto Moderado ou Impacto Significativo):

  • Pessoas e Vida Humana: Avalia se uma falha no sistema ou a fuga de dados coloca vidas em risco (ex.: dados de saúde críticos, redes de emergência médica, segurança social crítica).

  • Estabilidade do Estado: Avalia o impacto na soberania nacional, defesa, segurança interna ou estabilidade económica (ex.: dados militares, inteligência, dados fiscais consolidados, infraestruturas críticas de energia/água).

  • Exposição de Dados: Avalia o nível de confidencialidade e o impacto da quebra de privacidade em larga escala (ex.: segredos de Estado, dados biométricos em massa).

Sublinhe-se que todos os processos e dados que recebam a nota de Impacto Significativo em qualquer uma destas dimensões são automaticamente redefinidos para a categoria de maior restrição. Nesses casos, a Administração Pública é obrigada a aplicar os controlos máximos:

  • Soberania de Dados: Armazenamento e processamento estritamente local (território nacional).

  • Soberania Operacional: Sistemas geridos exclusivamente por pessoal com credenciação de segurança nacional, impedindo acessos extraterritoriais (como leis como o US CLOUD Act).

  • Soberania Tecnológica: Chaves de encriptação totalmente controladas pelo Estado português e imunidade contra ordens de interceção estrangeiras.

Plano de Ação: 7 das 8 iniciativas começam em 2026

O Plano de Ação é composto por três pilares e um total de oito iniciativas que deverão iniciar-se entre o primeiro semestre de 2026 e o primeiro semestre de 2027. Os três pilares fundamentais são:

  1. Infraestrutura digital soberana
  2. Capacitação de recursos humanos
  3. Alterações legislativas

Trata-se de um plano que introduz um sentido de urgência e ambição significativos. Destacamos, por exemplo, que uma das iniciativas será o “Desenvolvimento da Oferta de Nuvem Soberana, incluindo inteligência artificial (IA)” que terá por objetivos:

  • Desenvolvimento, pelo Estado, de infraestrutura nacional soberana de nuvem, incluindo capacidades de IA soberana.
  • Criação de um catálogo unificado de serviços de nuvem que permita a consulta das ofertas de nuvem disponíveis para a Administração Pública.

E que deverá ser implementada e envolver a ARTE, I. P, o CNCS, a Entidade de Serviços Partilhados da Administração Pública, I. P. (ESPAP, I. P.), a IP Telecom, Serviços de Telecomunicações, S. A., e as entidades da Administração Pública utilizadoras da infraestrutura soberana do Estado. Esta ação deverá desenvolver-se desde o primeiro semestre de 2026 .

Calendário do Plano de Ação (PNCS)

Pilar Estratégico Iniciativa Semestre de Arranque Entidades Envolvidas
Pilar 1: Governação e Enquadramento Iniciativa 1.1: Criação da estrutura de governação do Plano Nacional de Nuvem Soberana e definição do modelo de gestão operacional. S1 2026 ARTE, I. P., IP Telecom, S. A., e SG-MMEAP
Iniciativa 1.2: Definição e aprovação do Regulamento Técnico de Requisitos de Segurança e Soberania para a Administração Pública. S1 2026 GNS (Gabinete Nacional de Segurança), CNCS e ARTE, I. P.
Iniciativa 1.3: Estabelecimento do modelo de financiamento e sustentabilidade económica da infraestrutura soberana a longo prazo. S2 2026 Ministério das Finanças, MMEAP e IP Telecom, S. A.
Pilar 2: Infraestrutura e Plataformas Iniciativa 2.1: Levantamento, inventariação e mapeamento tecnológico dos sistemas e centros de dados atuais da Administração Pública. S1 2026 ARTE, I. P., com a colaboração de todos os Ministérios e Organismos Públicos
Iniciativa 2.2: Desenvolvimento e capacitação da Infraestrutura de Nuvem Soberana Física e Lógica (Nível Centralizado). S2 2026 IP Telecom, S. A. (como operador técnico principal), e ARTE, I. P.
Iniciativa 2.3: Criação do Catálogo de Serviços de Nuvem Soberana e do portal de aprovisionamento para a Administração Pública. S1 2027 ARTE, I. P., e IP Telecom, S. A.
Pilar 3: Classificação e Migração Iniciativa 3.1: Operacionalização do Modelo de Classificação de Dados e Processos através da plataforma CLAV e emissão de diretrizes de conformidade. S2 2026 DGLAB (Direção-Geral do Livro, dos Arquivos e das Bibliotecas), ARTE, I. P., e CNCS
Iniciativa 3.2: Execução dos projetos-piloto de migração de dados e início do plano faseado de transição para as entidades da Administração Pública. S1 2027 Entidades integradas nos projetos-piloto, ARTE, I. P., e IP Telecom, S. A.

Notas de Execução do Plano:

  • Coordenação Geral: A execução global das iniciativas e a monitorização de marcos e metas ficam sob a tutela da ARTE, I. P. (Agência para a Reforma Tecnológica do Estado), em articulação direta com a IP Telecom no que toca à infraestrutura de rede e alojamento.

  • Meta de Alinhamento: Tal como definido nas metas transversais, prevê-se que todas as organizações da Administração Pública tenham os seus processos mapeados e classificados até ao final do horizonte do plano de transição (meados de 2027).

Convidamos também à leitura de outra resolução do conselho de ministros muito recente referente ao Plano Nacional de Centros de Dados e o respetivo Plano de Ação.

Etiquetas

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *