A Comissão Europeia deu um passo que muitos especialistas tinham tempo a exigir: passar de recomendações voluntárias a regras que obriguem a endurecer a segurança das redes de telecomunicações e das cadeias de fornecimento de tecnologia crítica. Após anos em que a Caixa de ferramentas de segurança 5G funcionou como guia, a nova proposta legislativa eleva a nível normativo medidas que visam reduzir a dependência de fornecedores considerados de alto risco e melhorar a capacidade coletiva para enfrentar ataques apoiados por estados ou organizações criminosas.
No coração da iniciativa está a faculdade para organizar avaliações de risco a nível europeu e, com base nelas, apoiar restrições ou proibições sobre equipamentos considerados inseguros em infra-estruturas sensíveis. A Comissão propõe que os Estados-Membros realizem avaliações conjuntas sobre 18 sectores críticos, tendo em conta a origem dos fornecedores e as implicações para a segurança nacional, o que obrigaria a harmonizar critérios até agora aplicados de forma desigual.
Esta linha é complementada com uma revisão do Ato de Cibersegurança que introduz, entre outras coisas, a obrigação de retirar fornecedores estrangeiros de alto risco das redes móveis europeias. A proposta não aponta por nome a fabricantes concretos, mas não é segredo que as preocupações anteriores da Comissão incluíram empresas de determinados países que, por sua posição no mercado e sua relação com governos estrangeiros, têm estado sob escrutínio desde a adopção da caixa de ferramentas 5G em 2020. Mais pormenores sobre a implementação inicial dessa caixa podem ser consultados na comunicação oficial da Comissão aos Estados-Membros.
A comisaria responsável pela tecnologia, Henna Virkkunen, sublinhou a natureza estratégica destas ameaças: não são apenas desafios técnicos, mas riscos para a democracia, a economia e o modo de vida europeu. No seu comunicado, a Comissão descreve a proposta como medida para reforçar a soberania tecnológica e a protecção colectiva das infra-estruturas críticas segundo suas palavras públicas.
Uma peça chave nesta reforma é o reforço do papel da Agência da União para a Cibersegurança (ENISA). Sob o novo quadro, a ENISA poderá emitir alertas precoces sobre ameaças, gerir um ponto único europeu para a notificação de incidentes e coordenar assistência a empresas em casos como ataques de ransomware, em cooperação com a Europol e com equipamentos de resposta a incidentes informáticos dos Estados-Membros. NaISA também liderará esquemas de certificação voluntária mais ágils, pensados para reduzir encargos regulamentares e custos operacionais para as empresas que se submetem a eles. Mais informações sobre a agência em seu site oficial.
Para além da gestão de incidentes e certificações, a Comissão propõe medidas destinadas a eliminar a escassez de talentos: o pacote prevê a criação de esquemas de acreditação de competências e um piloto de uma Academia de Habilidades em Cibersegurança Para formar a próxima geração de especialistas em toda a UE. A ideia é que, além de endurecer regras, há capacidade humana suficiente para aplicá-las e reagir às ameaças em tempo real.
Se for aprovada, a revisão do Acto de Cibersegurança entrará em vigor imediatamente e os Estados-Membros terão um prazo de um ano para transpor as alterações às suas legislações nacionais. Esse calendário introduz uma janela curta para operadores, reguladores e fornecedores: a eliminação de equipamentos considerados de alto risco implica desafios técnicos e econômicos importantes, e exigirá planos de substituição e financiamento em muitos casos.
As consequências práticas são profundas. Para os operadores de redes móveis significará acelerar auditorias, planos de desinvestimento ou substituição de tecnologia e possíveis investimentos em alternativas mais caras ou menos maduras. Para os fornecedores, constitui um incentivo para demonstrar transparência na sua cadeia de fornecimento e na sua governação corporativa, e para oferecer garantias técnicas que permitam a certificação europeia. Do ponto de vista geopolítico, a medida procura reduzir vectores de pressão externa e limitar a dependência tecnológica de intervenientes estatais com interesses estratégicos contrapostos aos da UE.
A medida levanta debates complexos: a UE terá de equilibrar segurança, concorrência e custos. Existem riscos de que a retirada rápida de equipamentos produza interrupções temporárias ou aumente o custo das redes, com impacto em tarifas e implantaçãos, especialmente em áreas rurais. Há também que considerar as implicações do comércio internacional e as possíveis réplicas diplomáticas. Mesmo assim, a ambição é clara: priorizar a resiliência e a segurança acima de lucros a curto prazo.
No domínio operacional, a coordenação com a Europol e os CSIRT nacionais deve melhorar a detecção e resposta a ataques cibernéticos, mas também exigirá uma maior confiança entre Estados-Membros e um intercâmbio de informações sensíveis. A Europol, enquanto organismo com experiência em matéria de luta contra a ciberdelinquência e apoio a investigações transfronteiriças, será um aliado na resposta a incidentes graves; pode consultar-se o seu papel e as suas capacidades. seu site institucional.
Para empresas e profissionais de cibersegurança a recomendação prática é clara: antecipar-se. Auditar dependências na cadeia de abastecimento, acelerar processos de certificação quando possível, e preparar planos de continuidade que contemplem a substituição de equipamentos ou fornecedores são passos que reduzirão o custo e o risco de uma transição forçada. Ao mesmo tempo, aproveitar as iniciativas de formação e acreditação previstas pode transformar uma obrigação regulamentar numa oportunidade para reforçar capacidades internas.
Em síntese, este pacote legislativo pretende traduzir a vontade política de defender a infra-estrutura digital europeia em ferramentas tangíveis: avaliações conjuntas de risco, capacidade de restringir fornecedores, certificações mais rápidas e uma agência com maior mandato operacional. A eficácia final dependerá da rapidez da implementação, da disponibilidade de alternativas tecnológicas e do grau de cooperação entre governos, reguladores e setor privado. Continuaremos de perto o processo de aprovação no Parlamento Europeu e no Conselho, que marcará como se equilibra a segurança, a soberania tecnológica e os custos nos próximos anos.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...