O clima no livro regulatório cibernético europeu já não é de esperar para ver. Os sinais da semana são operacionais: a NIS2 está mais concreta, a DORA está mais procedimental, os reguladores do RGPD estão a publicar apoio de conformidade mais utilizável e o AI Act da UE está finalmente a receber o conjunto de orientações que as empresas pediam.
Resumo: as regras europeias de segurança convergem para a mesma mensagem: provar controlos, documentar dependências e preparar-se para escrutínio cruzado entre reguladores, em vez de tratar cada lei como uma faixa burocrática separada.
O sinal mais importante da NIS2 em 10 de abril não é uma ação de enforcement vistosa. É o facto de a máquina de implementação continuar a apertar. A orientação técnica de implementação da ENISA continua a ser uma das referências operacionais mais claras para infraestruturas digitais, gestão de serviços TIC e prestadores digitais. Ao mesmo tempo, a opinião conjunta de março de 2026 do EDPB e do EDPS sobre alterações ligadas à NIS2 e ao Cybersecurity Act 2 lembra que resiliência cibernética e proteção de dados já estão a ser debatidas na mesma mesa.
Isto importa porque muitas equipas ainda tratam a NIS2 como um exercício de âmbito. Já não chega. O verdadeiro ponto de pressão é saber se as organizações conseguem mostrar prova de gestão de risco, reporte de incidentes, controlos da cadeia de abastecimento, tratamento de vulnerabilidades e responsabilidade de governação.
A EBA e as outras ESA já estão profundamente na mecânica real da DORA. O quadro de supervisão para prestadores terceiros críticos de TIC deixou de ser teórico e está a ser operacionalizado através de designações anuais, Joint Examination Teams e fluxos formais de supervisão. Do lado do reporting, o framework 4.2 da EBA deixa a mensagem muito clara: o reporte relacionado com a DORA pertence ao novo pipeline operacional e algumas submissões já têm de ser tratadas em CSV.
Para bancos, seguradoras, empresas de investimento e os seus fornecedores, este é o ponto em que a DORA deixa de ser uma nota de política e passa a ser um problema de gestão de programa. Se o registo de informação estiver incompleto ou o inventário de terceiros for difuso, a fraqueza já não é abstrata.
O relatório anual do EDPB publicado em 9 de abril vale a leitura porque diz em voz alta o ponto essencial: o conjunto regulatório digital europeu está mais complexo e os reguladores sabem que as empresas têm dificuldade em mapear obrigações sobrepostas. O Board afirma estar a promover mais certeza jurídica, mais apoio prático e mais cooperação entre reguladores. Isto inclui trabalho contínuo sobre a articulação entre o RGPD e leis mais recentes, além de um digest one-stop-shop de março de 2026 sobre interesse legítimo que transforma debates abstratos do artigo 6(1)(f) em exemplos reais de enforcement.
Para as equipas de segurança, isto é importante. O RGPD deixou de ser apenas um peso da equipa de privacidade guardado numa pasta separada. Está a tornar-se parte da forma como as organizações explicam logging, monitoring, deteção de fraude, sistemas de identidade, uso de IA e decisões de partilha de dados em várias leis da UE.
O AI Office da Comissão deixou a direção de 2026 bastante explícita. Estão a ser preparadas orientações sobre classificação de alto risco, obrigações de transparência, reporte de incidentes graves, responsabilidades ao longo da cadeia de valor da IA, modificação substancial, monitorização pós-mercado, gestão de qualidade simplificada para PME e a articulação entre o AI Act e a legislação europeia de proteção de dados. Além disso, a página principal do AI Act diz que são esperadas mais ferramentas de apoio à transparência no segundo trimestre de 2026.
Essa é a história real neste momento. O AI Act já não é apenas um prazo futuro. A arquitetura de apoio à sua volta está a chegar, o que deixa menos espaço para as empresas alegarem ambiguidade quando as obrigações de 2026 e 2027 apertarem.
Fontes acompanhadas para este briefing: páginas NIS2 e guia técnico da ENISA, materiais da EBA sobre DORA oversight e framework 4.2, relatório anual e feed de publicações do EDPB e páginas de implementação do AI Act da Comissão Europeia, revistos em 10 de abril de 2026.
A KENSAI ajuda equipas a mapear ativos expostos, controlos fracos e caminhos de risco de terceiros antes de reguladores ou atacantes os encontrarem primeiro.
Iniciar scan gratuito →Mantenha-se afiado.
🗡️ Equipa de Segurança KENSAI