← Voltar ao Blog
Compliance & Regulations Análise 9 de março de 2026 11 min de leitura

Lançadas as diretrizes de segurança desde o projeto 6G, o risco do AI Insider atinge níveis críticos, os dias zero empresariais atingem o máximo histórico — resumo da regulamentação de segurança

Sete países ocidentais publicam princípios de segurança desde a concepção para redes 6G antes mesmo de os padrões serem finalizados. Mimecast relata que ameaças internas impulsionadas por IA se tornaram uma “ameaça crítica aos negócios” – 42% das organizações viram aumentos em incidentes internos maliciosos e negligentes. O Threat Intelligence Group do Google rastreou 90 dias zero em 2025, sendo o software empresarial agora o alvo principal. A Microsoft responde às preocupações de vazamento de dados do Copilot com novos controles DLP. E uma vulnerabilidade de IA Gemini de alta gravidade no Chrome levanta novas questões sobre a segurança da IA ​​sob a Lei de IA da UE. Aqui está o que os reguladores e as equipes de conformidade precisam agir esta semana.


📡 GCOT lança princípios de segurança desde o design 6G

The Global Coalition on Telecoms (GCOT) — compreendendo Austrália, Canadá, Finlândia, Japão, Suécia, Reino Unido e EUA — divulgou princípios voluntários de segurança e resiliência 6G no Mobile World Congress 2026 em Barcelona. Parceiros da indústria, incluindo AT&T, BT, Ericsson, NVIDIA, Nokia, Qualcomm, Samsung e Vodafone, endossaram a estrutura.

Why This Matters Before 6G Exists

Com lançamentos comerciais 6G não esperados até 2029-2030, este é um dos primeiros exemplos de regulamentação de segurança desde a conceção que precede a tecnologia que rege. A coligação avaliou que o 6G trará mais funções de rede virtualizadas, arquiteturas desagregadas com interfaces padronizadas e integração nativa de IA – cada uma criando novas superfícies de ataque que devem ser abordadas ao nível dos padrões, e não adaptadas após a implantação.

Os Oito Princípios

O GCOT definiu quatro objetivos de segurança e quatro objetivos de resiliência:

CategoriaPrincípioRequisito-chave
SegurançaContençãoLimitar a propagação de agentes maliciosos através da rede
SegurançaConfidencialidadePrivacidade desde a concepção dos dados do utilizador, protegida contra escutas clandestinas
SegurançaIntegridadeGarantias de integridade dos dados em todo o trânsito e infraestrutura da rede
SegurançaControle de acessoAutenticação e autorização para todos os componentes da rede
ResiliênciaContinuidade do ServiçoManter a disponibilidade em circunstâncias difíceis
ResiliênciaCadeia de AbastecimentoSegurança de vários fornecedores com garantia de fornecedor confiável
ResiliênciaSegurança FísicaResiliência contra ameaças físicas e ambientais
ResiliênciaRecuperaçãoRestauração rápida após incidentes ou perturbações de segurança

Alinhamento Regulatório

Estes princípios correspondem diretamente aos regulamentos da UE existentes e emergentes:

Conclusão sobre conformidade

As operadoras de telecomunicações e os fabricantes de equipamentos de rede devem começar agora a mapear os princípios do GCOT em relação aos seus programas existentes de conformidade com NIS2 e CRA. Quando os padrões 6G forem finalizados pelo 3GPP, as organizações com segurança desde o design incorporada em seus processos de desenvolvimento terão um significant compliance head start. Esta é a rara oportunidade de moldar as expectativas regulamentares antes de se tornarem obrigatórias.


🤖 Risco interno baseado em IA: uma "ameaça crítica aos negócios"

42% das organizações relatam aumento de ameaças internas

Mimecast State of Human Risk Report 2026, com base num inquérito a 2.500 decisores de segurança de TI na América do Norte, Europa, Sudeste Asiático e Austrália, conclui que o risco interno escalou para níveis críticos - impulsionado em grande parte pelo uso indevido de ferramentas de IA pelos funcionários e pelos atacantes que usam a IA como arma para uma engenharia social mais eficaz.

Principais conclusões

EU AI Act Implications

O quadro baseado no risco da Lei da UE sobre IA tem relevância direta para as ameaças internas provocadas pela IA:

NIS2 and DORA Requirements

As ameaças internas estão explicitamente abrangidas por ambos os quadros:

Ação necessária

As organizações devem auditar imediatamente quais ferramentas de IA os funcionários estão usando (IA sombra), implementar controles DLP no acesso a dados assistido por IA e atualizar suas linhas de base de detecção de ameaças internas. Ao abrigo do NIS2 e do DORA, a incapacidade de abordar padrões de risco internos conhecidos impulsionados pela IA é agora uma lacuna de conformidade. Inclua cenários de uso indevido de IA em seu próximo exercício de mesa.


🎯 Enterprise Zero-Days atinge recorde histórico: 90 em 2025

Enterprise Software Now the Primary Target

O Google Threat Intelligence Group (GTIG) informou que 90 zero-day vulnerabilities foram ativamente exploradas em 2025 — contra 78 em 2024. A mudança crítica: 48% agora têm como alvo software e dispositivos empresariais, acima dos 46% em 2024, com os produtos de segurança e rede sofrendo o maior impacto.

A mudança empresarial

A análise do Google revela uma mudança estrutural no cenário de ameaças:

Resultados adicionais do GTIG

Implicações regulamentares

EnquadramentoRequisitoImpacto do surto de dia zero
NIS2Arte. Artigo 21.º, n.º 2, alínea e) — Tratamento de vulnerabilidadesAs entidades essenciais devem ter processos de deteção de dia zero, triagem e correção de emergência da infraestrutura empresarial
DORAArte. 9 — Gestão dos riscos TICAs entidades financeiras devem incluir cenários empresariais de dia zero nas avaliações de risco e manter procedimentos de aplicação de patches de emergência
CRAArte. 11 — Comunicação de vulnerabilidadesProduct manufacturers face mandatory 24-hour reporting of actively exploited vulnerabilities starting setembro 2026
Lei da UE sobre IAArte. 15 — Precisão, robustez, segurançaOs sistemas de IA devem ser resilientes à exploração — o Gemini Chrome CVE demonstra que os componentes de IA criam novas classes de vulnerabilidade

Conclusão sobre conformidade

A mudança para dias zero direcionados às empresas significa sua própria infraestrutura de segurança é agora a principal superfície de ataque. Os programas de conformidade NIS2 e DORA devem incluir procedimentos específicos para resposta de dia zero em dispositivos de segurança, e não apenas em endpoints tradicionais. As organizações devem implementar segmentação de rede que pressuponha que os dispositivos de segurança possam estar comprometidos e implantar monitoramento fora de banda para dispositivos de borda.


🛡️ Proteção de dados do Microsoft Copilot: governança de IA na prática

A Microsoft anunciou novos controles de prevenção contra perda de dados (DLP) para o Microsoft 365 Copilot, respondendo a reclamações generalizadas de clientes de que a Copilot estava incluindo informações confidenciais em seus relatórios gerados por IA. Os novos controles estendem as políticas de DLP para arquivos salvos localmente – anteriormente, o DLP protegia apenas arquivos armazenados no OneDrive e no SharePoint.

O que mudou

A questão principal: o assistente de IA do Microsoft 365 Copilot poderia acessar e processar arquivos armazenados localmente nas máquinas dos usuários, mesmo quando as políticas DLP restringiam esses mesmos arquivos no OneDrive e no SharePoint. Essa lacuna significava que documentos confidenciais — marcados como sensíveis pelas regras do DLP — poderiam ser resumidos, citados ou referenciados em relatórios gerados pelo Copilot sem qualquer proteção aplicada.

Importância regulamentar

Este episódio ilustra um padrão regulatório que as equipes de compliance devem internalizar:

Ação necessária

Do not wait until abril.Audite sua implantação do Copilot agora para identificar quais dados confidenciais já podem ter sido processados ​​sem proteção DLP. De acordo com o Artigo 33 do GDPR, se os dados pessoais foram expostos através da lacuna DLP do Copilot, você poderá ter uma violação de dados reportável. Documente sua avaliação e quaisquer controles de compensação para sua autoridade supervisora.


⚠️ Extensões falsas de navegador de IA: lacuna na proteção do consumidor

Extensões maliciosas de "IA" inundando App Stores

Pesquisadores de segurança confirmaram uma tendência crescente de extensões de navegador maliciosas disfarçadas de ferramentas de produtividade de IA, aparecendo nas principais lojas de aplicativos e contornando com sucesso os processos de revisão inicial. Essas extensões fornecem algumas funcionalidades esperadas de IA enquanto coletam silenciosamente dados do usuário, credenciais e histórico de navegação.

A lacuna regulamentar

Esta tendência expõe lacunas críticas nos quadros regulamentares existentes:

Recomendação Empresarial

Implementar lista de permissões de extensões de navegador para todos os ambientes corporativos. De acordo com o Artigo 21(2)(i) do NIS2, as organizações devem garantir que os funcionários não possam instalar extensões não verificadas em dispositivos corporativos. Mantenha uma lista de extensões aprovadas e use a política de grupo para bloquear todas as outras. A governança de ferramentas de IA é agora um controle de segurança, não uma conveniência de TI.


📅 Calendário regulatório: principais datas futuras

DataEnquadramentoMarco
11 de março de 2026Atualização terça-feiraMicrosoft março 2026 release — after 90 zero-days in 2025, prepare for significant patches
abril 2026MicrosoftProteção de arquivo local Copilot DLP aplicada por padrão — verifique se suas políticas DLP cobrem todas as categorias de dados
2 de maio de 2026Lei da UE sobre IAAs obrigações de transparência do modelo GPAI entram em vigor — os fornecedores de IA devem publicar resumos de dados de formação
2 de agosto de 2026Lei da UE sobre IARequisitos aplicáveis ​​do sistema de IA de alto risco (artigos 6.º a 49.º) — é necessário um conjunto completo de conformidade
11 de setembro de 2026CRAInício da comunicação obrigatória de vulnerabilidades exploradas ativamente — exigência de notificação 24 horas por dia
17 de outubro de 2026NIS2Prazo de transposição para os Estados-Membros — todos os 27 países da UE devem incluir a NIS2 na legislação nacional
2029-2030GCOT/6GLançamentos comerciais iniciais de 6G esperados — os princípios de segurança desde a conceção devem ser incorporados nas normas até essa data

🔑 Principais conclusões para equipes de conformidade

  1. Os padrões de segurança 6G estão sendo moldados agora. Os oito princípios do GCOT estabelecem expectativas que se tornarão requisitos obrigatórios. As operadoras de telecomunicações e os fabricantes de equipamentos devem alinhar os seus processos de segurança desde a concepção com estes princípios hoje – esperar pelas normas finais significa tentar recuperar o atraso.
  2. O risco interno da IA ​​é uma obrigação de conformidade, não uma questão de RH. Com 42% das organizações relatando aumentos nas ameaças internas impulsionadas por IA, os programas de conformidade NIS2 e DORA devem incluir controles específicos de governança de ferramentas de IA – auditorias sombra de IA, DLP para acesso assistido por IA e linhas de base de ameaças internas que levam em conta as capacidades de IA.
  3. Sua infraestrutura de segurança é o alvo. A descoberta de 90 dias zero do Google, com quase metade voltada para segurança corporativa e dispositivos de rede, significa que os programas de gerenciamento de vulnerabilidades devem priorizar as ferramentas destinadas a protegê-lo. Assuma o comprometimento dos dispositivos de borda e implemente o monitoramento fora de banda.
  4. A lacuna de DLP do Microsoft Copilot é uma prévia das falhas de governança de IA. As organizações que implantam ferramentas de produtividade de IA sem verificar os controles de manipulação de dados enfrentam a responsabilidade do GDPR, da Lei de IA da UE e do NIS2. Audite o acesso aos dados da ferramenta de IA antes que os reguladores façam perguntas.
  5. Extensões falsas de IA são uma crise de proteção ao consumidor. Até que a aplicação de DSA e CRA seja alcançada, a lista de permissões de extensões de navegador corporativo é sua única defesa confiável. Implemente agora.
  6. A preparação do Patch Tuesday não é opcional. Após um ano recorde de zero-days empresariais, as entidades DORA e NIS2 sem procedimentos de correção de emergência documentados e testados estão a registar um défice de conformidade que os supervisores identificarão.

Automatize seu monitoramento de conformidade

A verificação contínua de segurança da KENSAI identifica exposições de dia zero, vulnerabilidades relacionadas à IA e lacunas de conformidade em sua infraestrutura — alinhadas com os requisitos da NIS2, DORA e da Lei de IA da UE.

Inicie a verificação de segurança gratuita →

9 de março de 2026

Fontes: GCOT, Governo do Reino Unido, Google GTIG, Mimecast, Palo Alto Networks, Microsoft, Help Net Security, Infosecurity Magazine, ENISA