Bruxelas não abranda. Se NIS2 e DORA pareceram pesadas, a próxima vaga ; já publicada, legislada ou em negociação final ; é maior, mais exigente e mais operacional.
A era de "um regulamento a cada poucos anos" acabou. Entramos numa fase de regulação digital contínua.
Eis o que efetivamente vem a seguir ; com implicações claras e acionáveis para cada CISO, DPO e Digital Compliance Officer.
1. Aplicação do AI Act (2025–2026): O Novo Desafio de Governação
O AI Act é o regulamento mais ambicioso da UE desde o GDPR. Ao contrário do NIS2, não se limita à cibersegurança ; rege como a inteligência é construída, testada, implementada, monitorizada e documentada.
O que as organizações terão de implementar (não teoria, realidade):
- Classificação de risco de IA (proibida / alto risco / risco limitado / uso geral)
- Pacotes de documentação de modelos (dados de treino, avaliação, arquitetura)
- Avaliações de risco obrigatórias (alinhadas com ISO 42001)
- Monitorização contínua de desvios, viés e alucinações
- Red-teaming para modelos de alto risco e modelos de base
- Reporte de incidentes de IA ao novo EU AI Office
- Funções de supervisão humana
- Rastreabilidade completa das decisões
- Responsabilização e auditorias de fornecedores de IA
Impacto:
Isto exigirá uma nova função de governação dentro das organizações ; razão pela qual Bruxelas está implicitamente a impulsionar o surgimento do Digital Compliance Officer (DCO).
2. Data Act (2025): Acesso, Portabilidade e Interoperabilidade de Dados Obrigatórios
O Data Act altera a forma como as empresas gerem os dados a nível estrutural, em especial os fornecedores de cloud e as indústrias com grande volume de dados.
Obrigações principais:
- Os utilizadores devem poder mudar de fornecedor de cloud de forma rápida e acessível
- Portabilidade de dados obrigatória entre infraestruturas de cloud
- Proibição de determinadas práticas de vendor lock-in
- Transparência sobre o tratamento de dados e direitos de utilização
- Interoperabilidade obrigatória entre dispositivos IoT e sistemas de backend
- Direitos de acesso para organismos públicos em situações de emergência
Impacto:
O vendor lock-in passará a ser uma questão de não conformidade regulatória. As arquiteturas de cloud terão de ser redesenhadas com saída e portabilidade em mente ; alinhando diretamente com os requisitos de resiliência ICT do DORA.
3. Cyber Resilience Act (CRA): Segurança por Design para Todos os Produtos Digitais
O CRA impõe requisitos de cibersegurança obrigatórios para qualquer produto com elementos digitais ; hardware, software, sistemas embebidos, IoT, dispositivos industriais.
- Requisitos de segurança por design e por defeito
- Processos obrigatórios de gestão de vulnerabilidades
- Alerta precoce à ENISA em 24 horas em caso de exploração ativa
- Reporte de incidentes em 72 horas
- 5 a 10 anos de atualizações de segurança consoante a criticidade do produto
- Requisitos de SBOM (software bill of materials)
- Avaliações de conformidade antes de os produtos chegarem ao mercado
Impacto:
Isto afetará fornecedores de software, empresas SaaS, produtores industriais e até startups. Espera-se que as equipas de produto integrem o ecossistema de conformidade pela primeira vez.
4. EUCS (EU Cloud Certification Scheme): O Futuro Regulamento de Segurança Cloud
O EUCS vai redefinir a utilização de cloud em toda a UE. É mais do que uma certificação ; é uma estratégia de soberania.
O que o EUCS imporá:
- Três níveis de garantia (Basic, Substantial, High)
- Requisitos de residência de dados
- Transparência obrigatória sobre subcontratantes
- Restrições à influência jurisdicional de países fora da UE no nível "High" (i.e., conflitos com a CLOUD Act)
- Auditabilidade mais exigente para fornecedores de cloud
- Obrigações de reporte de incidentes alinhadas com NIS2/DORA
- Controlos de segurança obrigatórios para além do ISO 27001
Impacto:
- AWS/Azure/GCP poderão não qualificar para o nível "High" sem adaptação dos seus modelos de governação
- Os setores críticos serão obrigados a utilizar serviços certificados pelo EUCS
- As estratégias multi-cloud deixarão de ser opcionais ; serão um seguro regulatório
Este é o regulamento que irá reformular as estratégias de cloud em toda a Europa.
5. Penalizações Mais Severas e Responsabilidade Pessoal dos Executivos
O NIS2 já introduziu responsabilidade pessoal para os executivos. Espera-se que Bruxelas vá mais longe e harmonize a responsabilidade pessoal em toda a regulação digital.
O que está a chegar:
- Responsabilidade do C-level por infrações ao AI Act (especialmente uso indevido de IA de alto risco)
- Coimas calculadas sobre a faturação global, à semelhança do GDPR
- Discussões sobre responsabilidade criminal por negligência grave (em debate em várias comissões)
- Requisitos obrigatórios de competência em cibersegurança ao nível do Conselho de Administração
- Atestação em moldes SOX para cibersegurança e resiliência operacional
Impacto:
Os Conselhos de Administração passarão a exigir:
- Reporte de conformidade contínuo
- KPIs baseados no risco
- Responsabilidade clara pelas decisões de ciber + IA
- Evidência de que a conformidade está integrada, não apenas documentada
Os executivos deixarão de estar isolados das falhas de governação digital.
6. Formalização do Papel do Digital Compliance Officer (DCO)
Isto já não é teórico. Bruxelas está já a sinalizar ; através do AI Act, NIS2, CRA, DORA e dos documentos de orientação em preparação ; que as organizações precisarão de um papel de governação transversal entre regulamentos.
Por que o DCO se torna obrigatório (implicitamente primeiro, explicitamente depois):
- A governação de IA exige um único ponto de responsabilização
- O DORA exige supervisão do risco ICT e governação de fornecedores
- O NIS2 exige responsabilização executiva e coordenação transversal
- O GDPR já impõe um DPO ; o DCO é a sua evolução para riscos digitais mais abrangentes
- O CRA exige coordenação entre produto, ciber e controlo de fornecedores
Responsabilidades previstas:
- Supervisionar a conformidade com o AI Act
- Coordenar NIS2 + DORA + GDPR + CRA
- Gerir a supervisão de cloud ao abrigo do EUCS
- Operar frameworks unificadas de risco e controlo
- Construir modelos de governação digital alinhados com a regulação
- Garantir prontidão de evidências para os reguladores
- Reportar diretamente ao Conselho de Administração e comités executivos
Impacto:
Entre 2026 e 2027, o DCO tornar-se-á tão comum quanto o DPO se tornou após o GDPR. Este será o papel GRC mais estratégico da próxima década.
7. A Próxima Fase: Unificação da Regulação Digital da UE (2027–2030)
Vários documentos internos da UE e grupos de trabalho estão a pressionar por um quadro único e integrado de governação digital para reduzir a fragmentação.
Isto poderá consolidar:
- GDPR
- NIS2
- DORA
- AI Act
- Data Act
- CRA
- Digital Services Act
- Digital Markets Act
- eIDAS 2.0
O que o modelo unificado introduzirá:
- Uma taxonomia única para o risco digital
- Um modelo harmonizado de reporte de incidentes
- Um único framework de controlos para múltiplas leis
- Auditorias transversais entre regulamentos
- Cooperação entre autoridades de supervisão partilhadas
- Uma estrutura pan-europeia de supervisão digital
Impacto:
A conformidade evoluirá de "documentos para auditores" → governação digital contínua para reguladores.
É para aí que Bruxelas caminha.
Nota Final
Bruxelas está a construir o primeiro ecossistema completo de governação digital do mundo ; cobrindo dados, IA, cloud, cibersegurança, resiliência e segurança de produto.
A próxima vaga não é abstrata. É concreta, legislada e aplicável entre 2025 e 2027.
As organizações que sobreviverão (e prosperarão) são as que:
- adotarem governação unificada agora
- compreenderem o impacto operacional de cada regulamento
- redesenharem as estratégias de cloud com antecedência
- prepararem estruturas de responsabilização em matéria de IA
- nomearem um Digital Compliance Officer
- construírem conformidade contínua, não auditorias anuais
O futuro digital da Europa é regulado ; de forma inteligente, assertiva e permanente.
A questão já não é "Haverá mais?" É "Está a preparar-se antes de chegar?"
Se pretende um roteiro prático e alinhado com a regulação para o AI Act, Data Act, CRA, NIS2, DORA, EUCS e o surgimento do Digital Compliance Officer, é precisamente isso que ensinamos no Cyber Academy European Digital Governance Program. Junte-se à próxima sessão e mantenha-se um passo à frente da próxima vaga de Bruxelas.
