Durante a última década, a cloud pública foi vendida como a solução ideal para tudo. Escalabilidade ilimitada, custos variáveis, zero infraestrutura para gerir. Grandes fornecedores como a AWS, a Microsoft Azure e a Google Cloud dominaram o mercado e convenceram organizações de todas as dimensões a migrar os seus dados e sistemas para ambientes partilhados. Em Portugal, essa tendência seguiu o padrão europeu.
Mas em 2026, algo está a mudar. De forma silenciosa mas consistente, as empresas portuguesas estão a repatriar dados, a investir em cloud privada e a olhar com renovado interesse para o conceito de soberania digital. Não por nostalgia tecnológica — mas por razões muito concretas: regulamentação, segurança e controlo.
O que é a cloud soberana e porque importa agora
A cloud soberana não é apenas uma questão de geografia. Não se trata simplesmente de ter servidores em Portugal ou na União Europeia. Trata-se de garantir que os dados de uma organização — onde são armazenados, quem lhes pode aceder e como são processados — estão sob o controlo efetivo dessa organização e da jurisdição legal aplicável.
Num contexto em que legislação extraterritorial como a americana CLOUD Act pode obrigar fornecedores de cloud a entregar dados a autoridades estrangeiras, mesmo que esses dados estejam fisicamente na Europa, a localização dos servidores deixa de ser suficiente como garantia. O que conta é quem controla a infraestrutura e em que termos contratuais e legais o faz.
É por isso que a cloud privada — onde a infraestrutura é dedicada a uma única organização — e a cloud híbrida — que combina ambientes privados e públicos — estão a recuperar terreno que parecia perdido.
Os números que explicam a mudança em Portugal
Os dados são reveladores. Segundo informação partilhada pela Indra Group em Portugal, 42% das empresas nacionais planeiam transferir cargas críticas para clouds privadas nos próximos dois anos. Não é um movimento de nicho — é uma tendência transversal a setores como a banca, os seguros, a saúde, a energia e as telecomunicações.
Para além da escolha estratégica, há um fator regulatório que está a acelerar esta transição de forma decisiva: a entrada em vigor da Diretiva NIS2 em Portugal.
A NIS2 mudou as regras do jogo
A 3 de abril de 2026, entrou em vigor em Portugal o Decreto-Lei n.º 125/2025, que transpõe a Diretiva Europeia NIS2 para a legislação nacional. Esta lei não é apenas mais uma obrigação de conformidade. É uma mudança estrutural na forma como as organizações têm de gerir a segurança dos seus sistemas e infraestruturas digitais.
As implicações são concretas e imediatas:
- As empresas abrangidas devem designar um responsável de cibersegurança e comunicar a sua identidade ao Centro Nacional de Cibersegurança (CNCS) num prazo de 20 dias úteis.
- É obrigatória a implementação de autenticação multifator, políticas de gestão de vulnerabilidades e planos testados de recuperação de desastres.
- As multas para entidades essenciais que não cumpram podem chegar a 10 milhões de euros ou 2% do volume de negócios global — o que for mais elevado.
- Para entidades importantes, os valores sobem a 7 milhões de euros ou 1,4% do volume de negócios.
A NIS2 abrange muito mais organizações do que a diretiva anterior. Ao contrário do que muitos gestores ainda assumem, não se aplica apenas a grandes corporações ou infraestruturas críticas do Estado — inclui um número significativo de PMEs que operam em setores considerados essenciais ou que prestam serviços digitais.
RGPD, NIS2 e cloud: a equação que as empresas têm de resolver
O RGPD já existe há vários anos, mas a sua aplicação prática na gestão de infraestruturas cloud continua a ser um ponto frágil para muitas organizações. A NIS2 veio reforçar e complementar esse enquadramento: enquanto o RGPD protege dados pessoais, a NIS2 protege a segurança dos sistemas e redes na sua totalidade.
A combinação das duas legislações cria uma pressão real para que as empresas possam demonstrar, de forma auditável, onde os seus dados estão, como são processados e que medidas de proteção existem. Numa cloud pública partilhada com centenas de outros clientes, essa demonstração é inerentemente mais difícil.
A cloud privada ou híbrida responde diretamente a este desafio: permite manter dados sensíveis em jurisdições específicas, recorrer a fornecedores com contratos alinhados ao quadro jurídico europeu e apresentar evidências claras de conformidade perante reguladores e clientes.
O que muda na prática para as organizações
A transição para um modelo de cloud privada ou híbrida não é uma decisão simples nem imediata. Implica custos de infraestrutura, capacidade técnica interna e uma revisão dos contratos com fornecedores existentes. Mas os benefícios operacionais e estratégicos são cada vez mais difíceis de ignorar.
Controlo sobre os dados. Em cloud privada, a organização sabe exatamente onde estão os seus dados e quem lhes acede. Não há ambiguidade contratual nem dependência de políticas de privacidade de terceiros que podem mudar sem aviso.
Resiliência e continuidade de negócio. A NIS2 exige planos de recuperação de desastres testados e funcionais. Uma cloud privada bem gerida facilita o cumprimento deste requisito, com arquiteturas de backup e redundância desenhadas especificamente para as necessidades da organização.
Treino de IA com dados sensíveis. Com a crescente adoção de inteligência artificial nas empresas, surge um novo problema: treinar modelos de IA robustos exige acesso a grandes volumes de dados internos. Fazer isso numa cloud pública partilhada levanta questões sérias de confidencialidade. A cloud privada resolve este problema de raiz.
Vantagem competitiva e confiança. Num mercado onde a privacidade e a segurança são cada vez mais valorizadas por clientes e parceiros, poder demonstrar que os dados são geridos em infraestrutura soberana e auditável é um argumento comercial genuíno — especialmente em setores regulados.
Soluções no mercado português
O ecossistema de cloud privada e soberana está a crescer em Portugal. Operadores como a Altice, a NOS e a PT Empresas oferecem soluções de cloud nacional com data centers localizados em território português. A nível europeu, iniciativas como o GAIA-X — o projeto de infraestrutura digital europeia — estão a criar standards e certificações para cloud soberana que permitem às organizações identificar fornecedores de confiança.
Para as PMEs com orçamentos mais limitados, os modelos de cloud híbrida representam um ponto de equilíbrio: mantêm dados críticos e sensíveis em ambiente privado ou local, e utilizam cloud pública para cargas de trabalho menos sensíveis e que beneficiam de maior escalabilidade.
Conclusão
A mudança de estratégia cloud que se observa nas empresas portuguesas em 2026 não é uma rejeição da nuvem — é uma maturação da relação com ela. Depois de anos de adoção acelerada e muitas vezes acrítica, as organizações estão a recuperar o controlo sobre os seus ativos digitais mais valiosos.
A combinação da Diretiva NIS2, do RGPD e das crescentes preocupações com soberania digital criou um contexto regulatório e estratégico que torna a cloud privada e híbrida não apenas uma opção válida — mas, em muitos casos, a escolha mais sensata. As empresas que entenderem isso mais cedo estarão melhor posicionadas para competir, para cumprir e para crescer num mercado europeu onde os dados são, cada vez mais, um ativo estratégico.
