O que a Comissão anunciou de facto

A 7 de julho de 2026 a Comissão Europeia apresentou o seu Plano de Ação sobre cibersegurança e inteligência artificial, e a vice-presidente executiva Henna Virkkunen disse-o sem rodeios, que a IA está a transformar o significado da cibersegurança e a União tem de acompanhar o ritmo. O que impressiona é o que o plano não contém, nenhuma lei nova. Em vez disso promove a aplicação de regras já em vigor, a Diretiva NIS2, o Regulamento de Ciber-resiliência e o Regulamento da IA. Há três movimentos concretos lá dentro, uma capacidade de avaliação da UE para as capacidades e riscos dos modelos de IA avançados, um projeto europeu e uma plataforma segura de testes construída com a agência europeia de cibersegurança ENISA para que os setores críticos experimentem IA sem perigo, e um EU Grand Challenge que financia investigadores e empresas para construir defesa com IA. Lê-se menos como um livro de regras e mais como uma decisão sobre onde a Europa põe as próprias mãos.

Porque o plano constrói a sua própria capacidade de teste

O centro de gravidade é a capacidade de avaliação da UE. O Regulamento da IA já exige avaliar o risco dos modelos avançados antes de chegarem ao mercado, e o plano diz que a Europa vai reforçar a avaliação independente em vez de aceitar que um fornecedor corrija o seu próprio trabalho. É tanto uma afirmação de soberania como de segurança, porque a maioria dos modelos de ponta é americana e a Europa não quer depender dos laboratórios que os constroem para certificar que são seguros. A plataforma segura de testes estende a mesma lógica aos operadores, dando a bancos, hospitais e operadores de rede um lugar controlado para experimentar IA avançada sem expor os sistemas de produção. E o momento pesa, porque a partir de 2 de agosto de 2026 a Comissão ganha os seus poderes de aplicação sobre a IA de uso geral, incluindo o direito de exigir informação e medidas aos fornecedores. O plano é o andaime que se levanta mesmo antes dessa data.

O que um operador retira disto

Nada de novo cai esta semana na sua mesa de conformidade, e é esse o ponto a interiorizar. As suas obrigações ao abrigo da NIS2 e do Regulamento de Ciber-resiliência não mudam, mas passam a estar dentro de um quadro explícito de ameaça por IA, porque os mesmos modelos que redigem os seus relatórios também podem automatizar o reconhecimento, escrever código de ataque e escalar uma intrusão mais depressa do que uma equipa humana reage. Se opera um serviço de setor crítico, conte que a plataforma segura de testes se torne a via oficial para provar uma implantação de IA antes de tocar em cargas reguladas, e conte que a sua autoridade nacional, em Portugal o CNCS, traduza o projeto em orientações pelas quais será medido. A ação não é arquivar papel, é o ritmo, porque uma defesa afinada contra atacantes humanos enfrenta agora atacantes máquina.