A aplicação da Diretiva NIS2 acelera em todos os estados membros da UE com a emissão das primeiras penalidades. O prazo de conformidade da DORA se aproxima – faltam apenas 9 meses. A aplicação do GDPR atinge níveis recordes com € 2,1 bilhões em multas para 2025. A Lei de IA da UE entra na fase de aplicação com abertura de registros de sistemas de alto risco. Atualizações críticas de conformidade para equipes de segurança e risco.
The NIS2 Directive transposition deadline passed in outubro 2024. EU member states are now actively enforcing cybersecurity requirements, with the first administrative penalties issued in Q1 2026. Organizations found non-compliant face fines up to10 milhões de euros ou 2% do volume de negócios anual global, o que for maior.
A Diretiva Segurança das Redes e da Informação 2 (NIS2) expande significativamente as obrigações de cibersegurança em toda a União Europeia:
Alemanhaissued its first NIS2 penalty in fevereiro 2026 to a mid-sized cloud service provider for failure to implement risk management measures and incident response procedures. Fine: €850,000.
França abriu investigações em 14 entidades nos setores de saúde e infraestrutura digital por governança inadequada de segurança cibernética e falta de mecanismos de notificação de incidentes.
Holandapublished compliance guidance requiring all essential and important entities to complete self-assessment by junho 2026.
Ação necessária: As organizações abrangidas devem implementar imediatamente medidas de segurança cibernética NIS2, incluindo gestão de riscos, resposta a incidentes, continuidade dos negócios, segurança da cadeia de abastecimento, criptografia, controlo de acesso e tratamento de vulnerabilidades.
O Lei de Resiliência Operacional Digital (DORA) entra em vigor em 17 de janeiro de 2025. As entidades financeiras têm menos de 9 meses restantes para alcançar a conformidade total.
| Pilar | Requisitos principais |
|---|---|
| Gestão do risco TIC | Quadro abrangente que abrange capacidades de identificação, proteção, deteção, resposta, recuperação e aprendizagem |
| Relatório de incidentes | Incidentes graves de TIC comunicados às autoridades de supervisão dentro de prazos rigorosos |
| Teste de resiliência operacional | Testes regulares, incluindo testes de penetração liderados por ameaças (TLPT), para entidades significativas |
| Risco de Terceiros | Gestão de fornecedores terceiros de TIC com disposições contratuais que garantem a supervisão |
| Compartilhamento de informações | Participação em acordos de partilha de informações sobre ameaças cibernéticas |
DORA introduz um novo quadro de supervisão para Terceiros prestadores de serviços de TIC críticos. Os fornecedores de nuvens, os operadores de centros de dados e os prestadores de serviços de segurança geridos que servem entidades financeiras enfrentarão a supervisão direta da UE e deverão registar-se junto das Autoridades Europeias de Supervisão (ESA).
Pressão do cronograma: Muitas instituições financeiras relatam lacunas significativas na preparação para a DORA, especialmente em torno da gestão de riscos de terceiros e dos testes de resiliência operacional. As autoridades de supervisão estão a preparar-se para a aplicação imediata.
A aplicação do GDPR atingiu níveis sem precedentes em 2025, com as autoridades de proteção de dados da UE emitindo 2,1 mil milhões de euros em multas administrativas — um aumento de 40 % em relação a 2024.
650 milhões de euros — Grande plataforma de redes sociais (DPA da Irlanda)
Violações: Tratamento ilícito de dados pessoais para publicidade comportamental, base jurídica inadequada, falhas de transparência
425 milhões de euros — Empresa global de tecnologia de publicidade (França CNIL)
Violações: partilha de dados de licitação em tempo real sem consentimento válido, minimização inadequada de dados
380 milhões de euros — Plataforma de IA para cuidados de saúde (Alemanha)
Violações: Tratamento de dados de saúde sem salvaguardas adequadas, tomada de decisão automatizada sem supervisão humana
O Lei da UE sobre Inteligência Artificialentered into force in agosto 2024. Key provisions begin applying in phases through 2026-2027.
| Data | Disposições aplicáveis |
|---|---|
| fevereiro 2026 | Práticas de IA proibidas (artigo 5.º) |
| maio 2026 | Requisitos do modelo de IA para fins gerais (Capítulo V) |
| agosto 2026 | Requisitos do sistema de IA de risco elevado (capítulo III) |
| agosto 2027 | Aplicação integral de todos os requisitos da Lei AI |
As of fevereiro 2026, the following AI systems areproibido na UE:
O Gabinete de IA da UE abrirá o registo para sistemas de IA de alto risco no segundo trimestre de 2026. Os fornecedores devem registar os sistemas antes da colocação no mercado. As categorias de alto risco incluem: identificação biométrica, infra-estruturas críticas, educação/formação profissional, emprego, serviços essenciais, aplicação da lei, migração/controlo de fronteiras e justiça/processos democráticos.
Os fornecedores de modelos de IA de uso geral (GPT-4, Claude, Gemini, Llama, etc.) devem cumprir requisitos de transparência e, para modelos de risco sistémico (formação >10^25 FLOPs), obrigações adicionais, incluindo:
Alto risco de execução: As organizações que operam em vários setores regulamentados (por exemplo, serviços financeiros + cuidados de saúde) enfrentam obrigações de conformidade sobrepostas de NIS2, DORA, GDPR e regulamentos específicos do setor. As lacunas em qualquer quadro criam riscos regulamentares agravados.
Exposição da cadeia de abastecimento: Tanto a NIS2 como a DORA impõem requisitos explícitos de segurança da cadeia de abastecimento e de gestão de riscos de terceiros. As organizações que dependem de fornecedores não conformes herdam o risco regulatório.
Complexidade transfronteiriça: Diferentes estados-membros da UE estão transpondo e aplicando a NIS2 em ritmos diferentes, criando complexidade de conformidade para organizações que operam em múltiplas jurisdições.
Mapeamento automatizado de conformidade para NIS2, DORA, GDPR e EU AI Act. Atualizações regulatórias em tempo real e análise de lacunas.
Demonstração de conformidade do livroMantenha-se em conformidade. Mantenha-se informado.
🗡️ Equipe de Conformidade KENSAI
6 de março de 2026