Este “tsunami” legislativo, que inclui diplomas como a NIS2, DORA, CRA e o AI Act, impõe novas e exigentes obrigações a empresas de todos os setores, representando um desafio de adaptação significativo.

A estratégia, enquadrada na “década digital” da Europa, visa capacitar cidadãos e empresas face às novas tecnologias.

A diretiva NIS2, por exemplo, alarga o âmbito das entidades consideradas críticas, como as dos setores da energia, saúde e transportes, obrigando-as a adotar medidas de cibersegurança mais robustas e a reportar incidentes.

O Digital Operational Resilience Act (DORA) foca-se especificamente no setor financeiro, exigindo que as instituições e os seus fornecedores de tecnologia críticos estejam preparados para resistir a crises digitais. No entanto, alguns especialistas alertam que a ambição do DORA pode esbarrar na falta de orientações técnicas concretas, arriscando-se a tornar-se mais uma norma “de prateleira”. Inês Antas de Barros, da VdA, afirma que “as organizações precisam de se adaptar rapidamente a esta nova realidade”, adotando uma cultura de “segurança by design”. Ricardo Henriques, da Abreu Advogados, alerta para um “ambiente regulatório significativamente mais exigente”, com coimas pesadas e a possibilidade de responsabilização direta da gestão.

Para as PME, que constituem a maior parte do tecido empresarial, a complexidade e os custos de adaptação representam uma barreira considerável.