O Próximo Passo de Bruxelas: O Que Vem Depois do NIS2 e do DORA

NIS2 e DORA foram apenas a Fase 1. AI Act, Data Act, CRA, EUCS e novas regras de responsabilização estão prestes a definir a Fase 2. Este é o roteiro concreto que os responsáveis de GRC devem preparar.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy6 min de leitura
Brussels' Next Move: What Comes After NIS2 and DORA

Bruxelas não abranda. Se NIS2 e DORA pareceram pesadas, a próxima vaga ; já publicada, legislada ou em negociação final ; é maior, mais exigente e mais operacional.

A era de "um regulamento a cada poucos anos" acabou. Entramos numa fase de regulação digital contínua.

Eis o que efetivamente vem a seguir ; com implicações claras e acionáveis para cada CISO, DPO e Digital Compliance Officer.

1. Aplicação do AI Act (2025–2026): O Novo Desafio de Governação

O AI Act é o regulamento mais ambicioso da UE desde o GDPR. Ao contrário do NIS2, não se limita à cibersegurança ; rege como a inteligência é construída, testada, implementada, monitorizada e documentada.

O que as organizações terão de implementar (não teoria, realidade):

  • Classificação de risco de IA (proibida / alto risco / risco limitado / uso geral)
  • Pacotes de documentação de modelos (dados de treino, avaliação, arquitetura)
  • Avaliações de risco obrigatórias (alinhadas com ISO 42001)
  • Monitorização contínua de desvios, viés e alucinações
  • Red-teaming para modelos de alto risco e modelos de base
  • Reporte de incidentes de IA ao novo EU AI Office
  • Funções de supervisão humana
  • Rastreabilidade completa das decisões
  • Responsabilização e auditorias de fornecedores de IA

Impacto:

Isto exigirá uma nova função de governação dentro das organizações ; razão pela qual Bruxelas está implicitamente a impulsionar o surgimento do Digital Compliance Officer (DCO).

2. Data Act (2025): Acesso, Portabilidade e Interoperabilidade de Dados Obrigatórios

O Data Act altera a forma como as empresas gerem os dados a nível estrutural, em especial os fornecedores de cloud e as indústrias com grande volume de dados.

Obrigações principais:

  • Os utilizadores devem poder mudar de fornecedor de cloud de forma rápida e acessível
  • Portabilidade de dados obrigatória entre infraestruturas de cloud
  • Proibição de determinadas práticas de vendor lock-in
  • Transparência sobre o tratamento de dados e direitos de utilização
  • Interoperabilidade obrigatória entre dispositivos IoT e sistemas de backend
  • Direitos de acesso para organismos públicos em situações de emergência

Impacto:

O vendor lock-in passará a ser uma questão de não conformidade regulatória. As arquiteturas de cloud terão de ser redesenhadas com saída e portabilidade em mente ; alinhando diretamente com os requisitos de resiliência ICT do DORA.

3. Cyber Resilience Act (CRA): Segurança por Design para Todos os Produtos Digitais

O CRA impõe requisitos de cibersegurança obrigatórios para qualquer produto com elementos digitais ; hardware, software, sistemas embebidos, IoT, dispositivos industriais.

  • Requisitos de segurança por design e por defeito
  • Processos obrigatórios de gestão de vulnerabilidades
  • Alerta precoce à ENISA em 24 horas em caso de exploração ativa
  • Reporte de incidentes em 72 horas
  • 5 a 10 anos de atualizações de segurança consoante a criticidade do produto
  • Requisitos de SBOM (software bill of materials)
  • Avaliações de conformidade antes de os produtos chegarem ao mercado

Impacto:

Isto afetará fornecedores de software, empresas SaaS, produtores industriais e até startups. Espera-se que as equipas de produto integrem o ecossistema de conformidade pela primeira vez.

4. EUCS (EU Cloud Certification Scheme): O Futuro Regulamento de Segurança Cloud

O EUCS vai redefinir a utilização de cloud em toda a UE. É mais do que uma certificação ; é uma estratégia de soberania.

O que o EUCS imporá:

  • Três níveis de garantia (Basic, Substantial, High)
  • Requisitos de residência de dados
  • Transparência obrigatória sobre subcontratantes
  • Restrições à influência jurisdicional de países fora da UE no nível "High" (i.e., conflitos com a CLOUD Act)
  • Auditabilidade mais exigente para fornecedores de cloud
  • Obrigações de reporte de incidentes alinhadas com NIS2/DORA
  • Controlos de segurança obrigatórios para além do ISO 27001

Impacto:

  • AWS/Azure/GCP poderão não qualificar para o nível "High" sem adaptação dos seus modelos de governação
  • Os setores críticos serão obrigados a utilizar serviços certificados pelo EUCS
  • As estratégias multi-cloud deixarão de ser opcionais ; serão um seguro regulatório

Este é o regulamento que irá reformular as estratégias de cloud em toda a Europa.

5. Penalizações Mais Severas e Responsabilidade Pessoal dos Executivos

O NIS2 já introduziu responsabilidade pessoal para os executivos. Espera-se que Bruxelas vá mais longe e harmonize a responsabilidade pessoal em toda a regulação digital.

O que está a chegar:

  • Responsabilidade do C-level por infrações ao AI Act (especialmente uso indevido de IA de alto risco)
  • Coimas calculadas sobre a faturação global, à semelhança do GDPR
  • Discussões sobre responsabilidade criminal por negligência grave (em debate em várias comissões)
  • Requisitos obrigatórios de competência em cibersegurança ao nível do Conselho de Administração
  • Atestação em moldes SOX para cibersegurança e resiliência operacional

Impacto:

Os Conselhos de Administração passarão a exigir:

  • Reporte de conformidade contínuo
  • KPIs baseados no risco
  • Responsabilidade clara pelas decisões de ciber + IA
  • Evidência de que a conformidade está integrada, não apenas documentada

Os executivos deixarão de estar isolados das falhas de governação digital.

6. Formalização do Papel do Digital Compliance Officer (DCO)

Isto já não é teórico. Bruxelas está já a sinalizar ; através do AI Act, NIS2, CRA, DORA e dos documentos de orientação em preparação ; que as organizações precisarão de um papel de governação transversal entre regulamentos.

Por que o DCO se torna obrigatório (implicitamente primeiro, explicitamente depois):

  • A governação de IA exige um único ponto de responsabilização
  • O DORA exige supervisão do risco ICT e governação de fornecedores
  • O NIS2 exige responsabilização executiva e coordenação transversal
  • O GDPR já impõe um DPO ; o DCO é a sua evolução para riscos digitais mais abrangentes
  • O CRA exige coordenação entre produto, ciber e controlo de fornecedores

Responsabilidades previstas:

  • Supervisionar a conformidade com o AI Act
  • Coordenar NIS2 + DORA + GDPR + CRA
  • Gerir a supervisão de cloud ao abrigo do EUCS
  • Operar frameworks unificadas de risco e controlo
  • Construir modelos de governação digital alinhados com a regulação
  • Garantir prontidão de evidências para os reguladores
  • Reportar diretamente ao Conselho de Administração e comités executivos

Impacto:

Entre 2026 e 2027, o DCO tornar-se-á tão comum quanto o DPO se tornou após o GDPR. Este será o papel GRC mais estratégico da próxima década.

7. A Próxima Fase: Unificação da Regulação Digital da UE (2027–2030)

Vários documentos internos da UE e grupos de trabalho estão a pressionar por um quadro único e integrado de governação digital para reduzir a fragmentação.

Isto poderá consolidar:

  • GDPR
  • NIS2
  • DORA
  • AI Act
  • Data Act
  • CRA
  • Digital Services Act
  • Digital Markets Act
  • eIDAS 2.0

O que o modelo unificado introduzirá:

  • Uma taxonomia única para o risco digital
  • Um modelo harmonizado de reporte de incidentes
  • Um único framework de controlos para múltiplas leis
  • Auditorias transversais entre regulamentos
  • Cooperação entre autoridades de supervisão partilhadas
  • Uma estrutura pan-europeia de supervisão digital

Impacto:

A conformidade evoluirá de "documentos para auditores"governação digital contínua para reguladores.

É para aí que Bruxelas caminha.

Nota Final

Bruxelas está a construir o primeiro ecossistema completo de governação digital do mundo ; cobrindo dados, IA, cloud, cibersegurança, resiliência e segurança de produto.

A próxima vaga não é abstrata. É concreta, legislada e aplicável entre 2025 e 2027.

As organizações que sobreviverão (e prosperarão) são as que:

  • adotarem governação unificada agora
  • compreenderem o impacto operacional de cada regulamento
  • redesenharem as estratégias de cloud com antecedência
  • prepararem estruturas de responsabilização em matéria de IA
  • nomearem um Digital Compliance Officer
  • construírem conformidade contínua, não auditorias anuais

O futuro digital da Europa é regulado ; de forma inteligente, assertiva e permanente.

A questão já não é "Haverá mais?" É "Está a preparar-se antes de chegar?"

Se pretende um roteiro prático e alinhado com a regulação para o AI Act, Data Act, CRA, NIS2, DORA, EUCS e o surgimento do Digital Compliance Officer, é precisamente isso que ensinamos no Cyber Academy European Digital Governance Program. Junte-se à próxima sessão e mantenha-se um passo à frente da próxima vaga de Bruxelas.

Quer receber a próxima nota de campo na sua caixa de entrada?

A newsletter The GRC Brief. Cinco ligações e um breve comentário, todas as segundas-feiras às 8h CET. Leitura de três minutos.