Cloud soberana na empresa: guia prático Portugal 2026

Q: O que é o Q-Cloud do CNCS e como se relaciona com a soberania?

O Centro Nacional de Cibersegurança (CNCS) gere a Rede Nacional de Computadores Seguros (RNCS) e participa na definição de requisitos para cloud destinada à Administração Pública portuguesa. O quadro Q-Cloud emergente alinha-se com expectativas europeias (EUCS) e nacionais — é o referencial português mais próximo de SecNumCloud francês ou da Qualifica ACN italiana.

Q: AWS Lisboa, Azure Portugal ou Google Cloud podem ser soberanos?

Estritamente não. Ter uma região em Lisboa ou na Península Ibérica não altera a jurisdição da casa-mãe, que continua a ser direito norte-americano. O Cloud Act continua a aplicar-se aos dados armazenados em Portugal se a entidade operadora estiver sob controlo dos EUA. As ofertas sovereign dos hyperscalers tentam contornar este ponto via entidades europeias dedicadas — a CNPD e o CNCS mantêm reservas em 2026.

Q: A cloud soberana é realmente mais cara?

Não tanto como se pensa. Claranet Portugal, OVHcloud Lisboa, NOS Cloud, MEO Empresas e IP Telecom oferecem tarifas frequentemente comparáveis ou inferiores aos hyperscalers nos serviços standard (compute, armazenamento, rede). Para serviços geridos muito específicos (ML/IA proprietários, bases de dados exóticas), AWS/Azure continuam mais ricos. Ofertas com qualificação CNCS de nível superior custam 1,5x a 3x uma cloud pública standard.

Q: Que cloud soberana escolher para uma PME portuguesa?

Claranet Portugal para amplitude (cloud privada, gerida, integração multicloud, datacenters Lisboa e Porto). OVHcloud Lisboa para catálogo amplo incluindo GPU e IA. NOS Cloud para integração com serviços de telco NOS Empresas. MEO Empresas (Altice) para integração com infraestruturas Altice. IP Telecom (CTT) para sectores regulados e administração pública.

Q: Uma cloud soberana pode alojar IA generativa?

Sim. OVHcloud Lisboa oferece em 2026 instâncias GPU H100/H200 e AI Endpoints com Mistral e outros modelos open-weight. Claranet Portugal está a expandir capacidade GPU. Para casos sensíveis, deployar Mistral via vLLM sobre infraestrutura GPU soberana continua a ser a opção mais controlada. Ver o nosso guia LLM local na empresa.

Q: Quanto tempo demora a migração de AWS/Azure para uma cloud soberana?

Variável conforme complexidade. Para serviços standard (compute, armazenamento, bases de dados SQL): 3 a 9 meses para uma organização média, dos quais 2 a 4 meses de enquadramento e 3 a 6 meses de migração progressiva. Para arquiteturas fortemente dependentes de serviços geridos proprietários (DynamoDB, Lambda, Cosmos DB), a migração exige reescrita — conte 6 a 18 meses.

Resposta rápida: o que é uma cloud soberana em Portugal em 2026?

Uma cloud soberana é um fornecedor de infraestrutura cloud:

De direito europeu ou português (sede social, residência fiscal, capital maioritariamente europeu ou português).
Não sujeito a leis extraterritoriais: nem o Cloud Act norte-americano (que obriga qualquer empresa US a entregar os seus dados, mesmo armazenados fora dos EUA), nem a FISA Section 702 (a base legal que permite aos serviços de informações norte-americanos aceder aos dados detidos por empresas US).
Alojamento físico em Portugal ou na UE com pessoal de operação europeu ou português.
Compatível nativamente com o RGPD e a Lei de Execução do RGPD (Lei 58/2019), alinhado com a Lei 46/2018 sobre o regime jurídico da segurança do ciberespaço e os requisitos do CNCS — sem necessidade de montar um quadro contratual para transferências fora da UE.

Em Portugal em 2026, os atores principais são:

Claranet Portugal — operador presente em Portugal há mais de 25 anos (Lisboa, Porto), datacenters próprios, foco em cloud gerida e segurança.
OVHcloud Lisboa — líder europeu francês com presença em Portugal via datacenter e POPs, catálogo amplo incluindo GPU e IA.
NOS Cloud — divisão cloud do operador NOS, integração com serviços NOS Empresas, datacenter em Portugal.
MEO Empresas (Altice) — divisão B2B da Altice Portugal, cloud privada e híbrida, datacenter Tier III.
IP Telecom (CTT) — operador cloud do grupo CTT, foco sector público e empresas reguladas.
Bee Engineering, Adyta — atores nicho com presença em sectores específicos.

Diferença com os ‘hyperscalers’ (gigantes norte-americanos: AWS / Azure / GCP):

Estes hyperscalers têm regiões cloud em Portugal ou na Península Ibérica, mas as suas casas-mãe são de direito norte-americano — portanto sujeitas ao Cloud Act. Ter servidores em Portugal não basta para ser soberano em sentido jurídico. As ofertas Microsoft Cloud for Sovereignty, AWS European Sovereign Cloud e Google Cloud Sovereign Solutions tentam criar entidades jurídicas europeias dedicadas — a CNPD não emitiu pareceres favoráveis incondicionais sob análise dos artigos 44-48 do RGPD em 2026.

Para quem a cloud soberana?

Toda organização portuguesa que processe dados sensíveis — administração pública sob a Agência para a Modernização Administrativa (AMA), saúde sob a Direção-Geral da Saúde e Serviços Partilhados do Ministério da Saúde (SPMS), banca sob supervisão do Banco de Portugal/CMVM, sectores críticos sob a Lei 46/2018 e Diretiva NIS2 — pode migrar para uma cloud soberana em 2026 sem sacrifício funcional significativo. As organizações que permanecem nos hyperscalers fazem-no por lock-in técnico (serviços geridos proprietários) mais do que por restrição de custo ou qualidade.

O contexto 2026: porque a cloud soberana se torna estratégica em Portugal

Três viragens cumuladas tornam a soberania cloud incontornável para as organizações portuguesas em 2026.

Viragem 1 — Cloud Act ativamente utilizado. As autoridades norte-americanas recorreram ao Cloud Act várias vezes sobre dados europeus, por vezes através de injunções secretas. Para as organizações portuguesas, este risco, durante muito tempo teórico, materializou-se. A Comissão Nacional de Proteção de Dados (CNPD) emitiu desde 2024 várias deliberações e orientações que classificam a exposição ao Cloud Act como risco material ao abrigo dos artigos 44 e 48 do RGPD. A Estratégia Nacional de Segurança do Ciberespaço 2024-2030 reforça as orientações sobre soberania cloud para a Administração Pública.

Viragem 2 — Trump 2.0 e tensões transatlânticas. O contexto geopolítico 2025-2026 levou vários CIOs do PSI 20 e a administração pública (através da AMA e do CNCS) a estratégias de portabilidade multicloud com exigência reforçada de fallback apenas-UE. A AMA tem renovado as orientações de aquisição cloud no quadro do Plano de Recuperação e Resiliência (PRR). Ver também o nosso guia soberania digital.

Viragem 3 — Maturidade técnica dos atores europeus. Claranet, OVHcloud, NOS, MEO e IP Telecom investiram massivamente entre 2023 e 2026 e propõem agora catálogos largamente comparáveis aos hyperscalers nos serviços standard. A fricção técnica de migração reduziu-se significativamente. O CNCS atualizou as suas orientações sobre cloud, clarificando expectativas para entidades sob a Lei 46/2018 e a transposição da NIS2.

Concretamente: escolher uma cloud soberana em 2026 já não é uma “escolha por convicção ao preço de um sacrifício funcional” — tornou-se uma arbitragem racional custo / risco / funcionalidade.

As 4 dimensões de uma cloud realmente soberana

Para avaliar uma oferta cloud, não se contentar com a menção “europeu” ou “Made in Portugal”. Quatro dimensões a verificar independentemente.

1. Soberania jurídica

Critério mais importante. Uma cloud soberana deve ser:

Sociedade de direito europeu ou português (sede social UE/PT, registo comercial)
Capital maioritariamente europeu ou português (filiais 100 % portuguesas de grupos US não bastam)
Compromisso contratual de imunidade a injunções extraterritoriais

É precisamente o que distingue Claranet Portugal / NOS Cloud / IP Telecom (soberanos) de AWS Iberia / Azure Espanha (não soberanos apesar do alojamento na Península Ibérica).

2. Soberania física

A infraestrutura (datacenters, servidores, rede) deve estar instalada em Portugal ou na UE. Os operadores (técnicos, administradores) devem estar sob jurisdição europeia. Para sistemas sob credenciação de segurança (administração pública, defesa), devem ser cidadãos UE com habilitação de segurança nacional (HSN) emitida pelo Gabinete Nacional de Segurança (GNS).

3. Soberania software

A organização deve poder reverter: recuperar os seus dados, configurações, snapshots, e re-deployar noutro lado em menos de 30 dias. Sem esta capacidade, a soberania jurídica permanece teórica. A Autoridade da Concorrência tem acompanhado desde 2024 práticas de egress fees e lock-in cloud — um ponto a favor dos fornecedores com reversibilidade transparente.

4. Soberania económica

O fornecedor não deve depender de capital ou apoio financeiro extra-europeu maioritário. Uma startup cloud portuguesa comprada por um fundo norte-americano perde parcialmente o seu carácter soberano. Acompanhar a estabilidade acionista via Conservatória do Registo Comercial e comunicações à CMVM.

Cartografia dos fornecedores cloud soberanos em Portugal 2026

Claranet Portugal

Tipo: operador histórico em Portugal (presente desde os anos 1990), parte do grupo Claranet (UK / EU)
Capital: maioritariamente europeu (grupo Claranet sediado no Reino Unido com forte presença europeia), com gestão local em Portugal
Catálogo: cloud privada, cloud pública, cloud gerida, hosting, segurança, multicloud, integração com hyperscalers em modo gerido
Datacenters: Lisboa, Porto
Certificações: ISO 27001, ISO 27017, ISO 27018, ISO 22301 (continuidade), PCI DSS, Cyber Essentials Plus
Força: cobertura mais ampla do mercado português soberano, datacenters próprios em Lisboa e Porto, foco em cloud gerida para média e grande empresa
Limite: parte do grupo Claranet UK — para puristas portugueses um ponto de atenção, mas dentro do quadro UE pós-Brexit com adequação reconhecida

OVHcloud Lisboa

Tipo: líder europeu francês com presença em Portugal
Capital: maioritariamente francês (família Klaba), Euronext Paris
Catálogo: Bare Metal, Public Cloud, Hosted Private Cloud, armazenamento, bases de dados, GPU (H100, MI300), AI Endpoints, HDS para saúde
Certificações: ISO 27001/27017/27018, HDS, SecNumCloud (regiões FR), Cyber Essentials
Força: catálogo mais amplo, presença europeia consolidada, GPU e AI disponíveis
Limite: matriz francesa (para puristas portugueses um ponto — continua direito UE e imune ao Cloud Act, mas não puramente português)

NOS Cloud

Tipo: divisão cloud do operador de telecomunicações NOS
Capital: maioritariamente português (NOS, com participações da Sonae e ZOPT)
Catálogo: cloud privada, cloud pública, hosting, integração com serviços NOS Empresas, conetividade, segurança gerida
Datacenters: em Portugal, com presença reforçada em Lisboa e Porto
Certificações: ISO 27001, alinhamento CNCS para sectores regulados
Força: integração com infraestrutura de telco NOS, suporte em português, presença forte no mercado empresarial nacional
Limite: catálogo cloud puro mais estreito que OVHcloud, foco em serviços geridos

MEO Empresas (Altice Portugal)

Tipo: divisão B2B da Altice Portugal (operador MEO)
Capital: Altice Portugal, parte do grupo Altice — capital europeu (grupo internacional com origem franco-portuguesa-israelita, sede Luxemburgo)
Catálogo: cloud privada, cloud híbrida, hosting, integração com serviços MEO Empresas, conetividade, datacenter Tier III
Datacenters: em Portugal (Covilhã, Lisboa)
Certificações: ISO 27001, ANSI/TIA-942 Tier III (datacenter Covilhã)
Força: integração com infraestrutura MEO, datacenter Tier III na Covilhã, suporte em português
Limite: capital de grupo internacional — vigilância sobre estrutura acionista

IP Telecom (CTT)

Tipo: operador cloud e telecomunicações do grupo CTT (Correios de Portugal)
Capital: CTT — Correios de Portugal, S.A., capital português, cotada na Euronext Lisbon
Catálogo: cloud, conetividade, datacenter, serviços geridos, foco em sector público e empresas reguladas
Datacenters: em Portugal
Certificações: ISO 27001, alinhamento CNCS, presença histórica em sector público
Força: capital 100 % português via CTT, ligações fortes ao sector público e à administração pública
Limite: catálogo menor que os grandes operadores cloud-puros

Outros atores: Bee Engineering, Adyta, Coreserv

Atores nicho com presença em sectores específicos (Bee Engineering em consultoria, Adyta em segurança, Coreserv em hosting). Muitas vezes operam em parceria com os datacenters dos grandes (NOS, MEO, Claranet, Equinix Lisboa).

Iniciativas “sovereign” de hyperscalers em 2026

Microsoft Cloud for Sovereignty: tentativas de entidade europeia dedicada. A CNPD e o CNCS mantêm reservas — o stack software continua Microsoft, o que põe em causa a soberania estrita sob análise RGPD Art. 44-48.

AWS European Sovereign Cloud: anunciado para regiões europeias dedicadas (Brandenburg principalmente). Qualificação CNCS não emitida em 2026.

Google Cloud Sovereign Solutions: stack mediado por parceiros. Soberania contestada pelos atores soberanos puros portugueses.

Para dados ultra-sensíveis portugueses — administração pública, saúde sob SPMS e Direção-Geral da Saúde, banca sob Banco de Portugal/CMVM, infraestruturas críticas sob a Lei 46/2018 e NIS2 — Claranet Portugal, OVHcloud Lisboa, NOS Cloud, MEO Empresas e IP Telecom continuam a ser as opções sem ambiguidade.

Certificações e conformidade específicas portuguesas

A paisagem regulatória portuguesa combina várias camadas que devem ser avaliadas em conjunto.

CNCS (Centro Nacional de Cibersegurança) e RNCS (Rede Nacional de Computadores Seguros): o CNCS é a autoridade portuguesa de cibersegurança. Define orientações para cloud destinada à administração pública e a operadores de serviços essenciais. O quadro Q-Cloud emergente é o referencial soberano em desenvolvimento.

Lei 46/2018: regime jurídico da segurança do ciberespaço. Define obrigações para entidades públicas e operadores de infraestruturas críticas. Atualizada com a transposição da Diretiva NIS2.

Diretiva NIS2 (transposta em Portugal em 2024-2025): reforça as obrigações de cibersegurança para operadores de serviços essenciais e entidades importantes.

RGPD + Lei 58/2019 (Lei de Execução do RGPD): quadro europeu + adaptação portuguesa. A CNPD é a autoridade nacional de controlo. As deliberações da CNPD sobre cloud aumentaram desde 2024.

SPMS — Serviços Partilhados do Ministério da Saúde: orientações específicas para cloud em saúde pública. Articulação com a Direção-Geral da Saúde.

AMA (Agência para a Modernização Administrativa): orientações para cloud na administração pública, articuladas com a Estratégia Nacional para o Cloud Computing e o PRR.

Sectoriais: Banco de Portugal (Aviso 3/2020 sobre subcontratação cloud), CMVM (regulamento de gestão de risco), Autoridade de Supervisão de Seguros (cloud seguradoras).

Portugal não tem um equivalente direto de SecNumCloud francês ou da Qualifica ACN italiana. O equivalente mais próximo é a combinação CNCS Q-Cloud (em desenvolvimento) + RNCS + ISO 27001 + alinhamento Lei 46/2018.

Cloud soberana e IA: o desafio 2026

Com a explosão da IA na empresa, a pergunta “podemos fazer IA séria em cloud soberana?” tornou-se central em 2026.

Resposta: sim, sem compromisso funcional significativo:

OVHcloud Lisboa AI Endpoints: serviços de IA gerida incluindo Mistral, Llama e outros modelos open-weight, alojados em datacenters europeus.
Claranet Portugal + IA gerida: ofertas de IA gerida em parceria com fornecedores europeus, expansão de capacidade GPU em curso.
Mistral on-premise sobre OVHcloud / Claranet / NOS: deployar o próprio Mistral via vLLM sobre instâncias GPU soberanas. Máximo controlo. Ver o nosso guia LLM local na empresa.

O argumento “é preciso absolutamente AWS / Azure para fazer IA em 2026” já não se sustenta. É um argumento de inércia, não de capacidade.

Para hospitais, bancos ou administração pública portuguesa, o guia IA conforme RGPD percorre as expectativas de AIPD e orientações da CNPD.

Migrar para uma cloud soberana: roadmap pragmática

Etapa 1 — Cartografar o existente (2-4 semanas). Inventário das cargas de trabalho, dos serviços geridos utilizados, das dependências específicas (DynamoDB, Lambda, Cosmos DB, etc.). Sem este inventário, impossível dimensionar a migração.

Etapa 2 — Segmentar por criticidade e complexidade (2 semanas). Três lotes típicos:

Lote 1: compute / armazenamento / rede standard → migração direta possível
Lote 2: serviços geridos com equivalente soberano → adaptação moderada
Lote 3: serviços proprietários sem equivalente → reescrita necessária

Etapa 3 — Migrar o lote 1 (3-6 meses). Abordagem por ambiente (teste → pré-produção → produção), com coexistência hyperscaler + cloud soberana durante a transição.

Etapa 4 — Adaptar o lote 2 (3-9 meses conforme complexidade). Migração das bases de dados geridas para equivalentes soberanos. Adaptação das ferramentas de monitorização, de CI/CD.

Etapa 5 — Reescrever o lote 3 (conforme prioridade de negócio). Componentes que dependem fortemente de serviços proprietários. Frequentemente, a oportunidade de uma refactorização arquitectural mais ampla.

Etapa 6 — Desativar os recursos hyperscaler restantes. Verificar que nenhuma dependência oculta subsiste antes de fechar as contas (planificar egress fees e prazos contratuais de pré-aviso).

Para uma organização que pretende acelerar esta transição sem expertise interna, a DPLIANCE acompanha através das nossas soluções IA à medida sobre as camadas IA e dados.

O que recusamos prometer

Três antipadrões recorrentes que evitamos na DPLIANCE quando enquadramos uma estratégia cloud soberana.

“Mudamos tudo para a Claranet, está feito.” Falso para a maioria das organizações portuguesas. As arquiteturas que dependem fortemente de serviços geridos AWS proprietários (DynamoDB, Lambda, EventBridge) exigem reescrita, não uma simples migração. A boa segmentação: lote 1 (compute/armazenamento standard) em migração direta, lote 2 (serviços geridos com equivalente) em adaptação, lote 3 (serviços proprietários) em reescrita progressiva. Conte 12-24 meses para uma grande conta.

“Microsoft Cloud for Sovereignty é tão soberana como Claranet ou NOS Cloud.” Discutível. Microsoft Cloud for Sovereignty e AWS European Sovereign Cloud são entidades jurídicas europeias que operam stack software norte-americano. A soberania jurídica estrita em sentido RGPD Art. 44-48 e CNCS continua contestada em 2026. Para dados ultra-sensíveis, Claranet Portugal, OVHcloud Lisboa, NOS Cloud, MEO Empresas e IP Telecom continuam a ser as opções sem ambiguidade.

“A cloud soberana custa 3 vezes mais.” Falso para os serviços standard. Claranet, OVHcloud Lisboa, NOS Cloud e MEO Empresas são frequentemente competitivos ou mais baratos que os hyperscalers em compute / armazenamento / rede / GPU H100. O sobrecusto vê-se nos serviços geridos exóticos (DynamoDB, Cosmos DB, serviços ML muito específicos). Ofertas qualificadas CNCS de nível superior são mais caras (1,5x a 3x uma cloud pública standard) — mas é outro nível de exigência.

A DPLIANCE é editor de software. Quando concebemos uma solução IA à medida para uma organização que migra para cloud soberana, ocupamo-nos da arquitetura IA (Mistral, on-premise ou via parceiro certificado para saúde), da integração ao SI alvo, da documentação para a conformidade.

FAQ

O que é uma cloud soberana no contexto português?

Uma cloud soberana é um fornecedor de infraestrutura cloud cuja jurisdição legal, propriedade e operação permanecem sob controlo europeu ou português, sem sujeição a leis extraterritoriais. Em Portugal em 2026: Claranet Portugal, OVHcloud Lisboa, NOS Cloud, MEO Empresas, IP Telecom.

O que é o Q-Cloud do CNCS e como se relaciona com a soberania?

O CNCS gere a Rede Nacional de Computadores Seguros (RNCS) e desenvolve o quadro Q-Cloud. É o referencial português mais próximo de SecNumCloud francês ou da Qualifica ACN italiana, em desenvolvimento.

AWS Lisboa, Azure Portugal ou Google Cloud podem ser soberanos?

Estritamente não. Ter uma região na Península Ibérica não altera a jurisdição da casa-mãe norte-americana. As ofertas sovereign dos hyperscalers tentam contornar este ponto via entidades europeias dedicadas — a CNPD e o CNCS mantêm reservas.

A cloud soberana é realmente mais cara?

Não tanto como se pensa. Claranet, OVHcloud Lisboa, NOS Cloud e MEO Empresas oferecem tarifas frequentemente comparáveis ou inferiores aos hyperscalers nos serviços standard.

Que cloud soberana escolher para uma PME portuguesa?

Claranet para amplitude e cloud gerida, OVHcloud Lisboa para catálogo amplo (incluindo GPU/IA), NOS Cloud para integração telco, MEO Empresas para infraestrutura Altice, IP Telecom para sector público.

Uma cloud soberana pode alojar IA generativa?

Sim. OVHcloud Lisboa oferece instâncias GPU H100/H200 e AI Endpoints. Para casos sensíveis, Mistral via vLLM sobre infraestrutura soberana continua a ser a opção mais controlada. Ver o nosso guia LLM local na empresa.

Quanto tempo demora a migração de AWS / Azure para uma cloud soberana?

Variável. Para serviços standard: 3 a 9 meses. Para arquiteturas fortemente dependentes de serviços geridos proprietários: 6 a 18 meses incluindo reescrita.

Fontes: CNCS — Centro Nacional de Cibersegurança (cncs.gov.pt); CNPD — Comissão Nacional de Proteção de Dados (cnpd.pt); AMA — Agência para a Modernização Administrativa; Lei 46/2018 (regime jurídico da segurança do ciberespaço); Lei 58/2019 (Lei de Execução do RGPD); documentação Claranet Portugal, OVHcloud, NOS Cloud, MEO Empresas, IP Telecom; regulamento (UE) 2016/679 (RGPD); Cloud Act norte-americano (Pub.L. 115-141); FISA Section 702; Estratégia Nacional de Segurança do Ciberespaço 2024-2030; PRR Plano de Recuperação e Resiliência.

Para enquadrar uma migração para uma cloud soberana — escolha de fornecedor, plano de migração, integração IA — ver o nosso guia hospedagem de dados na Europa, o nosso guia LLM local na empresa, ou contacte-nos via as nossas soluções IA à medida.