O ponto cego nos relatórios cibernéticos europeus: estamos a orientar-nos pelos KPIs errados 📊

Na Holanda, medimos e sabemos muito.

• Em 2024, foram comunicadas quase 40 000 fugas de dados.
• Em 2025, foram oficialmente comunicados à polícia 65 ataques de ransomware.

O número real é provavelmente superior.

O que não medimos é quantas empresas vão à falência por causa disso.

📝 As falências são registadas como:

• Problemas de liquidez
• Perda de receitas
• Situação de endividamento

Embora isto possa muito bem ser consequência de uma fuga de dados ou de um incidente de ransomware.

A nível internacional, vemos o impacto em casos individuais:

• A Jaguar Land Rover (Reino Unido) viu a produção parar por um longo período, com grande impacto nos fornecedores e pressão financeira considerável
• A Fasana (Alemanha) teve de paralisar a produção após um ataque de ransomware, o que resultou em grandes perdas diárias e, por fim, na falência
• O Stoli Group (EUA) entrou em dificuldades financeiras após incidentes cibernéticos e perturbações operacionais, o que contribuiu para a falência
• A KNP Logistics (Reino Unido) faliu após um ataque de ransomware que paralisou completamente os sistemas de TI

Isto não são incidentes.

São riscos de continuidade.

Enquanto não estabelecermos essa ligação, subestimamos estruturalmente o impacto dos incidentes cibernéticos e consideramo-los um problema de TI.

Quando, na realidade, trata-se de um risco de sobrevivência –

e, por isso, deve ser discutido na mesa da administração, não apenas na área de TI.

O KPI mais importante não é:

“Quantos incidentes tivemos?”

Mas sim:

“Quantos desses incidentes poderiam ter levado a nossa empresa à falência?”