12 de fevereiro de 2026

Autores

Por Louis Paganuzzi, Paralegal, Sedgwick Legal Services

Créditos adicionais aos autores: Paul Squires – Sócio, Sedgwick Legal Services & Luke Moore – Chefe de Perícia Digital e Resposta a Incidentes, Sedgwick International UK

Uma visão estratégica sobre o regime de segurança cibernética do Reino Unido e o que está por vir.

Resumo executivo

O projeto de lei do governo britânico sobre segurança cibernética e resiliência (redes e sistemas de informação) (o projeto de lei) representa uma atualização substancial do regime cibernético intersetorial do Reino Unido desde os Regulamentos de Redes e Sistemas de Informação de 2018 (os Regulamentos NIS). Isso é feito através da ampliação do escopo regulatório, do aumento dos requisitos de notificação de incidentes, do aumento das responsabilidades da cadeia de suprimentos e do fortalecimento dos poderes de fiscalização. 

Faz parte da agenda mais ampla de segurança nacional do governo e de seus esforços para diminuir a diferença entre as crescentes ameaças cibernéticas e as capacidades de resposta existentes.

Esta visão explica a lógica por trás das reformas, as principais mudanças propostas, quem será afetado e como as organizações devem se preparar.

Por que o regime NIS está sendo atualizado? 

O ambiente de ameaças cibernéticas enfrentado pelas organizações do Reino Unido intensificou-se significativamente, em meio ao rápido ritmo do desenvolvimento tecnológico e ao aumento dos atores apoiados pelo Estado. O Centro Nacional de Segurança Cibernética do Reino Unido relatou um aumento nos incidentes cibernéticos, com incidentes cada vez mais graves e de alto perfil afetando serviços essenciais.

Ao mesmo tempo, reguladores como a ICO têm enfatizado a necessidade de acelerar melhorias na resiliência da cadeia de suprimentos, reconhecendo que as dependências em cadeias de suprimentos longas e interconectadas são uma importante fonte de exposição. Essa é uma das preocupações recorrentes, levantadas nas discussões sobre políticas governamentais, de que os atuais requisitos de notificação de incidentes não estão proporcionando visibilidade suficiente dos riscos sistêmicos enfrentados pelos serviços mais afetados.

O projeto de lei visa garantir que os regulamentos sejam modernizados e reflitam as realidades estruturais da infraestrutura digital atual, em que uma interrupção em um único provedor de serviços pode ter consequências abrangentes em vários setores.

Âmbito ampliado

O projeto de lei amplia significativamente o escopo das organizações sujeitas à regulamentação. Além dos operadores de serviços essenciais e dos prestadores de serviços digitais relevantes existentes, o regime volta sua atenção para a segurança da cadeia de suprimentos, semelhante ao NIS2 da UE. Por exemplo, abrangendo:

  • Provedores de serviços gerenciados (MSPs) – provedores de médio e grande porte (designados como Provedores de serviços gerenciados relevantes)
  • Provedores de serviços de centros de dados – incluindo aqueles acima dos limites de capacidade definidos
  • Certos controladores de carga grande
  • Fornecedores críticos designados – cuja interrupção do serviço poderia afetar significativamente serviços essenciais ou digitais

O âmbito será flexível, com os reguladores tendo autoridade para expandir o regime, permitindo-lhes designar organizações que considerem fornecedores críticos.

Fortalecimento da comunicação de incidentes

O projeto de lei introduz a notificação antecipada de incidentes, limites mais amplos para a notificação e maior compartilhamento de informações.

De acordo com os regulamentos NIS existentes, os incidentes que atingem os limites para notificação devem ser comunicados à entidade reguladora no prazo de 72 horas. O novo projeto de lei alteraria esta posição (em certa medida), alinhando-se com os requisitos previstos na Diretiva NIS2 da UE, que prevê uma notificação inicial no prazo de 24 horas e um acompanhamento no prazo de 72 horas.

No que diz respeito às notificações aos clientes, nos termos dos atuais regulamentos NIS, o prestador é obrigado a notificar a entidade reguladora competente. Essa entidade reguladora pode então proceder à notificação do público ou exigir que o prestador o faça. O projeto de lei propõe alterar esta situação, atribuindo ao próprio prestador a obrigação de notificar diretamente os clientes.

Mecanismos e poderes de execução do Secretário de Estado

O Secretário de Estado também terá poderes adicionais. Isso inclui a capacidade de emitir Códigos de Prática estatutários, bem como Declarações de Prioridades Estratégicas, que descrevem os objetivos do governo para fortalecer a resiliência e a segurança em serviços vitais.

Além disso, o projeto de lei introduz um regime de fiscalização mais rigoroso. Os reguladores terão poderes de investigação ampliados, um novo mecanismo legal de recuperação de custos por meio de esquemas de cobrança e acesso a uma estrutura de penalidades revisada vinculada ao faturamento da organização. As multas máximas aumentam substancialmente, com violações graves sujeitas a penalidades de até £ 17 milhões ou 4% do faturamento global (o que for maior), além de penalidades diárias adicionais por descumprimento e violações contínuas.

Implicações práticas

As organizações já regulamentadas pelo quadro NIS devem avaliar como o projeto de lei pode alterar suas obrigações operacionais, de governança e de prestação de contas, especialmente os serviços prestados por meio de provedores de serviços gerenciados. 

Luke Moore, chefe de Serviços de Perícia Digital e Resposta a Incidentes da Sedgwick, comenta que “a nova legislação reforça que a segurança cibernética é agora, mais do que nunca, uma responsabilidade da diretoria. Atender a esses requisitos começa com clareza sobre sua infraestrutura e os dados que você possui, porque você não pode cumprir sem saber o que opera e protege. O projeto de lei destaca uma mudança em direção a ações antecipadas, monitoramento mais forte e capacidades de resposta testadas.

Estamos trabalhando com nossos clientes para tomar medidas agora, verificar seus controles e entender suas infraestruturas e riscos operacionais, para que estejam em uma posição muito mais forte quando as novas obrigações regulatórias entrarem em vigor.

É claro que o projeto de lei está apenas no início de sua tramitação parlamentar, com sua segunda leitura concluída no início de janeiro de 2026. O projeto de lei entrará agora na fase de comissão, onde será realizada uma análise detalhada cláusula por cláusula. Incentivamos as organizações a acompanharem a evolução do projeto de lei à medida que ele avança no Parlamento, garantindo que estejam preparadas para as reformas propostas e para um ambiente de conformidade mais rigoroso no futuro.

Como podemos ajudar

A Sedgwick aconselha as organizações a abordarem o projeto de lei não apenas como um obstáculo à conformidade, mas como uma oportunidade estratégica para fortalecer a resiliência, a governança e a confiança diante dos riscos emergentes. Nossas equipes especializadas em perícia digital e jurídica auxiliam com:

  • Auditorias de resiliência de governança cibernética e estruturas de relatórios
  • Revisões contratuais para cláusulas de segurança da cadeia de suprimentos e gatilhos de escalonamento
  • Desenvolvimento de manuais de procedimentos para incidentes e protocolos de comunicação ao conselho de administração
  • Interpretação das obrigações e limites específicos do setor

Além disso, oferecemos serviços jurídicos e de conformidade integrados que permitem às empresas:

  • Atenda proativamente às expectativas regulatórias
  • Comunicar a prontidão aos clientes, conselhos e partes interessadas
  • Alinhar os investimentos em tecnologia com as obrigações legais emergentes
  • Aumente a resiliência nas operações, tecnologia e cadeias de abastecimento

Além do apoio jurídico e regulatório fornecido pela Sedgwick Legal Services, você pode fortalecer sua posição adotando medidas operacionais complementares que ajudam a demonstrar capacidade real por meio dos Serviços de Perícia Digital e Resposta a Incidentes da Sedgwick:

  • Auditorias independentes de avaliação cibernética que validam a eficácia dos controles e identificam pontos fracos 
  • Testes proativos e monitoramento contínuo para demonstrar resiliência contra ameaças emergentes 
  • Avaliações direcionadas de mineração de dados para mapear os dados que você possui, onde eles residem e onde pode haver exposição 
  • Relatórios internos aprimorados para que as conclusões técnicas se traduzam em informações claras e acionáveis para a governança

A resiliência cibernética é agora um requisito empresarial. O projeto de lei sinaliza uma mudança da conformidade passiva para a capacidade ativa. As organizações que combinam uma orientação jurídica sólida com uma visão operacional baseada em evidências estarão em melhor posição para liderar com confiança, continuidade e controle.

Para mais informações, entre em contato com:

Tags: cibernética crime cibernético Resiliência cibernética Risco cibernético segurança cibernética

Mais artigos como este

Atendendo às necessidades dos trabalhadores de hoje: por que a intervenção precoce da enfermagem é a nova porta de entrada para melhores resultados nas reclamações Perspectivas

Atendendo às necessidades dos trabalhadores de hoje: por que a intervenção precoce da enfermagem é a nova porta de entrada para melhores resultados nas reclamações

Preparação da propriedade antes das comemorações da Copa do Mundo, jogos e muito mais Perspectivas

Preparação da propriedade antes das comemorações da Copa do Mundo, jogos e muito mais

Antecipando-se aos riscos do calor: estratégias essenciais de prevenção para empregadores   Perspectivas

Antecipando-se aos riscos do calor: estratégias essenciais de prevenção para empregadores  

Idiomas