O aumento exponencial de ataques cibernéticos contra infraestruturas críticas, serviços essenciais e cadeias de suprimentos digitais colocou a segurança da informação no centro da estratégia regulatória global.  

Em resposta a esse cenário, a União Europeia (UE) fortaleceu seu arcabouço normativo com a Diretiva NIS2, que substitui e amplia a NIS de 2016. 

Mais do que uma simples atualização legislativa, representa uma mudança estrutural na forma como a cibersegurança é tratada pelas organizações.

Ou seja, deixa de ser apenas uma questão técnica e operacional e passa a ser uma responsabilidade estratégica de governança cibernética. 

A diretiva estabelece um nível comum e obrigatório de cibersegurança para os Estados-Membros da UE, ampliando significativamente o escopo dos setores regulados e harmonizando medidas de proteção para infraestruturas críticas.  

Assim como reforça exigências relacionadas à gestão de riscos, notificação de incidentes, continuidade de negócios e segurança da cadeia de suprimentos.  

Conforme as previsões da Gartner, de 2025, 45% das organizações globais sofreram ataques em suas cadeias de fornecimento de software. 

Ainda segundo o reporte Data Breach Investigation, da Verizon, 30% de todas as violações de dados agora envolvem terceiros. 

Diante desse cenário, a NIS2 propõe uma abordagem proativa para o gerenciamento de riscos da cadeia de suprimentos, exigindo que as organizações avaliem a maturidade de segurança de seus fornecedores, implementem controles baseados em risco e fortaleçam sua capacidade de resposta a incidentes.  

Quer entender em mais detalhes o que muda com essa alteração? Continue a leitura e descubra como a nova Diretiva NIS2 redefine a governança cibernética em nível global e seus impactos diretos na cibersegurança e resiliência digital! 

Detalhes sobre o novo pacote de cibersegurança da UE

Em janeiro de 2026, a Comissão Europeia apresentou um novo pacote de cibersegurança unificado com o objetivo de reforçar a resiliência e a governança cibernética em 18 setores críticos de toda a UE.  

Neste caso, a ENISA passa a ter um papel ainda mais estratégico, oferecendo suporte técnico às organizações que operam na UE e emitindo alertas precoces sobre ameaças e incidentes cibernéticos. A proposta ainda inclui atualizações específicas para:

• aumentar a clareza jurídica;
• reduzir ambiguidades regulatórias;
• simplificar obrigações de conformidade.  

Estima-se que cerca de 28.700 organizações sejam impactadas pelas medidas, incluindo aproximadamente 6.200 PMEs, que passam a ter diretrizes mais claras e alinhadas ao princípio da proporcionalidade regulatória. 

Além disso, o pacote reforça a obrigatoriedade de cada Estado-Membro adotar e manter uma estratégia nacional de cibersegurança, contemplando: 

• segurança da cadeia de suprimentos; 
• gestão contínua de vulnerabilidades; 
• programas de educação, capacitação e conscientização em cibersegurança; 
• planos de resposta e recuperação a incidentes. 

Como destacou Henna Virkkunen, Vice-Presidente Executiva da Comissão Europeia para a Soberania Tecnológica, Segurança e Democracia: 

“As ameaças de cibersegurança não são apenas desafios técnicos — são riscos estratégicos para nossa democracia, economia e modo de vida.” 

Portanto, essa visão reforça um dos principais avanços da NIS2: a elevação da cibersegurança ao nível executivo, introduzindo a responsabilização da alta administração pelo descumprimento das medidas de gestão de riscos. 

Quais empresas são impactadas com a atualização das regras de cibersegurança?

Segundo a proposta preliminar, as regras terão como alvo 18 setores considerados essenciais, como energia, varejo, transporte, serviços bancários, saúde, administração pública, entre outros.  

O pacote também reforça a segurança da cadeia de suprimentos e impõe requisitos adicionais a fornecedores de serviços críticos e internacionais. 

Por exemplo, operadoras de redes móveis passam a ter 36 meses para eliminar o uso de componentes de fornecedores de alto risco.  

Assim, a nova diretiva eleva o nível de maturidade da cibersegurança por meio de um escopo mais amplo, regras mais claras e ferramentas de supervisão mais robustas. 

Como a NIS2 influencia a governança cibernética global? 

Certamente, a cooperação internacional é essencial em cibersegurança. Ela complementa e fortalece as principais tarefas da ENISA. 

Isto é, com o objetivo de alcançar um alto nível comum de cibersegurança em toda a União — especialmente diante do cenário digital atual, em que tudo está cada vez mais interconectado. 

Nesse contexto, as ameaças cibernéticas não conhecem fronteiras e, portanto, a cooperação torna-se indispensável. Por isso, a ENISA busca estabelecer um envolvimento estratégico com seus parceiros internacionais. 

Além disso, as alterações propostas visam introduzir uma governança global mais ágil e transparente, ampliando o envolvimento das partes interessadas por meio de informações públicas e consultas. 

Sob essa perspectiva, a NIS2 não é apenas uma norma europeia, mas um sinal de maturidade global sobre como a segurança deve ser tratada nas operações industriais.  

Ela inspira empresas brasileiras a repensarem seus processos, tecnologias e sua governança para garantir resiliência e competitividade em um cenário cada vez mais conectado. 

Por fim, ao investir em visibilidade, controle de versões, soluções de backups e rastreabilidade de ativos, as organizações dão um passo concreto rumo à conformidade com padrões internacionais — e, acima de tudo, à continuidade segura de suas operações. 

Impactos da atualização para o Brasil 

O Brasil foi o país com o maior percentual de aumento nos ataques cibernéticos, registrando uma média de 3.520 ataques por organização por semana, um avanço de 38% em relação ao ano anterior. 

Num cenário de ameaças em constante evolução, em que os incidentes de cibersegurança assumem maior gravidade, é fundamental reforçar a confiança: 

• Dos cidadãos, 
• Das autoridades públicas, 
• Das empresas. 

Mesmo que o Brasil ainda não tenha um regulamento equivalente à NIS2, as empresas que operam com parceiros europeus — ou que fazem parte de cadeias produtivas globais — já sentem sua influência. 

Além disso, a diretiva estabelece uma base sólida que serve como referência para qualquer indústria que queira fortalecer sua postura de segurança e governança cibernética. Ela antecipa o que deve se tornar padrão:  

• Transparência; 
• Rastreabilidade; 
• Responsabilidade compartilhada em toda a cadeia de valor. 

Para cumprir as exigências de governança, rastreabilidade e resposta a incidentes previstas pela NIS2, as empresas precisam de visibilidade total sobre o ambiente operacional — algo que vai além da segurança de rede tradicional. 

Ferramentas e plataformas de gestão centralizada de configurações, backups e versões de dispositivos industriais têm papel essencial nesse cenário. 

Essas capacidades são justamente o elo entre o que a norma define e o que as operações industriais precisam. Afinal, não se protege o que não se conhece e não se controla o que não se rastreia. 

Portanto, a NIS2 é clara: já não basta proteger o que é crítico à primeira vista. É necessário identificar todos os ativos, avaliar os riscos associados e definir medidas proporcionais para cada um deles.

Nesse caso, fornecedores e parceiros deixam de ser um “ponto cego” em termos de cibersegurança.   

Comece hoje sua jornada de adequação e conformidade regulatória para alcançar a maturidade digital, resiliência e governança cibernética. 

Fale agora com um especialista!