The White House released its new cybersecurity strategy built on offensive operations, AI adoption, and deregulation — a direct collision course with Europe's compliance-heavy NIS2, DORA, and AI Act frameworks. Plus: Gemini AI Chrome vulnerability, Microsoft Copilot DLP changes, and março Patch Tuesday forecast.
A Casa Branca divulgou o relatório do presidente Trump estratégia de cibersegurança de sete páginas, desenvolvido pelo Gabinete do Diretor Nacional Cibernético (ONCD). Representa uma mudança fundamental na política cibernética dos EUA ao colocar operações ofensivas no centro enquanto pressiona ativamente a desregulamentação.
A estratégia baseia-se em seis pilares:
| Pilar | Foco | Implicação principal |
|---|---|---|
| 1. Moldar o comportamento do adversário | Operações cibernéticas ofensivas | Interrupção proativa das redes adversárias antes dos ataques |
| 2. Promover a regulamentação do “senso comum” | Desregulamentação | Reverter normas obrigatórias de cibersegurança |
| 3. Modernizar as Redes Federais | Confiança zero, pós-quântica, IA | Migração para a nuvem e defesas baseadas em IA |
| 4. Infraestrutura crítica segura | Reforço dos serviços essenciais | Remova fornecedores adversários e proteja as cadeias de abastecimento |
| 5. Sustentar a superioridade tecnológica | IA, quântica, criptografia/blockchain | Primeira estratégia para referenciar criptomoeda |
| 6. Desenvolver talento e capacidade | Pipeline de mão de obra | Escolas, indústria, formação cibernética militar |
O Pilar 2 exige a eliminação das “regulamentações cibernéticas pesadas”, enquanto o Pilar 4 exige o fortalecimento da infraestrutura crítica. Pesquisadores de segurança alertam que esses objetivos podem ser fundamentalmente contraditórios – não é possível desregulamentar e endurecer simultaneamente. As organizações que operam nas jurisdições dos EUA e da UE enfrentam um paradoxo de conformidade.
A estratégia chega logo após uma confirmação Violação do sistema de escuta telefônica do FBI com suspeita de envolvimento de um grupo de ameaça chinês (Salt Typhoon). O documento avisa explicitamente: “Nossos adversários sentiram e sentirão cada vez mais as consequências de suas ações; desmantelaremos redes, perseguiremos hackers e espiões.”
O impulso desregulamentador dos EUA cria uma situação sem precedentes divergência transatlântica na política de segurança cibernética. Enquanto Washington elimina normas obrigatórias, Bruxelas acelera a aplicação:
| Área | EUA (Estratégia Trump) | UE (Lei NIS2/DORA/AI) |
|---|---|---|
| Abordagem | Voluntário, orientado para o mercado | Obrigatório, baseado em penalidades |
| Regulamento | Desregulamentar regras «penosas» | NIS2: multas de 10 milhões de euros, DORA: risco obrigatório de TIC |
| Relatório de incidentes | Sem novos mandatos | Relatórios obrigatórios 24 horas por dia |
| Governança de IA | Acelerar a adoção da IA | Lei da UE sobre IA: classificação baseada no risco |
| Cadeia de Abastecimento | Remover "fornecedores adversários" | Artigo 21.º: responsabilidade total da cadeia de abastecimento |
| Cripto/Blockchain | Proteger e promover | Quadro regulamentar do MiCA |
As empresas que operam em ambas as jurisdições enfrentam agora uma duplo encargo de conformidade. Você deve simultaneamente:
💡 Recomendação KENSAI: Padrão para o padrão mais rigoroso. Se você cumprir o NIS2 e o DORA, excederá qualquer linha de base razoável de segurança dos EUA. Utilize o quadro da UE como base e não como limite máximo.
O Google corrigiu CVE-2026-0628 (CVSS 8.8, High), uma vulnerabilidade de elevação de privilégio no Gemini AI integrado ao Chrome. Descoberta pela Unidade 42 da Palo Alto Networks, a falha permitiu extensões maliciosas com permissões básicas para sequestrar o painel do navegador Gemini Live.
Isto é particularmente preocupante porque:
Juntamente com a vulnerabilidade legítima, os pesquisadores de segurança estão alertando sobre um aumento no extensões falsas de navegador "AI" aparecendo nas lojas de aplicativos. Essas extensões imitam ferramentas populares de IA, mas exfiltram secretamente os dados do usuário. O ataque aproveita o desejo dos usuários de adotar ferramentas de IA – um ângulo de engenharia social que contorna os controles de segurança tradicionais.
A Microsoft está abordando uma lacuna crítica em seu assistente Copilot AI: As políticas de prevenção contra perda de dados (DLP) não estavam sendo aplicadas em arquivos armazenados fora do OneDrive e do SharePoint. Isso significava que o Copilot poderia incluir inadvertidamente informações confidenciais de arquivos armazenados localmente em suas respostas.
Começando abril 2026, a Microsoft aplicará as configurações de DLP por padrão para evitar que o Copilot acesse arquivos sem rótulos de DLP adequados. Ações principais:
Olhando para o Patch Tuesday da próxima semana:
| Data | Regulamento | O que acontece |
|---|---|---|
| Agora | NIS2 | Aplicação ativa em 23/27 Estados-Membros da UE |
| Agora | DORA | As entidades financeiras devem cumprir — gestão do risco TIC obrigatória |
| abril de 2026 | DLP do Microsoft Copilot | Aplicação de DLP padrão no acesso a arquivos do assistente de IA |
| agosto de 2026 | Lei da UE sobre IA | Prazo de registo do sistema de IA de risco elevado |
| 3º trimestre de 2026 | Estratégia Cibernética dos EUA | Esperam-se memorandos de execução e pedidos de orçamento |
| 2027 | Ciclo completo de auditoria NIS2 | Primeiro ciclo de revisão da aplicação em todos os Estados-Membros |
A KENSAI mapeia sua postura de segurança em relação ao NIS2, DORA, EU AI Act e aos padrões internacionais simultaneamente - para que você cumpra em qualquer lugar, não apenas em algum lugar.
Inicie a verificação de segurança gratuita →Publicado por Inteligência de ameaças KENSAI7 de março de 2026
Fontes: CSO Online, Help Net Security, Casa Branca ONCD, Palo Alto Networks Unit 42, ENISA