← Back to Blog
Briefing regulatório cibernético 5 min read 2026-04-10

Briefing regulatório cibernético, 10 de abril de 2026: NIS2, DORA, RGPD e o AI Act da UE passam da política para a operação

O clima no livro regulatório cibernético europeu já não é de esperar para ver. Os sinais da semana são operacionais: a NIS2 está mais concreta, a DORA está mais procedimental, os reguladores do RGPD estão a publicar apoio de conformidade mais utilizável e o AI Act da UE está finalmente a receber o conjunto de orientações que as empresas pediam.


Resumo: as regras europeias de segurança convergem para a mesma mensagem: provar controlos, documentar dependências e preparar-se para escrutínio cruzado entre reguladores, em vez de tratar cada lei como uma faixa burocrática separada.


1. A NIS2 continua a ser uma história de implementação, não de manchetes

O sinal mais importante da NIS2 em 10 de abril não é uma ação de enforcement vistosa. É o facto de a máquina de implementação continuar a apertar. A orientação técnica de implementação da ENISA continua a ser uma das referências operacionais mais claras para infraestruturas digitais, gestão de serviços TIC e prestadores digitais. Ao mesmo tempo, a opinião conjunta de março de 2026 do EDPB e do EDPS sobre alterações ligadas à NIS2 e ao Cybersecurity Act 2 lembra que resiliência cibernética e proteção de dados já estão a ser debatidas na mesma mesa.

Isto importa porque muitas equipas ainda tratam a NIS2 como um exercício de âmbito. Já não chega. O verdadeiro ponto de pressão é saber se as organizações conseguem mostrar prova de gestão de risco, reporte de incidentes, controlos da cadeia de abastecimento, tratamento de vulnerabilidades e responsabilidade de governação.

Porque importa


2. A DORA está a ficar procedimental, o que significa menos desculpas

A EBA e as outras ESA já estão profundamente na mecânica real da DORA. O quadro de supervisão para prestadores terceiros críticos de TIC deixou de ser teórico e está a ser operacionalizado através de designações anuais, Joint Examination Teams e fluxos formais de supervisão. Do lado do reporting, o framework 4.2 da EBA deixa a mensagem muito clara: o reporte relacionado com a DORA pertence ao novo pipeline operacional e algumas submissões já têm de ser tratadas em CSV.

Para bancos, seguradoras, empresas de investimento e os seus fornecedores, este é o ponto em que a DORA deixa de ser uma nota de política e passa a ser um problema de gestão de programa. Se o registo de informação estiver incompleto ou o inventário de terceiros for difuso, a fraqueza já não é abstrata.

Porque importa


3. Os reguladores do RGPD estão a tentar tornar a conformidade mais utilizável e mais ligada a outras leis digitais

O relatório anual do EDPB publicado em 9 de abril vale a leitura porque diz em voz alta o ponto essencial: o conjunto regulatório digital europeu está mais complexo e os reguladores sabem que as empresas têm dificuldade em mapear obrigações sobrepostas. O Board afirma estar a promover mais certeza jurídica, mais apoio prático e mais cooperação entre reguladores. Isto inclui trabalho contínuo sobre a articulação entre o RGPD e leis mais recentes, além de um digest one-stop-shop de março de 2026 sobre interesse legítimo que transforma debates abstratos do artigo 6(1)(f) em exemplos reais de enforcement.

Para as equipas de segurança, isto é importante. O RGPD deixou de ser apenas um peso da equipa de privacidade guardado numa pasta separada. Está a tornar-se parte da forma como as organizações explicam logging, monitoring, deteção de fraude, sistemas de identidade, uso de IA e decisões de partilha de dados em várias leis da UE.

Porque importa


4. O AI Act da UE entra na fase de orientação de que as empresas realmente precisam

O AI Office da Comissão deixou a direção de 2026 bastante explícita. Estão a ser preparadas orientações sobre classificação de alto risco, obrigações de transparência, reporte de incidentes graves, responsabilidades ao longo da cadeia de valor da IA, modificação substancial, monitorização pós-mercado, gestão de qualidade simplificada para PME e a articulação entre o AI Act e a legislação europeia de proteção de dados. Além disso, a página principal do AI Act diz que são esperadas mais ferramentas de apoio à transparência no segundo trimestre de 2026.

Essa é a história real neste momento. O AI Act já não é apenas um prazo futuro. A arquitetura de apoio à sua volta está a chegar, o que deixa menos espaço para as empresas alegarem ambiguidade quando as obrigações de 2026 e 2027 apertarem.

Porque importa


O que as equipas de segurança e conformidade devem fazer agora

  1. Unificar evidência: não mantenha NIS2, DORA, RGPD e AI Act em silos separados se os sistemas subjacentes são partilhados.
  2. Limpar a visibilidade de fornecedores: o mapa de dependências TIC precisa de serviços nomeados, owners, contratos e criticidade.
  3. Rever bases legais: monitorização, prevenção de fraude, analítica de identidade e fluxos de IA merecem nova revisão RGPD.
  4. Preparar governação de IA já: inventariar modelos, classificar casos de uso, mapear supervisão humana e definir escalonamento.
  5. Atualizar a liderança em linguagem de negócio: o fio comum é resiliência, responsabilidade e controlo comprovável.

Fontes acompanhadas para este briefing: páginas NIS2 e guia técnico da ENISA, materiais da EBA sobre DORA oversight e framework 4.2, relatório anual e feed de publicações do EDPB e páginas de implementação do AI Act da Comissão Europeia, revistos em 10 de abril de 2026.

Transforme pressão regulatória em vantagem na superfície de ataque

A KENSAI ajuda equipas a mapear ativos expostos, controlos fracos e caminhos de risco de terceiros antes de reguladores ou atacantes os encontrarem primeiro.

Iniciar scan gratuito →

Mantenha-se afiado.

🗡️ Equipa de Segurança KENSAI