O Papel da Estratégia Militar na Construção da Resiliência Cibernética Nacional de Timor-Leste: Uma Análise de Impacto Potencial

Resumo executivo

A resiliência cibernética nacional em Timor-Leste está a entrar numa fase crítica por três razões convergentes: (i) a aceleração da transformação digital e das obrigações legais associadas; (ii) a centralidade estratégica do novo cabo submarino Timor-Leste South Submarine Cable (TLSSC) como infraestrutura de soberania digital; e (iii) a institucionalização recente da coordenação interministerial e da componente de inteligência/segurança cibernética do Estado. [1]

Em 2026, o Estado reconhece explicitamente a cibersegurança como área de coordenação interministerial e como prioridade ligada à proteção de “sistemas críticos nacionais”, com destaque para o TLSSC. A coordenação está a ser materializada pelo Grupo de Trabalho Interministerial de Cibersegurança (GICS), com coordenação técnica atribuída ao Serviço Nacional de Inteligência Estratégica[2] e vice-coordenação técnica à TIC TIMOR[3]. [4]

A evidência internacional sugere que forças armadas podem contribuir decisivamente para a resiliência cibernética nacional sobretudo em quatro funções: defesa de redes militares e de governo; apoio operacional a resposta a incidentes (sem substituir autoridades civis); treino/exercícios e interoperabilidade; e partilha de inteligência/ameaças em arquitetura “whole-of-nation”. Entretanto, a literatura também alerta para riscos de militarização, sobreposição com segurança interna, opacidade e erosão de direitos se não houver separação funcional, supervisão robusta e salvaguardas democráticas. [5]

A avaliação com base em fontes públicas mostra capacidade militar emergente mas não especificada em matéria de ciberdefesa: existe base orgânica para comunicações e sistemas de informação no estatuto orgânico das forças armadas (incluindo uma divisão dedicada) e existe referência institucional a formação em ciberdefesa, mas não há, nas fontes consultadas, confirmação pública de uma unidade/célula militar de ciberdefesa com efetivos, orçamento e mandato operacional definidos. [6]

A recomendação central deste relatório é um modelo de integração civil-led com contributo militar claramente delimitado, ancorado em: (i) legislação e governança (com “linhas vermelhas” civis-militares); (ii) capacidade operacional mínima (CIRT/SOC nacional e mecanismos de escalamento); (iii) proteção prioritária do TLSSC e de serviços essenciais; e (iv) métricas de maturidade e desempenho alinhadas com padrões internacionais (p.ex., NIST CSF 2.0) e com indicadores globais (p.ex., GCI da ITU). [7]

Contexto nacional e institucional de segurança cibernética em Timor-Leste

A base institucional de governação digital do Estado inclui a criação da TIC TIMOR[3] por decreto-lei, com mandato para implementar política e estratégia de TIC e gerir redes informáticas do Governo e outras entidades públicas, num quadro de modernização do Estado. [8]

No plano regulatório da economia digital, foi aprovado o Regime Jurídico Geral do Comércio Eletrónico e de Assinaturas Eletrónicas, que explicita objetivos de facilitação de transações, integração regional e alinhamento com boas práticas e modelos internacionais; este tipo de regime aumenta inevitavelmente a superfície de risco (identidade digital, assinaturas, registos, transações) e cria exigências de confiança e segurança sistemática. [9]

O elemento determinante recente para “infraestruturas críticas digitais” é o Timor-Leste South Submarine Cable (TLSSC), apresentado oficialmente como uma infraestrutura estratégica: liga o país a um sistema australiano (NWCS), com capacidade anunciada na ordem dos 27 Tbps, extensão de cerca de 607 km e instalação/fornecimento por empresas internacionais. [10] Esse projeto recebeu apoio de assessoria financiado pela Australian Infrastructure Financing Facility for the Pacific[11] (grant para apoio técnico ao Governo), reforçando a dimensão geopolítica e de dependência de fornecedores/parceiros. [12]

Em fevereiro e março de 2026, o Governo formalizou que o GICS está a preparar um “pacote legislativo de cibersegurança” orientado para: segurança de redes e sistemas, proteção de infraestruturas críticas e serviços essenciais, combate ao cibercrime e promoção de uso seguro do ciberespaço; incluindo mecanismos institucionais para coordenação estratégica e resposta operacional, cooperação nacional e internacional e disposições sobre proteção de denunciantes. [13] A referência explícita ao TLSSC como foco de proteção reforça a leitura de que o “centro de gravidade” cibernético nacional, no curto prazo, estará na continuidade e integridade dessa conectividade internacional. [14]

Um desenvolvimento institucional material é a orgânica recente do Serviço Nacional de Inteligência Estratégica[2], que enquadra “segurança cibernética” como área de ameaça e inclui instrumentos como (i) Direção Nacional do Serviço de Segurança Cibernética e (ii) uma “Sala de Situação da Segurança Cibernética” para monitorização, com definição formal no diploma. [15] Este desenho coloca a inteligência estratégica no coração da monitorização e coordenação, o que pode ser funcional para consciência situacional, mas exige cautela para garantir separação entre inteligência, polícia judiciária e governação civil do ciberespaço. [15]

O posicionamento internacional sugere um ponto de partida de baixa maturidade técnica: no Global Cybersecurity Index (GCI) 2024, Timor-Leste apresenta pontuação global 16,8 (escala 0–100) e classificação em “building tier”, evidenciando desafios estruturais persistentes em medidas técnicas e capacidades. [16] Em paralelo, a International Telecommunication Union[17] reporta ter realizado avaliações de prontidão e maturidade de CIRT para Timor-Leste, sinalizando um caminho de capacitação institucional, mas também que a arquitetura de resposta a incidentes ainda está em consolidação. [18]

Assunção explícita: as fontes governamentais consultadas descrevem objetivos e mecanismos em criação (GICS e pacote legislativo), mas não publicam, até onde foi possível confirmar, uma Estratégia Nacional de Cibersegurança em versão final nem um CIRT nacional plenamente operacional com mandato público completo; por isso, qualquer proposta de integração militar deve ser desenhada para funcionar em contexto de capacidade civil ainda em maturação. [19]

Forças armadas e resiliência cibernética: revisão da literatura e lições comparadas

A literatura contemporânea trata “resiliência cibernética” menos como “evitar incidentes” e mais como governar risco, reduzir impacto, recuperar rapidamente e aprender sistematicamente, especialmente em infraestruturas críticas. O NIST Cybersecurity Framework 2.0 sintetiza essa abordagem em funções e resultados (Govern, Identify, Protect, Detect, Respond, Recover) e enfatiza governança e cadeias de fornecimento como componentes centrais para sustentabilidade do sistema. [20]

O papel das forças armadas, quando bem calibrado, tende a ser mais eficaz em missões de suporte à resiliência nacional do que em “policiamento” do ciberespaço civil: proteção de redes militares e de defesa, garantia de liberdade de ação no domínio digital para operações militares, desenvolvimento de capacidades especializadas (criptografia, controlo/segurança de comunicações), treino e exercícios conjuntos, e apoio a incidentes de grande escala mediante ativação legal e coordenação civil. [21]

A mesma literatura sublinha que a integração civil-militar exige: delimitação de competências, linhas claras de comando, mecanismos de cooperação internacional e salvaguardas de direitos; caso contrário, cresce o risco de duplicação com segurança interna e de fricção civil-militar. [22] Esse ponto é particularmente sensível em Estados onde a maturidade institucional e os recursos humanos especializados ainda são escassos, pois a “solução fácil” (concentrar poderes em estruturas militares/segurança) pode degradar confiança social e capacidade de cooperação com setor privado e operadores civis. [5]

A comparação internacional é útil não para “importar modelos”, mas para identificar padrões de desenho. A tabela seguinte resume quatro modelos relevantes (os países foram solicitados pelo enunciado), destacando o tipo de liderança civil-militar e mecanismos de articulação.

Modelo de integração	Liderança civil (cibersegurança nacional)	Componente militar (ciberdefesa)	Mecanismo típico de articulação	Ponto forte	Risco principal
Modelo “intelligence-led/whole-of-nation” (Austrália)	Australian Signals Directorate[23] e Australian Cyber Security Centre[24] como polo de serviços e resposta nacional	Australian Defence Force Cyber Command[25] em estrutura conjunta e ligação a estratégia nacional	Estratégia nacional + partilha de informação/serviços e ligação a defesa/infraestruturas críticas	Escala e coordenação multi-setorial com resposta operacional madura	Risco de “securitização” excessiva se não houver transparência e checks & balances
Modelo “civil regulator + serviço militar digital” (Singapura)	Cyber Security Agency of Singapore[26] com mandato transversal e proteção de infraestruturas críticas	Digital and Intelligence Service[27] e estruturas de ciberdefesa do MINDEF/SAF	Abordagem whole-of-government, exercícios e capacidades consolidadas sob comando militar para defesa	Separação funcional: CSA (civil) e defesa (militar) com cooperação estruturada	Centralização pode reduzir diversidade de escrutínio se não houver contrapesos externos suficientes
Modelo “dual-hub: centro civil + comando militar” (Portugal)	Centro Nacional de Cibersegurança[28] (inclui CERT nacional e coordenação de interesse nacional)	Comando de Operações de Ciberdefesa[29] com mandato de operações no/do ciberespaço em apoio a objetivos militares	Coordenação entre centros, interoperabilidade e doutrina militar alinhada com quadro legal civil	Claridade conceptual: cibersegurança nacional ≠ ciberdefesa militar	Interfaces mal especificadas podem gerar atrasos em incidentes híbridos (zona cinzenta)
Modelo “agência nacional central + sinergia defesa” (Indonésia)	Badan Siber dan Sandi Negara[30] como instituição governamental com mandato para segurança do ciberespaço	Unidades/forças cibernéticas nas forças armadas (variam por ramo) e ligação a BSSN	Normas e planos nacionais + CSIRTs setoriais e coordenação interagências	Cobertura nacional e capacidade de normalização/coordenação	Complexidade institucional e risco de fragmentação se coordenação for apenas formal

As caracterizações acima estão alinhadas com documentação oficial e institucional: funções e serviços do ASD/ACSC e estratégia nacional australiana; criação/mandato de Cyber Command na estrutura de defesa; missão e estrutura do DIS e páginas de ciberdefesa do MINDEF; missão do CNCS e enquadramento do COCiber; regulação e documentos sobre mandato do BSSN. [31]

No plano regional, Timor-Leste beneficia de enquadramentos de cooperação (mesmo antes da plena integração institucional), porque a região dispõe de uma estratégia de cooperação em cibersegurança e de instrumentos de construção de confiança. A ASEAN Cybersecurity Cooperation Strategy 2021–2025 e o ASEAN Digital Masterplan 2025 enquadram cibersegurança como pilar de confiança e condição para economia digital, e incluem maturidade de CERT/CSIRT e capacitação como eixos práticos. [32] A existência do ASEAN-Singapore Cybersecurity Centre of Excellence[33] fornece um canal concreto de treino, exercícios e pesquisa para decisores e técnicos, coerente com a necessidade timorense de acelerar capital humano. [34]

Capacidades militares atuais de Timor-Leste e parcerias relevantes

A análise de capacidades militares deve ser entendida como capacidade efetiva (pessoas, tecnologia, processos, treino, orçamento) e capacidade orgânica (atribuições legais e estrutura). Publicamente, Timor-Leste evidencia mais a segunda do que a primeira.

No estatuto orgânico das forças armadas (aprovado por decreto-lei e atualizado), a estrutura inclui órgãos de planeamento/apoio e capacidades de comunicações e sistemas de informação: existe uma Divisão de Comunicações e Sistemas de Informação com atribuições de aconselhamento ao comando sobre comunicações e tecnologia de informação, definição de requisitos de comando/controlo/comunicações, coordenação de manutenção e exploração de sistemas e atualização de inventário de meios. [35]

Em termos de treino, existe referência institucional explícita a formação em ciberdefesa no âmbito das forças armadas, enfatizando proteção de sistemas, dados sensíveis e infraestrutura de comunicações militares contra ameaças externas. Contudo, a fonte consultada descreve “formação” e não confirma, por si só, uma unidade operacional de ciberdefesa (organograma, efetivos, orçamento, mandato e regras de empenhamento). [36]

Quanto a recursos humanos agregados, indicadores internacionais (via World Bank[37]) reportam cerca de 2.000 efetivos totais de pessoal das forças armadas em 2020 (série MS.MIL.TOTL.P1, fonte The Military Balance/IISS). Este valor é útil como ordem de grandeza, mas não descreve distribuição interna nem especialização cibernética. [38] Em despesa militar, séries associadas ao Stockholm International Peace Research Institute[39] (via World Bank) indicam evolução anual até 2024, mas também não discriminam investimento em capacidades digitais. [40]

No plano institucional alargado de segurança, o Serviço Nacional de Inteligência Estratégica[2] emerge como ator estruturante ao definir juridicamente instrumentos operacionais de monitorização e ao contemplar protocolos de resposta a incidentes cibernéticos, além de enquadrar ameaças a infraestruturas críticas e segurança cibernética como parte do seu objeto. [15] Esta arquitetura sugere que um eventual papel das forças armadas na resiliência cibernética será, na prática, mediado por mecanismos de coordenação e inteligência estratégica (GICS + SNIE) e por capacidade tecnológica governamental (TIC TIMOR). [4]

As parcerias internacionais mais diretamente relevantes à resiliência cibernética nacional são as associadas à conectividade e à capacitação. O projeto TLSSC tem apoio técnico financiado pela Australian Infrastructure Financing Facility for the Pacific[11], e a cooperação bilateral com a Austrália inclui diálogo explícito sobre desafios cibernéticos associados ao cabo submarino e a possibilidade de exercícios conjuntos de cibersegurança para testar capacidade de resposta. [41]

Também se observa que exercícios militares multinacionais recorrentes (como Hari’i Hamutuk) são usados para aumentar interoperabilidade e capacidades (historicamente muito focados em engenharia/HADR), e que os parceiros internacionais mantêm presença e cooperação com as forças armadas. Todavia, as fontes consultadas não permitem inferir que estes exercícios já integrem, de forma sistemática e verificável, um componente operacional de ciberdefesa militar com objetivos mensuráveis e continuidade anual. [42]

Dados não especificados (em fontes públicas consultadas): efetivos dedicados a ciberdefesa na força militar; inventário de ferramentas de segurança (SIEM/SOC, sensores, capacidades forenses); orçamento dedicado; regras de empenhamento para apoio a incidentes nacionais; acordos formais de partilha de informação (MoU/SLA) entre forças armadas, SNIE e TIC TIMOR. [43]

Lacunas e riscos para uma integração civil-militar em ciber-resiliência

O objetivo declarado do pacote legislativo em preparação é aumentar segurança de redes/sistemas, proteger infraestruturas críticas e serviços essenciais, combater cibercrime e criar mecanismos de coordenação e resposta a incidentes, incluindo cooperação e partilha de dados e proteção de denunciantes. Essa agenda é adequada ao problema; a questão crítica é a qualidade do desenho institucional e a integração civil-militar. [44]

Do ponto de vista tecnológico, a entrada em operação do TLSSC transforma o perfil de risco de Timor-Leste: passa de um contexto predominantemente satélite/micro-ondas para conectividade internacional de alta capacidade, com pontos físicos sensíveis (landing stations) e dependências complexas (operadores, fornecedores, energia, rede de transporte). O próprio Governo associa esta infraestrutura à soberania digital e segurança nacional, sugerindo que ela deve ser tratada como infraestrutura crítica prioritária. [45]

Do ponto de vista de maturidade nacional, o GCI 2024 (pontuação 16,8) e a necessidade de avaliações de prontidão de CIRT indicam lacunas técnicas e organizacionais que podem limitar a eficácia de qualquer “estratégia militar” se esta não estiver ancorada em capacidades civis básicas (inventário de ativos, gestão de vulnerabilidades, monitorização, resposta e recuperação). [46]

Os riscos para integração civil-militar podem ser sintetizados em cinco domínios:

Risco de sobreposição e fricção civil-militar: se as forças armadas forem usadas para funções típicas de segurança interna (investigação criminal, policiamento digital), aumenta o risco de duplicação e conflitos de competência, prejudicando resposta a incidentes e legitimidade social. A literatura sobre relações civil-militares em cibersegurança aponta precisamente este tipo de tensão quando os limites não são explícitos. [22]

Risco de “centralização securitária” e confiança: a colocação de monitorização/“sala de situação” sob uma entidade de inteligência pode ser operacionalmente útil, mas exige salvaguardas para evitar expansão de recolha/monitorização para além do estritamente necessário e proporcional, sob pena de reduzir cooperação do setor privado e confiança dos cidadãos (duas condições essenciais para defesa de infraestruturas críticas). [47]

Risco legal e de direitos fundamentais: a ausência (ou não plena execução) de um quadro consolidado de cibersegurança e de procedimentos de cooperação/partilha de dados pode levar a respostas ad hoc, com erros de proporcionalidade e fragilidades probatórias. O próprio diploma do SNIE reconhece limites e proibições relativos a direitos e competências, evidenciando sensibilidade do tema. [15]

Risco ético e de cadeia de fornecimento: em contextos de recursos limitados, há tendência para aquisição rápida de tecnologia “black box” e outsourcing de funções críticas, com risco de dependência tecnológica, vulnerabilidades de supply chain e falta de soberania operacional. O NIST CSF 2.0 eleva explicitamente governança e supply chain risk a componentes centrais. [48]

Risco sistémico em infraestruturas críticas: um incidente que afete o TLSSC (ou sistemas associados) pode ter efeitos em cascata: comunicações governamentais, serviços digitais, banca, logística e capacidade de coordenação de emergência. Por isso, a integração civil-militar deve priorizar continuidade de serviços e recuperação rápida, e não apenas “defesa perimetral”. [14]

Cenários de impacto potencial e probabilidades qualitativas

Os cenários seguintes assumem que (i) o pacote legislativo evolui entre 2026–2028; (ii) o TLSSC entra em operação plena; e (iii) permanece forte cooperação com parceiros. Estas premissas são coerentes com declarações oficiais sobre coordenação e preparação legislativa e com o calendário de operacionalização do cabo. [49]

Cenário “best case” (probabilidade qualitativa: média): Timor-Leste implementa um modelo civil-led com CIRT/SOC nacional, integra forças armadas em funções de ciberdefesa (defesa de redes militares, apoio a continuação de comunicações estratégicas, equipas de resposta em coordenação civil), consolida exercícios regulares e proteção de infraestruturas críticas (incluindo o TLSSC). O resultado é aumento de maturidade e previsibilidade institucional, melhoria gradual de indicadores internacionais (GCI) e maior capacidade de absorver incidentes sem disrupção prolongada. Este cenário é plausível porque já existe coordenação interministerial e foco explícito em mecanismos de resposta e cooperação. [50]

Cenário “most likely” (probabilidade qualitativa: alta): há progresso normativo e institucional, mas desigual. O GICS produz propostas e alguma institucionalização; o SNIE e a TIC TIMOR reforçam monitorização e políticas; contudo, persistem limitações de capital humano, financiamento recorrente e dependência de assistência externa. As forças armadas desempenham papel útil sobretudo em treino e disciplina operacional, mas com impacto moderado por falta de massa crítica de especialistas e tooling. A capacidade de resposta melhora, mas permanece reativa em incidentes complexos. Este cenário é consistente com o ponto de partida de baixa maturidade (GCI 2024) e com o facto de a ITU ainda estar a apoiar prontidão de CIRT. [51]

Cenário “worst case” (probabilidade qualitativa: baixa a média): o desenho legal-institucional cria sobreposição de competências e incentivos a respostas securitárias (p.ex., monitorização excessiva), gerando contestação, baixa cooperação do setor privado e dificuldade de partilha de informação. Um incidente significativo atinge conectividade/serviços essenciais no ecossistema do TLSSC, expondo falhas em continuidade e recuperação. O resultado é erosão de confiança e atrasos na consolidação de capacidades; internacionalmente, cresce percepção de risco para investimento e integração digital regional. Apesar de menos provável, este cenário é realista se salvaguardas civis e coordenação forem subdimensionadas em relação à centralidade do TLSSC. [52]

Recomendações práticas e roadmap com métricas

A estratégia recomendada é “resiliência primeiro”: usar contributo militar como multiplicador (disciplina operacional, treino, proteção de comunicações estratégicas e apoio em crises), mas manter liderança civil na cibersegurança nacional e desenho de políticas públicas.

Arquitetura de governação proposta

1) Liderança civil e coordenação estratégica: institucionalizar (por lei) um “polo civil” de cibersegurança nacional (policy, standards, coordenação e gestão de risco de infraestruturas críticas) e um “polo operacional” (CIRT/SOC) com protocolos claros de escalamento e cooperação internacional. Esta recomendação é coerente com o objetivo oficial de criar mecanismos institucionais dedicados à coordenação estratégica e resposta operacional. [19]

2) Integração militar delimitada (“ciberdefesa”): definir em diploma específico a contribuição das forças armadas em três camadas: - Defesa interna: proteção de redes e comunicações militares (baseada na divisão de comunicações e sistemas de informação já prevista). [35]
- Apoio em crise (Defense Support to Civil Authorities): equipas destacáveis sob ativação formal, sempre subordinadas ao comando civil do incidente.
- Capacitação e exercícios: centro de treino e doutrina, interoperabilidade e exercícios conjuntos.

3) Integração com inteligência com salvaguardas: manter a capacidade de consciência situacional e monitorização (sala de situação) no âmbito do SNIE, mas estabelecer limites, auditorias, logs de acesso e supervisão sobre a partilha de dados com autoridades civis e privadas, alinhando a prática com os limites já previstos no regime jurídico do SNIE. [53]

Roadmap por horizonte temporal

Curto prazo (1–2 anos)
Prioridade: fundações legais, clarificação de papéis e capacidade mínima operacional. - Concluir e aprovar o pacote legislativo: definição de infraestruturas críticas digitais, deveres de notificação, regimes de cooperação e proteção de denunciantes. [44]
- Criar/fortalecer um CIRT nacional com playbooks, canais de reporte e exercícios de mesa regulares (aproveitando apoio e metodologias da ITU). [18]
- Fazer avaliação de risco do TLSSC (físico, lógico, supply chain, energia, continuidade) e exigir planos de contingência e redundância mínima a operadores. [54]
- Iniciar programa de treino conjunto (civil + militar) com foco em incident response, forense básica e proteção de comunicações, usando cooperação bilateral e exercícios conjuntos discutidos com parceiros. [55]
- Adotar um quadro de maturidade (p.ex., NIST CSF 2.0) para órgãos do Estado e operadores de serviços essenciais, com perfis mínimos por setor. [20]

Médio prazo (3–5 anos)
Prioridade: operacionalização, especialização e cobertura de infraestruturas críticas. - Operacionalizar um SOC governamental e expandir para “federated SOC” com operadores críticos, com partilha de indicadores e exercícios anuais (técnicos e de liderança). [56]
- Criar célula/unidade de ciberdefesa nas forças armadas com funções estritamente defensivas e ligação formal ao comando civil do incidente (modelo dual-hub). A justificação é que já existe base orgânica para tecnologia/comunicações, mas falta institucionalização operacional pública. [6]
- Participar sistematicamente em capacitação regional via ASEAN-Singapore Cybersecurity Centre of Excellence[33] (treino, exercícios virtuais, desenvolvimento de políticas e normas). [57]
- Definir e testar planos de continuidade e recuperação para serviços essenciais (com simulações de disrupção do TLSSC). [58]

Longo prazo (5–10 anos)
Prioridade: resiliência sistémica e autonomia progressiva. - Evoluir para um ecossistema de “whole-of-nation resilience”: certificação/standards por setores, mecanismos de procurement seguro e gestão de risco de cadeia de fornecimento (em linha com ênfase do NIST CSF 2.0). [20]
- Estabelecer mecanismos maduros de confiança regional (CBMs) e cooperação, alinhados com instrumentos do ASEAN Regional Forum[59] e com estratégias ASEAN para reduzir risco de conflito e aumentar previsibilidade. [60]
- Consolidar capacidade nacional de resposta a incidentes complexos sem dependência estrutural de assistência externa (mantendo, ainda assim, cooperação). [61]

Métricas e indicadores de resiliência

A avaliação deve conjugar maturidade (capacidade instalada) e performance (desempenho em incidentes). Recomenda-se uma matriz de métricas alinhada com NIST CSF 2.0 (funções) e com indicadores globais (GCI/ITU), para permitir comparabilidade e prestação de contas. [62]

Dimensão	Indicadores sugeridos	Fonte/medida operacional
Governação	existência de estratégia nacional publicada; clarificação legal de papéis civil–militar; cobertura setorial de infraestruturas críticas	legislação e relatórios públicos; auditorias anuais [63]
Capacidade operacional	CIRT operacional (24/7 ou on-call), tempo médio de triagem e escalamento; nº de exercícios/ano e lições aprendidas implementadas	relatórios CIRT; exercícios com parceiros (incl. cooperação bilateral/regional) [64]
Proteção de infraestruturas críticas	% operadores críticos com IRP/BCP testados; segmentação e backups verificados; testes de redundância do ecossistema TLSSC	auditorias setoriais; testes de continuidade focados em TLSSC [14]
Pessoas e competências	nº de especialistas formados/ano (civil e militar); retenção; certificações; capacidade de formar formadores	planos de formação e reporte anual (Governo/forças armadas) [65]
Maturidade internacional	evolução do GCI (pontuação e pilares); progressão na maturidade de CIRT	ITU GCI e avaliações de prontidão [46]

Timeline proposta em Mermaid

timeline
    title Roadmap de integração civil-militar para resiliência cibernética (2026–2036)
    2026 : Aprovar pacote legislativo de cibersegurança
         : Definir papéis civil–militar e protocolos de escalamento
         : Avaliação de risco e continuidade focada no cabo submarino
    2027 : Estabelecer CIRT nacional com playbooks e exercícios de mesa
         : Iniciar treino conjunto (resposta a incidentes + proteção de comunicações)
    2028 : SOC governamental operacional (monitorização + reporte)
         : Exercícios conjuntos anuais (técnicos e executivos)
    2029 : Programa de proteção de infraestruturas críticas (setorial)
         : Auditorias e testes de recuperação (incl. cenários de disrupção de conectividade)
    2030 : Unidade/célula militar de ciberdefesa com mandato defensivo e interoperabilidade
         : Federação SOC com operadores essenciais (partilha controlada de indicadores)
    2031 : Gestão institucional de risco de cadeia de fornecimento (procurement seguro)
    2033 : Mecanismos regionais de confiança e cooperação técnica reforçados
    2036 : Resiliência sistémica: melhoria sustentada de métricas e autonomia operacional

Salvaguardas civis mínimas (não negociáveis)

A integração militar deve ser acompanhada de salvaguardas para evitar os riscos descritos: - Princípio de liderança civil e proporcionalidade em incidentes no setor civil;
- Supervisão institucional e auditoria (incluindo logs e trilhos de decisão/partilha de dados), especialmente quando estruturas de inteligência participam em monitorização;
- Separação clara entre resposta técnica e investigação criminal;
- Transparência mínima: relatórios anuais agregados de incidentes, exercícios e lições aprendidas (sem comprometer segurança).

Estas salvaguardas estão alinhadas com as preocupações clássicas da literatura sobre relações civil-militares em cibersegurança e com a necessidade, assumida pelo próprio Estado, de enquadramentos legais e institucionais adequados para proteção de sistemas críticos. [66]

[1] [4] [14] [37] [52] [54] [58] Governo reforça coordenação interministerial em cibersegurança « Governo de Timor-Leste