O que a ordem realmente exige
Em 22 de junho de 2026, uma ordem executiva dos EUA fixou prazos definidos para a migração da criptografia federal para padrões pós-quânticos. Os sistemas federais sensíveis, descritos na ordem como ativos de alto valor e sistemas de alto impacto, têm de transitar para o estabelecimento de chaves pós-quântico até 31 de dezembro de 2030, com as assinaturas digitais, o mecanismo por trás da autenticação, a seguir até ao final de 2031. A ordem enquadra isto como proteção contra um futuro em que os computadores quânticos em larga escala consigam quebrar a cifragem de uso generalizado atualmente.
A parte que vai além do governo é a contratação. A ordem determina que o conselho responsável publique uma regra proposta que exija dos contratantes federais abrangidos a conformidade com os padrões NIST FIPS relevantes, incluindo os que incorporam algoritmos pós-quânticos, até 31 de dezembro de 2030. Essa regra dos contratantes ainda está em fase proposta, pelo que o seu alcance preciso pode alterar-se antes de ser final. A direção do movimento, no entanto, é clara: a prontidão pós-quântica está a deixar de ser um tema de especialistas para se tornar uma condição para fazer negócios com o governo federal dos EUA.
Por que um mandato dos EUA recai sobre um proprietário alemão
Uma empresa alemã não está diretamente vinculada por uma ordem executiva dos EUA. O mecanismo que importa é a cadeia de fornecimento. Quando um requisito é escrito nos contratos federais dos EUA, tende a descer através dos contratantes principais até aos seus subcontratantes e fornecedores, onde quer que estejam. Um fornecedor do Mittelstand, um prestador de serviços ou um veículo de family office que toque num contrato federal dos EUA pode ver chegar uma cláusula pós-quântica vinda de um cliente, e não de um regulador, no calendário do cliente e não num que você escolheu.
O alerta do colher-agora-decifrar-mais-tarde é a razão pela qual isto não pode simplesmente esperar até 2030. A ordem afirma claramente que os adversários podem recolher informação cifrada agora e decifrá-la mais tarde, assim que os computadores quânticos forem capazes. Isso reformula os dados protegidos hoje como já em risco, se tiverem de permanecer confidenciais durante anos. Contratos, registos financeiros, dados de saúde e pessoais, e qualquer coisa com uma vida de sigilo longa são as categorias expostas, porque ainda precisam de resistir quando a cifragem que os envolve já não resistir.
O que vale a pena fazer agora, e o que deixar para depois
A resposta ponderada não é correr para comprar nova criptografia. Como a regra dos contratantes ainda é uma proposta e os padrões ainda estão a assentar, a migração técnica pode seguir o calendário que a ordem define. O que não deve esperar é o trabalho de inventário do qual depende cada passo posterior. Isso significa saber quais dos seus fluxos de dados são genuinamente sensíveis, por quanto tempo cada um tem de permanecer confidencial e quais relações com clientes poderiam transportar um requisito pós-quântico até si. Nada disso exige ainda decisões técnicas profundas.
Esta é uma questão de governança antes de ser um projeto de TI, e é uma que um proprietário está bem posicionado para enquadrar. Tratar 2030 como o prazo subestima o ponto essencial, porque os dados que você envia hoje são aquilo em que um adversário de decifrar-mais-tarde está interessado agora. Um mapa curto e honesto dos dados sensíveis de vida longa e dos contratos expostos transforma um mandato estrangeiro distante num conjunto de decisões que você pode tomar de forma deliberada, na ordem que convém ao seu negócio e não ao ciclo contratual de um cliente. Isto é uma exposição sobre o que a ordem diz e o que implica, e não aconselhamento jurídico sobre as suas obrigações específicas.
Leia a seguir: O Relógio de 24 Horas Começa a Contar · O seu dever de ciberseguranca agora e pessoal