← Voltar ao Blog
Conformidade e regulamentos 6 de março de 2026 8 min de leitura

março 2026 Security Regulations Update: NIS2 Enforcement Begins, DORA Deadlines Approach, GDPR Record Fines

A aplicação da Diretiva NIS2 acelera em todos os estados membros da UE com a emissão das primeiras penalidades. O prazo de conformidade da DORA se aproxima – faltam apenas 9 meses. A aplicação do GDPR atinge níveis recordes com € 2,1 bilhões em multas para 2025. A Lei de IA da UE entra na fase de aplicação com abertura de registros de sistemas de alto risco. Atualizações críticas de conformidade para equipes de segurança e risco.


⚖️ Diretiva NIS2: começa a fase de aplicação

Prazo de conformidade ultrapassado — Aplicação ativa

The NIS2 Directive transposition deadline passed in outubro 2024. EU member states are now actively enforcing cybersecurity requirements, with the first administrative penalties issued in Q1 2026. Organizations found non-compliant face fines up to10 milhões de euros ou 2% do volume de negócios anual global, o que for maior.

Escopo e requisitos do NIS2

A Diretiva Segurança das Redes e da Informação 2 (NIS2) expande significativamente as obrigações de cibersegurança em toda a União Europeia:

Ações de execução recentes

Alemanhaissued its first NIS2 penalty in fevereiro 2026 to a mid-sized cloud service provider for failure to implement risk management measures and incident response procedures. Fine: €850,000.

França abriu investigações em 14 entidades nos setores de saúde e infraestrutura digital por governança inadequada de segurança cibernética e falta de mecanismos de notificação de incidentes.

Holandapublished compliance guidance requiring all essential and important entities to complete self-assessment by junho 2026.

Ação necessária: As organizações abrangidas devem implementar imediatamente medidas de segurança cibernética NIS2, incluindo gestão de riscos, resposta a incidentes, continuidade dos negócios, segurança da cadeia de abastecimento, criptografia, controlo de acesso e tratamento de vulnerabilidades.


🏦 DORA: 9 Meses Até o Prazo de Cumprimento

O Lei de Resiliência Operacional Digital (DORA) entra em vigor em 17 de janeiro de 2025. As entidades financeiras têm menos de 9 meses restantes para alcançar a conformidade total.

Visão geral dos requisitos DORA

Pilar Requisitos principais
Gestão do risco TIC Quadro abrangente que abrange capacidades de identificação, proteção, deteção, resposta, recuperação e aprendizagem
Relatório de incidentes Incidentes graves de TIC comunicados às autoridades de supervisão dentro de prazos rigorosos
Teste de resiliência operacional Testes regulares, incluindo testes de penetração liderados por ameaças (TLPT), para entidades significativas
Risco de Terceiros Gestão de fornecedores terceiros de TIC com disposições contratuais que garantem a supervisão
Compartilhamento de informações Participação em acordos de partilha de informações sobre ameaças cibernéticas

Quem deve cumprir?

Fornecedores terceiros de TIC essenciais

DORA introduz um novo quadro de supervisão para Terceiros prestadores de serviços de TIC críticos. Os fornecedores de nuvens, os operadores de centros de dados e os prestadores de serviços de segurança geridos que servem entidades financeiras enfrentarão a supervisão direta da UE e deverão registar-se junto das Autoridades Europeias de Supervisão (ESA).

Pressão do cronograma: Muitas instituições financeiras relatam lacunas significativas na preparação para a DORA, especialmente em torno da gestão de riscos de terceiros e dos testes de resiliência operacional. As autoridades de supervisão estão a preparar-se para a aplicação imediata.


🛡️ Aplicação do GDPR: recorde de € 2,1 bilhões em multas em 2025

A aplicação do GDPR atingiu níveis sem precedentes em 2025, com as autoridades de proteção de dados da UE emitindo 2,1 mil milhões de euros em multas administrativas — um aumento de 40 % em relação a 2024.

Tendências de fiscalização para 2025

Ações de execução notáveis ​​em 2025

650 milhões de euros — Grande plataforma de redes sociais (DPA da Irlanda)
Violações: Tratamento ilícito de dados pessoais para publicidade comportamental, base jurídica inadequada, falhas de transparência

425 milhões de euros — Empresa global de tecnologia de publicidade (França CNIL)
Violações: partilha de dados de licitação em tempo real sem consentimento válido, minimização inadequada de dados

380 milhões de euros — Plataforma de IA para cuidados de saúde (Alemanha)
Violações: Tratamento de dados de saúde sem salvaguardas adequadas, tomada de decisão automatizada sem supervisão humana

Áreas de foco emergentes para 2026


🤖 Lei de IA da UE: começa a fase de aplicação

O Lei da UE sobre Inteligência Artificialentered into force in agosto 2024. Key provisions begin applying in phases through 2026-2027.

Cronograma de inscrição para 2026

Data Disposições aplicáveis ​​
fevereiro 2026 Práticas de IA proibidas (artigo 5.º)
maio 2026 Requisitos do modelo de IA para fins gerais (Capítulo V)
agosto 2026 Requisitos do sistema de IA de risco elevado (capítulo III)
agosto 2027 Aplicação integral de todos os requisitos da Lei AI

Práticas proibidas de IA (agora em vigor)

As of fevereiro 2026, the following AI systems areproibido na UE:

Registo de sistemas de IA de alto risco

As inscrições abrem no segundo trimestre de 2026

O Gabinete de IA da UE abrirá o registo para sistemas de IA de alto risco no segundo trimestre de 2026. Os fornecedores devem registar os sistemas antes da colocação no mercado. As categorias de alto risco incluem: identificação biométrica, infra-estruturas críticas, educação/formação profissional, emprego, serviços essenciais, aplicação da lei, migração/controlo de fronteiras e justiça/processos democráticos.

General-Purpose AI Models (maio 2026)

Os fornecedores de modelos de IA de uso geral (GPT-4, Claude, Gemini, Llama, etc.) devem cumprir requisitos de transparência e, para modelos de risco sistémico (formação >10^25 FLOPs), obrigações adicionais, incluindo:


📋 Lista de verificação de conformidade: 2º trimestre de 2026

  1. NIS2 (Imediato):
    • Confirmar o estado abrangido pelo âmbito (entidade essencial ou importante)
    • Implementar todas as 10 medidas mínimas de segurança
    • Estabeleça procedimentos de notificação de incidentes 24 horas por dia, 72 horas por dia
    • Documentar avaliações de segurança da cadeia de abastecimento
    • Assegurar mecanismos de responsabilização dos órgãos de administração
  2. DORA (9 meses restantes):
    • Concluir a implementação do quadro de gestão dos riscos no domínio das TIC
    • Inventariar todos os fornecedores terceiros de TIC e avaliar a criticidade
    • Atualizar contratos com prestadores de serviços de TIC para conformidade com a DORA
    • Planear testes de penetração liderados por ameaças (TLPT) para 2026
    • Estabelecer processos de classificação e comunicação de incidentes
  3. GDPR (em andamento):
    • Rever a IA/a tomada de decisão automatizada para efeitos de conformidade com o artigo 22.º
    • Auditar mecanismos de consentimento de cookies para padrões obscuros
    • Atualizar registos de atividades de tratamento (ROPA)
    • Testar procedimentos de notificação de violação de dados (<72 horas)
    • Rever os mecanismos internacionais de transferência de dados
  4. Lei da UE sobre IA:
    • Inventariar todos os sistemas de IA e classificar os níveis de risco
    • Interromper imediatamente quaisquer práticas proibidas de IA
    • Preparar documentação técnica do sistema de IA de alto risco
    • Para fornecedores de GPAI: Implementar requisitos de transparência
    • Monitorizar as orientações e os prazos de registo do Gabinete de IA da UE

⚠️ Avaliação de Risco Regulatório

Alto risco de execução: As organizações que operam em vários setores regulamentados (por exemplo, serviços financeiros + cuidados de saúde) enfrentam obrigações de conformidade sobrepostas de NIS2, DORA, GDPR e regulamentos específicos do setor. As lacunas em qualquer quadro criam riscos regulamentares agravados.

Exposição da cadeia de abastecimento: Tanto a NIS2 como a DORA impõem requisitos explícitos de segurança da cadeia de abastecimento e de gestão de riscos de terceiros. As organizações que dependem de fornecedores não conformes herdam o risco regulatório.

Complexidade transfronteiriça: Diferentes estados-membros da UE estão transpondo e aplicando a NIS2 em ritmos diferentes, criando complexidade de conformidade para organizações que operam em múltiplas jurisdições.

Navegue pela conformidade com KENSAI

Mapeamento automatizado de conformidade para NIS2, DORA, GDPR e EU AI Act. Atualizações regulatórias em tempo real e análise de lacunas.

Demonstração de conformidade do livro

Mantenha-se em conformidade. Mantenha-se informado.

🗡️ Equipe de Conformidade KENSAI

6 de março de 2026