Durante o verão, assistimos à entrada em vigor da segunda fase do Regulamento da Inteligência Artificial (IA) da União Europeia (UE), com a introdução de obrigações aplicáveis aos modelos de IA de uso geral (GPAI – General Purpose AI). Ao abrigo da legislação, todos os fornecedores de GPAI dispõem de dois anos para assegurar o cumprimento das obrigações em matéria de direitos de autor e de transparência.
De forma crucial, estas exigências aplicam-se a qualquer organização que utilize modelos de GPAI com operações na UE, e não apenas a empresas sediadas no espaço europeu. As fases finais do Regulamento da IA da UE deverão ser implementadas nos verões de 2026 e 2027, mas a legislação já é amplamente reconhecida como um referencial central para a governação global da inteligência artificial.
Como a IA e a NIS2 se articulam
No entanto, embora o Regulamento da IA da UE apresente recomendações sobre aquilo que considera serem princípios e requisitos fundamentais em matéria de cibersegurança, não chega a definir medidas de cibersegurança verdadeiramente abrangentes. Em vez disso, a legislação depende da articulação com outros enquadramentos normativos para garantir boas práticas de cibersegurança, incluindo a Directiva NIS2.
A Directiva NIS2 (Directiva relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança em toda a União) vem aprofundar as regras de cibersegurança inicialmente introduzidas pela UE há quase uma década. O seu objectivo central é estabelecer medidas legais destinadas a reforçar a resiliência cibernética em todos os Estados-Membros, promovendo simultaneamente melhorias na preparação e nas competências em matéria de cibersegurança.
Há apenas algumas semanas, foi revelado que vários Estados-Membros da UE estão sob crescente pressão da Comissão Europeia por não terem transposto a NIS2 para o direito nacional, falhando o prazo de implementação que terminou há 12 meses. De acordo com a Comissão, Bulgária, França, Irlanda, Luxemburgo, Países Baixos, Portugal, Espanha e Suécia encontram-se em atraso.
O impacto para as instituições financeiras
A NIS2 aplica-se a todos os operadores de serviços “essenciais” e de infra-estruturas digitais, especialmente nos sectores considerados de alto risco, entre os quais se incluem os serviços financeiros. Assim, as instituições financeiras que implementam ou desenvolvem soluções de IA devem assegurar que a sua postura e práticas de cibersegurança estão alinhadas com a NIS2 em diversas áreas, nomeadamente:
- Notificação de incidentes: comunicação de potenciais violações ou incidentes de cibersegurança no prazo de 24 horas após a sua detecção inicial, seguida de uma segunda notificação no prazo de 72 horas com informação actualizada, e de um relatório final no prazo de um mês após a primeira detecção.
- Gestão do risco: implementação de políticas específicas de gestão de riscos de cibersegurança, incluindo formação, análise de riscos e resposta a incidentes, encriptação e criptografia, divulgação de vulnerabilidades e segurança da cadeia de fornecimento de TIC.
- Órgãos de gestão: criação de órgãos de gestão responsáveis por aprovar e supervisionar a implementação de todas as medidas de gestão de riscos de cibersegurança. Os membros designados para estes órgãos devem frequentar formação regular em cibersegurança.
A formação é fundamental
Um dos principais pontos comuns a todos os enquadramentos, directivas e diplomas legislativos existentes no panorama regulatório aplicável a bancos e instituições financeiras é a forte ênfase na formação — em particular na formação em cibersegurança.
Contudo, isto exige frequentemente uma mudança cultural, uma vez que, demasiadas vezes, a formação em cibersegurança e a preparação cibernética são encaradas como um mero exercício de cumprimento formal ou como uma iniciativa anual isolada. Desenvolver uma mentalidade de prontidão contínua em matéria de cibersegurança é essencial — não se trata apenas das ferramentas e sistemas existentes para lidar com uma ameaça, mas de promover uma cultura holística de cibersegurança em toda a organização.
Isso implica um compromisso sólido com a aprendizagem e o desenvolvimento, incluindo formação contínua e actualização regular de competências dos colaboradores. As organizações financeiras que adoptarem esta abordagem e investirem em exercícios regulares de cibersegurança, como simulações e cenários de resposta a crises, estarão melhor preparadas para cumprir todas as exigências legislativas que se avizinham.
Disclaimer: Este artigo é uma tradução autorizada do original intitulado “The EU AI Act and the NIS2 Directive: What does increased legislation mean for Banks and Fintechs?” escrito por Aare Reintam e publicado originalmente no site Finextra. A tradução foi realizada pela equipa do FintechAO que assume total responsabilidade por eventuais imprecisões na adaptação para o português.
Aare Reintam
Aare Reintam é COO e membro do Conselho Executivo da CybExer Technologies. Foi gestor de exercícios de ciberdefesa no Centro de Excelência de Defesa Cibernética Cooperativa da NATO e desempenhou também funções na Agência Nacional de Cibersegurança da Estónia. É docente com experiência internacional e recebeu a Ordem da Estrela Branca do Presidente da Estónia, Alar Karis, pelo contributo no reforço da ciberdefesa da Ucrânia. Nos últimos anos, tem-se dedicado à criação de cyber ranges e à realização de exercícios para os sectores militar, privado e de infraestruturas críticas.