← Voltar ao Blog
Conformidade e regulamentos
7 de março de 2026
9 min de leitura
Lançada orientação da Lei de Resiliência Cibernética da UE, Relatórios de Transparência da DSA Vencidos, Lançado Quadro de Segurança 6G
Uma semana movimentada para a regulamentação da segurança cibernética da UE. A Comissão Europeia publicou um projeto de orientação de implementação de CRA para fabricantes de produtos. A primeira onda de relatórios de transparência do DSA chegou. Uma coalizão de sete nações divulgou diretrizes de segurança desde o projeto 6G. E novas vulnerabilidades de IA – incluindo uma exploração de alta gravidade do Gemini – sublinham a razão pela qual a Lei da IA da UE não consegue chegar suficientemente rápido.
📋 Lei de Resiliência Cibernética: Projeto de orientação publicado para feedback
Novo — Orientações para implementação do CRA abertas para comentários
3 de março de 2026Lei de Resiliência Cibernética (CRA). A orientação está aberta ao feedback do público, marcando um marco crítico à medida que o regulamento passa da legislação para a implementação.
The CRA, which entered into force in dezembro 2024, establishes mandatory cybersecurity requirements fortodos os produtos com elementos digitais vendido na UE. Os fabricantes, importadores e distribuidores devem garantir que os produtos atendam aos requisitos essenciais de segurança durante todo o seu ciclo de vida.
Principais prazos de CRA
- setembro 2026: Começam as obrigações de comunicação de informações — os fabricantes devem comunicar à ENISA as vulnerabilidades exploradas ativamente e os incidentes de segurança graves
- dezembro 2027: É necessária plena conformidade — todos os produtos com elementos digitais devem cumprir requisitos essenciais de cibersegurança
- Em andamento: As atualizações de segurança devem ser fornecidas durante a vida útil esperada do produto ou durante um período mínimo de cinco anos
O que o projeto de orientação abrange
As orientações da Comissão abordam as questões de implementação mais comuns colocadas pela indústria:
- Esclarecimento do escopo: Que produtos são considerados «produtos com elementos digitais» — incluindo dispositivos IoT, firmware, bibliotecas de software e produtos ligados à nuvem
- Tratamento de vulnerabilidades: Como os fabricantes devem estabelecer processos coordenados de divulgação de vulnerabilidades
- Avaliação da conformidade: Quais produtos exigem avaliação de terceiros versus autoavaliação
- Lista de materiais de software (SBOM): Requisitos para documentação e manutenção de SBOM para todos os produtos abrangidos
Ação necessária:Product manufacturers, software companies, and IoT vendors operating in the EU should review the draft guidance and submit feedback before the consultation period closes. Companies should begin CRA compliance programs now — setembro 2026 reporting obligations are only six months away.
📊 Lei de Serviços Digitais: Prazo para primeiros relatórios de transparência ultrapassado
A primeira rodada de relatórios de transparência harmonizadosunder the Digital Services Act (DSA) were due by the end of fevereiro 2026. Providers of intermediary services — including platforms, hosting services, and search engines — were required to publish reports detailing their content moderation activities, government requests, and algorithmic recommendation systems.
O que os relatórios de transparência do DSA devem incluir
- Moderação de conteúdo: Volume e tipos de conteúdos removidos ou restringidos, incluindo estatísticas de deteção automatizada
- Ordens governamentais: Número e natureza das encomendas recebidas das autoridades dos Estados-Membros da UE
- Reclamações e recursos: Dados sobre reclamações de utilizadores sobre decisões de conteúdo e sua resolução
- Transparência algorítmica: Para plataformas online de grande dimensão (VLOP), detalhes sobre os parâmetros do sistema de recomendação e o seu impacto
A Comissão Europeia está agora a rever o primeiro lote de relatórios. Plataformas não conformes enfrentam multas de até 6% do volume de negócios anual global. Vários serviços intermediários mais pequenos alegadamente não cumpriram o prazo e a Comissão sinalizou que irá prosseguir medidas de execução.
🌐 Cibersegurança 6G: Coalizão Ocidental lança diretrizes de segurança desde o projeto
Nova estrutura — Diretrizes de segurança 6G publicadas
4 de março de 2026Padrões de telecomunicações 6G. A estrutura exige que os princípios de segurança desde a concepção sejam integrados desde os estágios iniciais do desenvolvimento 6G.
As diretrizes abordam diretamente as lições aprendidas com as controvérsias de segurança 5G, especialmente em torno dos riscos da cadeia de abastecimento e da confiança dos fornecedores. Os princípios fundamentais incluem:
- Arquitetura de confiança zero: Todos os componentes da rede 6G devem implementar confiança zero por padrão
- Integridade da cadeia de abastecimento: Verificação obrigatória da proveniência de todos os componentes de hardware e software da rede
- Criptografia pós-quântica: Os padrões 6G devem suportar algoritmos de criptografia resistentes a quantum desde o lançamento
- Segurança RAN aberta: Requisitos de segurança específicos para arquiteturas de redes abertas de acesso via rádio
- Segurança de IA/ML: Diretrizes para garantir funções de otimização e gestão de redes baseadas em IA
O quadro está alinhado com a abordagem mais ampla da UE no âmbito das NIS2 e da CRA, criando uma postura regulamentar unificada em todas as infraestruturas críticas de telecomunicações.
🤖 Vulnerabilidades de segurança de IA destacam a urgência da lei de IA da UE
Os desenvolvimentos de segurança da IA desta semana sublinham a necessidade crítica do Lei da UE sobre IA quadro regulamentar:
Exploração do Gemini AI no Chrome (CVE-2026-0628)
O Google corrigiu um vulnerabilidade de alta gravidade (CVSS 8.8) em sua implementação Gemini AI no navegador Chrome. Relatada pela Unidade 42 da Palo Alto Networks, a falha de elevação de privilégio poderia ter permitido que extensões maliciosas de navegador com permissões básicas sequestrar o painel Gemini Live — acessar conversas de usuários e executar ações em nome do usuário.
Extensões falsas de IA proliferando nas App Stores
Os pesquisadores de segurança continuam sinalizando uma onda de extensões de navegador "AI" trojanizadas que aparecem nas lojas de aplicativos oficiais. Essas extensões afirmam fornecer funcionalidade de IA enquanto secretamente exfiltrando dados do usuário, tokens de sessão e atividade de navegação. A tendência explora a procura dos consumidores por ferramentas de IA sem a segurança adequada do mercado.
ContextCrush: Ferramentas de desenvolvimento de IA sob ataque
Uma vulnerabilidade crítica chamada "ContextCrush" foi descoberto no Context7 MCP Server, uma ferramenta usada em pipelines de desenvolvimento de IA. A falha pode permitir que invasores injetem instruções maliciosas em fluxos de trabalho de desenvolvimento de IA, potencialmente envenenamento de dados de treinamento de IA ou resultados de modelos na fonte.
Cronograma da Lei de IA da UE:The Act's prohibited practices provisions took effect in fevereiro 2025. High-risk AI system obligations apply from agosto 2026. The EU AI Office is developing harmonized standards and guidance. These vulnerabilities demonstrate exactly why mandatory AI security requirements — including risk assessments, vulnerability management, and transparency obligations — are essential.
📈 Atualização de status NIS2 e DORA
SRI2: Intensificação da fiscalização
Os estados membros da UE continuam a intensificar a aplicação da NIS2. Principais desenvolvimentos desta semana:
- ENISA anunciou prioridades de liderança para a Rede de Agências da UE (EUAN) 2025-2026, com a cibersegurança entre agências como uma área de foco principal
- BSI da Alemanha continua o seu programa de verificação de conformidade, com mais de 2 000 entidades essenciais e importantes agora registadas
- Remoção do LeakBase pela Europol(março 5) demonstrates the kind of cross-border enforcement cooperation that NIS2 was designed to enable — the forum had 142,000 users trading stolen credentials since 2021
- Remoção do Tycoon2FA(março 4) — international law enforcement dismantled a phishing-as-a-service platform, reinforcing the incident reporting obligations under NIS2
DORA: Contagem regressiva para conformidade do setor financeiro
17 de janeiro de 2025conformidade total. Principais atividades de conformidade do primeiro trimestre de 2026:
- Preencher registos de risco de terceiros no domínio das TIC com todos os prestadores de serviços críticos identificados
- Finalizar acordos de partilha de informações com pares do setor
- Realizar a primeira ronda de testes de penetração liderados por ameaças (TLPT) para entidades significativas
- Apresentar a documentação do quadro de gestão dos riscos no domínio das TIC às autoridades nacionais competentes
🗓️ Próximos Prazos Regulatórios
| Data |
Regulamento |
Marco |
| Junho de 2026 |
NIS2 |
Países Baixos: Prazo para autoavaliação da entidade |
| agosto de 2026 |
Lei da UE sobre IA |
Aplicam-se obrigações do sistema de IA de risco elevado |
| Setembro de 2026 |
CRA |
Começam as obrigações de comunicação de vulnerabilidades |
| 4º trimestre de 2026 |
DORA |
Conclusão do primeiro ciclo TLPT para entidades significativas |
| Dez de 2027 |
CRA |
É necessária conformidade total do produto |
✅ Itens de ação de conformidade esta semana
- CRA: Revise o projeto de orientação CRA da Comissão Europeia e envie comentários. Inicie o inventário de produtos e a documentação SBOM.
- DSA: Se você for um provedor de serviços intermediário, verifique se seu relatório de transparência foi enviado. Resolva quaisquer lacunas antes do início das ações de fiscalização.
- NIS2: Atualize os manuais de resposta a incidentes com o aprendizado das remoções do LeakBase e do Tycoon2FA. Revise a postura de segurança da cadeia de suprimentos.
- DORA: Garantir que as estruturas de gestão de riscos de TIC sejam documentadas e apresentadas. Agende testes de penetração liderados por ameaças.
- Lei da UE sobre IA:Audit AI systems for the Gemini/ContextCrush vulnerability patterns. Update AI system risk classifications ahead of agosto 2026 obligations.
- Preparação para 6G: As operadoras de telecomunicações devem começar a rever as novas diretrizes de segurança 6G para o planeamento de infraestruturas a longo prazo.
Automatize sua conformidade com KENSAI
Monitoramento contínuo de conformidade para NIS2, DORA, CRA, GDPR e EU AI Act. Acompanhamento regulatório em tempo real com análise automatizada de lacunas.
Iniciar avaliação gratuita →
Mantenha-se em conformidade. Fique à frente.
🗡️ Inteligência de Conformidade KENSAI
7 de março de 2026