Na sexta-feira, 13 de junho de 2026, o Serviço Nacional de Saúde ficou paralisado durante quase doze horas por causa de uma falha de energia no seu centro de dados central. Médicos viram doentes “às escuras”. Farmácias não conseguiram dispensar medicamentos comparticipados. O sistema de transporte de doentes em hemodiálise ficou inoperacional. A Prescrição Electrónica de Medicamentos deixou de funcionar. O RSE, o RNU, o SClínico nos centros de saúde: tudo indisponível. “Não há memória de uma paragem tão prolongada”, admitiu o presidente da Associação Portuguesa de Administradores Hospitalares.

Doze horas. Por causa de uma falha de energia (!)

A pergunta que ninguém quer responder

Quando a SPMS comunicou, pelas 10h30, que a origem do problema foi “uma falha de energia que causou perturbações no acesso a alguns serviços e sistemas”, a reacção imediata de qualquer profissional de infraestruturas críticas foi a mesma: e as UPS? E os geradores? E o centro de dados de contingência?

Qualquer instalação de missão crítica – e o centro de dados do SNS é, por definição, a infraestrutura mais crítica que podemos conceber – deve ter três camadas de protecção contra falhas de energia:

1. UPS (Uninterruptible Power Supply): baterias que entram em funcionamento nos milissegundos imediatamente após a falha da rede, garantindo continuidade enquanto os geradores arrancam. Uma UPS bem dimensionada aguenta entre 10 e 30 minutos, por vezes, mais (especialmente num sistema critico sendo que, em Lisboa, a maioria das falhas de energia não excedem os 30 minutos). No caso do dia não houve nenhum apagão (há servidores do SNS na Av da República nem no Taguspark em Oeiras) logo, foi uma “falha de energia” interna (De que tipo? O que foi feito para impedir recorrências?)

2. Geradores diesel: entram automaticamente em carga ao fim de 10 a 30 segundos, sustentando os sistemas indefinidamente enquanto houver combustível. Instalações críticas mantêm reservas para 48 a 72 horas. Aparentemente: neste caso esta opção não existe ou a sua entrada em funcionamento (que deve ser regularmente testada): não funcionou.

3. Site de contingência (DR site): um segundo centro de dados: pode ser “warm” (sistemas actualizados e prontos a assumir em minutos) ou “cold” (infraestrutura preparada mas sem dados em tempo real, com tempo de arranque de horas) que assume as operações em caso de falha total do site primário.

A SPMS anunciou, no comunicado de fim de dia, que “está a implementar, até ao final deste ano, um segundo pólo da sua infraestrutura central”. Esta frase, apresentada como boa notícia, é na verdade uma confissão: em 2026, a infraestrutura crítica de saúde de todo um país depende de um único centro de dados sem redundância geográfica operacional. Incrível.

Se qualquer uma destas três camadas estivesse a funcionar correctamente, o SNS não teria passado doze horas sem sistemas. Se as UPS falharam, os geradores deviam ter compensado. Se os geradores falharam, o DR site devia ter assumido o controlo. Se nenhum destes mecanismos funcionou – ou se simplesmente não existiam um ou todos – estamos perante uma falha de arquitectura que vai muito além de um “acidente” fortuito: estamos perante incompetência grosseira.

Que outros sistemas do Estado são assim tão frágeis?

O SNS não é caso isolado. A concentração de infraestrutura digital crítica do Estado português num número reduzido de pontos – sem redundância activa, sem planos de contingência publicados, sem exercícios regulares de failover – é um padrão sistémico para o qual a CpC já alertou várias vezes (sempre sem resposta). O Instituto de Registos e Notariado, a Autoridade Tributária, o sistema de pagamentos do Estado, os registos eleitorais, os sistemas de gestão de emergências: todos apresentam graus variados de dependência de infraestruturas centralizadas com redundância insuficiente ou não verificada publicamente.

A Directiva NIS2, transposta para direito português, obriga as entidades essenciais – e o SNS enquadra-se sem qualquer dúvida nesta categoria – a implementar “medidas técnicas e organizativas adequadas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação”, incluindo explicitamente a “continuidade das actividades” e a “gestão de crises”. A Directiva exige também que os Estados-Membros garantam que as entidades essenciais dispõem de planos de resposta a incidentes. Onde estão esses planos? São públicos? Foram testados? Este caso indica que não existem ou que – pior – falharam rotundamente.

Existe um plano de contingência?

Durante doze horas de paralisação, foram visíveis comportamentos completamente díspares entre as unidades de saúde. Alguns médicos recusaram atender doentes por falta de condições de segurança clínica. Outros, como o presidente da USF-AN, atenderam “às escuras”, prescreveram sem acesso a histórico, e assumiram o risco. As farmácias ficaram completamente paralisadas. Hospitais conseguiram manter actividade, mas sem acesso à PEM.

Esta dispersão de comportamentos não é culpa dos profissionais de saúde. É o resultado directo da ausência de um plano de contingência operacional, comunicado, treinado e testado. Um plano de contingência para falha dos sistemas de informação do SNS deveria definir, no mínimo: quais os actos clínicos que podem ser realizados em modo manual e com que salvaguardas; como se garante a prescrição de medicamentos urgentes quando a PEM está inoperacional; como se assegura a continuidade do transporte de doentes críticos; quais os canais de comunicação alternativos entre unidades de saúde; e qual o protocolo de registo e posterior integração dos actos realizados em papel.

Este plano não existe — ou, se existe, nunca foi divulgado. O Ministério da Saúde e a SPMS nunca publicaram um documento deste tipo, acessível a todas as unidades, a todos os profissionais, e ao público em geral. Depois do apagão de Setembro de 2025, que afectou o Sonho, o SClínico e o email durante uma manhã, esta lacuna já era evidente… E contudo: estamos no mesmo ponto.

E se (quando) for um sismo?

Portugal está na área de influência da falha açoreana-mediterrânica. Lisboa foi destruída em 1755 por um sismo de magnitude estimada entre 8,5 e 9,0. Os modelos actuais da Autoridade Nacional de Emergência e Protecção Civil estimam que um evento sísmico de grande magnitude na região de Lisboa poderia provocar a destruição parcial de infraestruturas críticas, colapso de redes de distribuição de energia, e interrupção de comunicações por períodos prolongados.

Um SNS que não resiste a uma falha de energia de doze horas num dia normal de junho, sem nenhuma pressão adicional sobre os serviços de emergência, não está em condições de apoiar a resposta sanitária a um desastre de grande escala. Se a infraestrutura digital de saúde colapsa com uma falha de energia localizada (num servidor ponto-único-de-falha ou num centro de dados numa cave em Lisboa), o que acontece quando colapsa a própria rede eléctrica em metade do país?

A resiliência das infraestruturas críticas de saúde face a desastres naturais é, precisamente, uma das dimensões que a Directiva NIS2 e o regulamento CER (Critical Entities Resilience) endereçam. Portugal tem obrigações europeias nesta matéria. O incidente de sexta-feira demonstra que essas obrigações não estão a ser cumpridas.

Se a infraestrutura digital de saúde colapsa com uma falha de energia localizada, o que acontece quando colapsa a própria rede eléctrica em metade do país?

E a pergunta tem uma dimensão geográfica que agrava a preocupação. A SPMS tem sede na Avenida da República, em Lisboa: e há indicações de que parte da infraestrutura de servidores do SNS se encontra nesse edifício, ou em instalações próximas no centro da cidade. Os cidadãos têm o direito de saber, com precisão: que servidores estão na Avenida da República? Que sistemas críticos dependem dessa localização? E porque continuam ali?

A Avenida da República situa-se numa das zonas de risco sísmico mais elevado de Lisboa. Os mapas de perigosidade sísmica do Instituto Português do Mar e da Atmosfera (IPMA) e os estudos do Laboratório Nacional de Engenharia Civil (LNEC) classificam consistentemente a zona central e norte de Lisboa – incluindo a Avenida da República – como área de aceleração sísmica elevada, com valores de ag (aceleração de referência) entre 1,5 e 1,7 m/s² para o cenário de sismo afastado (tipo 1, falha açoreana-mediterrânica) e valores ainda mais elevados para o cenário de sismo próximo (tipo 2, falha do Vale Inferior do Tejo).

Manter servidores críticos do SNS num edifício antigo, no centro de Lisboa, numa das zonas de maior risco sísmico do país, não é apenas uma questão de redundância tecnológica. É uma decisão de localização física que pode ser determinante para a sobrevivência da infraestrutura de saúde exactamente no momento em que ela é mais necessária: imediatamente após um grande sismo como o de 1755. O facto de o Taguspark (Oeiras) existir como localização alternativa torna ainda menos compreensível a manutenção de infraestrutura crítica no centro de Lisboa.

A CpC pergunta formalmente: existe uma avaliação de risco sísmico actualizada para as instalações físicas onde residem servidores do SNS? Essa avaliação foi feita por entidade independente? As suas conclusões são públicas? E se a resposta a qualquer destas perguntas for negativa: porquê?…

A ligação com o ataque de maio

Não é possível ignorar o contexto. A 25 de maio de 2026, o PÚBLICO noticiou que um ataque informático ao SNS expôs os dados clínicos de cerca de 100 mil utentes: caso que está a ser investigado pela Polícia Judiciária. Menos de três semanas depois, o mesmo sistema ficou paralisado durante doze horas.

Não estamos a sugerir que os dois eventos estão directamente relacionados. Mas a proximidade temporal obriga a colocar a questão com clareza: as investigações em curso confirmaram que não há nenhuma ligação entre o ataque de maio e a falha de sexta-feira? A SPMS e o Ministério da Saúde fizeram essa verificação? E comunicaram-na?

Num contexto em que a infraestrutura do SNS foi recentemente alvo de um ataque com consequências reais para a privacidade de doentes, uma falha de energia que derruba todos os sistemas durante doze horas exige uma análise forense, não apenas uma comunicação de normalização. O relatório detalhado do incidente – incluindo a cadeia de eventos, os mecanismos de protecção que falharam, e as medidas correctivas adoptadas – deve ser tornado público!

As obrigações de reporte que ninguém cumpre

A Directiva NIS2, nos termos do artigo 23.º, estabelece obrigações de notificação de incidentes significativos. Entidades essenciais como o SNS são obrigadas a notificar o CSIRT nacional (o CERT.PT, no caso português) e a autoridade competente (o CNCS) dentro de prazos estritos: notificação inicial em 24 horas, relatório intercalar em 72 horas, e relatório final no prazo de um mês.

O artigo 23.º, n.º 4, da NIS2 prevê ainda que, sempre que o incidente “possa afectar significativamente a prestação de serviços”, a entidade deve informar os destinatários dos seus serviços. Os utentes do SNS são destinatários dos seus serviços. Foram informados? De que forma? Com que conteúdo?

Adicionalmente, o RGPD – nos artigos 33.º e 34.º – impõe obrigações de notificação à CNPD e, em certos casos, directamente aos titulares dos dados, quando um incidente pode implicar riscos para os direitos e liberdades dos cidadãos. A indisponibilidade prolongada de sistemas de saúde que contêm dados de categorias especiais – dados clínicos – é exactamente o tipo de situação que pode implicar essas obrigações.

A CpC vai remeter ao Ministério da Saúde e à SPMS um pedido formal de informação, nos termos do direito de acesso à informação administrativa (Lei n.º 26/2016), exigindo a divulgação do relatório de incidente, a descrição das medidas de contingência activadas, a confirmação das notificações efectuadas ao CNCS e à CNPD, e os documentos que comprovem a existência e o teste regular do plano de continuidade de negócio. O prazo de resposta legal é de 10 dias úteis para confirmação de recepção e de 20 dias para resposta de fundo. Em caso de ausência de resposta ou resposta insuficiente, apresentaremos queixa à Comissão de Acesso aos Documentos Administrativos (CADA).

Quais as consequências para os responsáveis?

A pergunta merece ser feita sem eufemismos: quem é responsável por uma infraestrutura crítica de saúde nacional que não tem redundância geográfica operacional, que não tem plano de contingência publicado, que não comunicou adequadamente durante doze horas de crise, e que, menos de três semanas após um ataque com exposição de dados de 100 mil doentes, voltou a evidenciar fragilidades estruturais graves?

Em Portugal, a resposta habitual a estas perguntas é o silêncio administrativo, a abertura de “processos de averiguação” que nunca produzem resultados públicos, e a eventual substituição de responsáveis sem qualquer análise de causa-raiz tornada pública. A NIS2 introduz, pela primeira vez, um quadro de responsabilidade pessoal para os órgãos de gestão de entidades essenciais que não cumpram as suas obrigações de segurança. A transposição portuguesa desta Directiva – o Decreto-Lei n.º 20/2025 – prevê coimas que podem atingir 10 milhões de euros ou 2% do volume de negócios global para entidades que violem as obrigações de segurança e reporte.

Mas coimas para entidades públicas têm um efeito limitado quando são pagas pelo próprio erário. O que os cidadãos têm direito a exigir é uma investigação independente, um relatório público com conclusões, e a adopção de medidas correctivas verificáveis: não declarações de intenção sobre um “segundo pólo” que estará pronto “até ao final deste ano”.

O que exigimos e temos o direito de saber

A CpC exige, com carácter de urgência:

1. A publicação do relatório completo do incidente de 13 de junho de 2026, incluindo a descrição técnica da falha, os mecanismos de protecção que não funcionaram, e a timeline detalhada de eventos e decisões.

2. A confirmação pública de que foram cumpridas as obrigações de notificação ao CNCS e à CNPD nos prazos previstos na NIS2 e no RGPD.

4. A publicação do plano de continuidade de negócio e do plano de contingência operacional para falha dos sistemas de informação do SNS, incluindo os protocolos a seguir por todas as unidades de saúde.

5. A publicação do calendário e dos resultados dos testes de failover realizados ao DR site — que, segundo a SPMS, ainda está a ser implementado.

5. A confirmação, pelas autoridades competentes, de que a falha de 13 de junho não tem qualquer ligação com o ataque de maio: ou, se essa ligação existir ou não puder ser excluída, que essa informação seja divulgada.

6. Um plano de resiliência sísmica para as infraestruturas digitais críticas do SNS, com prazos, financiamento identificado, e mecanismos de verificação independente.

__________________________
Enviada a 13 de junho de 2026:

Exmo(a). Senhor(a) Ministro(a) da Saúde / Presidente do Conselho de Administração da SPMS — Serviços Partilhados do Ministério da Saúde, EPE,

7. Uma infraestrutura de saúde que não resiste a uma falha de energia de doze horas não está preparada para servir os cidadãos.

Os Cidadãos pela Cibersegurança (CpC), organização cívica dedicada à promoção dos direitos digitais e da segurança da informação, vêm, nos termos da Lei n.º 26/2016, de 22 de agosto (Lei de Acesso aos Documentos Administrativos), requerer o acesso aos seguintes documentos administrativos relativos ao incidente de indisponibilidade generalizada dos sistemas de informação do Serviço Nacional de Saúde ocorrido no dia 13 de junho de 2026:

1. Relatório de incidente

O relatório técnico completo do incidente de 13 de junho de 2026, incluindo:

a) A descrição detalhada da causa-raiz da falha, nomeadamente a natureza exacta da “falha de energia” referida pela SPMS no comunicado de 13 de junho de 2026;

b) A identificação dos sistemas e aplicações afectados e a duração da indisponibilidade de cada um;

c) A timeline detalhada de eventos, desde a detecção da falha até à reposição completa dos serviços;

d) A identificação e localização física dos centros de dados afectados;

e) A descrição dos mecanismos de protecção existentes (UPS, geradores, site de contingência/DR site) e o motivo pelo qual não impediram ou limitaram a interrupção;

f) A identificação das medidas correctivas imediatas adoptadas e o respectivo calendário de implementação.

2. Plano de Continuidade de Negócio e Plano de Contingência Operacional

Os documentos que estabelecem os procedimentos a seguir pelas unidades de saúde do SNS em caso de indisponibilidade dos sistemas de informação, incluindo:

a) O Plano de Continuidade de Negócio (PCN/BCP) actualmente em vigor para os sistemas de informação do SNS;

b) O Plano de Recuperação de Desastres (PRD/DRP) actualmente em vigor, incluindo os objectivos de tempo de recuperação (RTO) e de ponto de recuperação (RPO) definidos para cada sistema crítico;

c) Os registos dos testes de failover e de exercícios de continuidade realizados nos últimos três anos, incluindo datas, âmbito, resultados e acções de melhoria identificadas;

d) Os protocolos de contingência operacional distribuídos às unidades de saúde (hospitais, centros de saúde, ULS) para actuação em caso de falha dos sistemas centrais.

3. Notificações efectuadas a autoridades competentes

Os documentos que comprovem o cumprimento das obrigações de notificação previstas na legislação aplicável, nomeadamente:

a) A notificação ao Centro Nacional de Cibersegurança (CNCS) e ao CERT.PT, nos termos do artigo 23.º da Directiva NIS2 e da respectiva transposição para direito nacional, incluindo a notificação inicial (prazo de 24 horas), o relatório intercalar (prazo de 72 horas) e o relatório final;

b) A notificação à Comissão Nacional de Protecção de Dados (CNPD), nos termos dos artigos 33.º e 34.º do Regulamento Geral sobre a Protecção de Dados (RGPD), caso o incidente tenha implicado ou possa ter implicado riscos para os direitos e liberdades dos titulares dos dados;

c) A comunicação efectuada aos utentes do SNS, caso aplicável, nos termos do artigo 34.º do RGPD e do artigo 23.º, n.º 4, da Directiva NIS2.

4. Avaliação de risco sísmico das instalações físicas

Os documentos relativos à avaliação de risco sísmico das instalações onde se encontram fisicamente alojados servidores e equipamentos críticos do SNS, incluindo:

a) A identificação de todas as localizações físicas onde residem servidores ou equipamentos que suportam sistemas classificados como críticos para o funcionamento do SNS;

b) As avaliações de risco sísmico realizadas para cada uma dessas localizações, incluindo a entidade que as realizou e a data;

c) As medidas de mitigação de risco sísmico implementadas ou previstas para cada localização.

5. Relação com o incidente de segurança de maio de 2026

A confirmação formal, por parte da SPMS e das autoridades competentes, de que o incidente de 13 de junho de 2026 não tem qualquer relação com o ataque informático ao SNS noticiado em maio de 2026, ou, em alternativa, a descrição da natureza dessa relação caso exista ou não possa ser excluída.

Nos termos do artigo 15.º da Lei n.º 26/2016, solicita-se a confirmação de recepção do presente pedido no prazo de 10 dias úteis e a resposta de fundo no prazo máximo de 20 dias úteis a contar da data de recepção.

Os documentos solicitados devem ser remetidos em formato electrónico para este endereço de email, ou disponibilizados para consulta nas instalações da entidade, nos termos do artigo 14.º da Lei n.º 26/2016.

Caso a entidade entenda que algum dos documentos solicitados está sujeito a restrições de acesso, solicita-se a fundamentação legal específica de cada restrição invocada, nos termos do artigo 16.º da mesma Lei, bem como o acesso à parte dos documentos não abrangida por essas restrições.

A ausência de resposta no prazo legal, ou uma resposta que não satisfaça os requisitos da Lei n.º 26/2016, determinará a apresentação de queixa à Comissão de Acesso aos Documentos Administrativos (CADA), nos termos do artigo 16.º, n.º 2, da mesma Lei, sem prejuízo de outros meios de impugnação legalmente previstos.”