12 de fevereiro de 2026

Autores

Por Louis Paganuzzi, Paralegal, Sedgwick Legal Services

Créditos adicionais aos autores: Paul Squires – Sócio, Sedgwick Legal Services & Luke Moore – Diretor de Perícia Digital e Resposta a Incidentes, Sedgwick International UK

Uma visão estratégica sobre o regime de segurança cibernética do Reino Unido e o que está por vir.

Resumo executivo

O projeto de lei do Governo do Reino Unido sobre segurança cibernética e resiliência (redes e sistemas de informação) (o projeto de lei) representa uma atualização substancial do regime cibernético intersetorial do Reino Unido desde os Regulamentos de Redes e Sistemas de Informação de 2018 (os Regulamentos NIS). Ele faz isso ampliando o escopo regulatório, aumentando os requisitos de notificação de incidentes, proporcionando maiores responsabilidades à cadeia de suprimentos e fortalecendo os poderes de fiscalização. 

Faz parte da agenda mais ampla de segurança nacional do governo e do seu esforço para colmatar a lacuna entre as crescentes ameaças cibernéticas e as capacidades de resposta existentes.

Esta visão explica a lógica por trás das reformas, as principais mudanças propostas, quem será afetado e como as organizações devem se preparar.

Por que o regime NIS está a ser atualizado? 

O ambiente de ameaças cibernéticas enfrentado pelas organizações do Reino Unido intensificou-se significativamente, em meio ao rápido ritmo do desenvolvimento tecnológico e ao aumento dos atores apoiados pelo Estado. O Centro Nacional de Segurança Cibernética do Reino Unido relatou um aumento nos incidentes cibernéticos, com incidentes cada vez mais graves e de grande visibilidade afetando serviços essenciais.

Ao mesmo tempo, reguladores como a ICO têm enfatizado a necessidade de acelerar melhorias na resiliência da cadeia de abastecimento, reconhecendo que as dependências em cadeias de abastecimento longas e interconectadas são uma importante fonte de exposição. Essa é uma das preocupações recorrentes, levantadas nas discussões sobre políticas governamentais, de que os atuais requisitos de notificação de incidentes não estão a fornecer visibilidade suficiente dos riscos sistémicos enfrentados pelos serviços mais afetados.

O projeto de lei visa garantir que os regulamentos sejam modernizados e reflitam as realidades estruturais da infraestrutura digital atual, onde uma interrupção em um único provedor de serviços pode ter consequências abrangentes em vários setores.

Âmbito alargado

O projeto de lei amplia significativamente o âmbito das organizações sujeitas à regulamentação. Além dos operadores de serviços essenciais e dos prestadores de serviços digitais relevantes existentes, o regime volta a sua atenção para a segurança da cadeia de abastecimento, semelhante ao NIS2 da UE. Por exemplo, abrangendo:

  • Provedores de serviços gerenciados (MSPs) – provedores de médio e grande porte (designados como Provedores de serviços gerenciados relevantes)
  • Prestadores de serviços de centros de dados – incluindo aqueles acima dos limites de capacidade definidos
  • Certos controladores de carga grande
  • Fornecedores críticos designados – onde a interrupção do serviço poderia afetar significativamente serviços essenciais ou digitais

O âmbito será flexível, com os reguladores tendo autoridade para expandir o regime, permitindo-lhes designar organizações que considerem fornecedores críticos.

Reforço da comunicação de incidentes

O projeto de lei introduz a comunicação antecipada de incidentes, limites mais amplos para a comunicação e um maior intercâmbio de informações.

De acordo com os regulamentos NIS existentes, os incidentes que atingem os limites para notificação devem ser comunicados à entidade reguladora no prazo de 72 horas. O novo projeto de lei alteraria esta posição (em certa medida), alinhando-se com os requisitos previstos na Diretiva NIS2 da UE, que prevê uma notificação inicial no prazo de 24 horas e um acompanhamento no prazo de 72 horas.

Quanto às notificações aos clientes, nos termos dos regulamentos NIS atuais, o fornecedor é obrigado a notificar a entidade reguladora competente. Essa entidade reguladora pode então proceder à notificação do público ou exigir que o fornecedor o faça. O projeto de lei propõe alterar esta situação, atribuindo ao próprio fornecedor a obrigação de notificar diretamente os clientes.

Mecanismos e poderes de execução do Secretário de Estado

O Secretário de Estado também terá poderes adicionais. Isso inclui a capacidade de emitir Códigos de Prática estatutários, bem como Declarações de Prioridades Estratégicas, que descrevem os objetivos do governo para fortalecer a resiliência e a segurança em serviços vitais.

Além disso, o projeto de lei introduz um regime de fiscalização mais rigoroso. Os reguladores terão poderes de investigação ampliados, um novo mecanismo legal de recuperação de custos por meio de esquemas de cobrança e acesso a uma estrutura de penalidades revisada vinculada ao faturamento da organização. As multas máximas aumentam substancialmente, com violações graves sujeitas a penalidades de até £ 17 milhões ou 4% do faturamento global (o que for maior), além de penalidades diárias adicionais por descumprimento e violações contínuas.

Implicações práticas

As organizações já regulamentadas pelo quadro NIS devem avaliar como o projeto de lei pode alterar as suas obrigações operacionais, de governança e de comunicação, particularmente os serviços prestados por meio de provedores de serviços gerenciados. 

Luke Moore, diretor de Serviços de Perícia Digital e Resposta a Incidentes da Sedgwick, comenta que “a nova legislação reforça que a segurança cibernética é agora, mais do que nunca, uma responsabilidade que cabe, em última instância, ao conselho de administração. O cumprimento desses requisitos começa com clareza sobre a sua infraestrutura e os dados que possui, pois não é possível estar em conformidade sem saber o que opera e protege. O projeto de lei destaca uma mudança em direção a ações antecipadas, monitoramento mais rigoroso e capacidades de resposta testadas.

Estamos a trabalhar com os nossos clientes para tomar medidas agora, verificar os seus controlos e compreender as suas infraestruturas e riscos operacionais, para que estejam numa posição muito mais forte quando as novas obrigações regulamentares entrarem em vigor.

É claro que o projeto de lei está apenas no início de sua tramitação parlamentar, com sua segunda leitura concluída no início de janeiro de 2026. O projeto de lei entrará agora na fase de comissão, onde será realizada uma análise detalhada cláusula por cláusula. Incentivamos as organizações a acompanharem a evolução do projeto de lei à medida que ele avança no Parlamento, garantindo que estejam preparadas para as reformas propostas e para um ambiente de conformidade mais rigoroso no futuro.

Como podemos ajudar

A Sedgwick aconselha as organizações a abordarem o projeto de lei não apenas como um obstáculo à conformidade, mas como uma oportunidade estratégica para fortalecer a resiliência, a governança e a confiança diante dos riscos emergentes. As nossas equipas especializadas em perícia digital e jurídica prestam assistência nas seguintes áreas:

  • Auditorias de resiliência de governança cibernética e estruturas de relatórios
  • Revisões contratuais para cláusulas de segurança da cadeia de abastecimento e gatilhos de escalonamento
  • Desenvolvimento de manuais de procedimentos para incidentes e protocolos de comunicação ao conselho de administração
  • Interpretação das obrigações e limites específicos do setor

Além disso, oferecemos serviços jurídicos e de conformidade integrados que permitem às empresas:

  • Atender proativamente às expectativas regulatórias
  • Comunicar a prontidão aos clientes, conselhos e partes interessadas
  • Alinhar os investimentos em tecnologia com as obrigações legais emergentes
  • Aumente a resiliência nas operações, tecnologia e cadeias de abastecimento

Além do apoio jurídico e regulatório fornecido pela Sedgwick Legal Services, pode fortalecer a sua posição adotando medidas operacionais complementares que ajudam a demonstrar a capacidade real através dos Serviços de Investigação Forense Digital e Resposta a Incidentes da Sedgwick:

  • Auditorias independentes de avaliação cibernética que validam a eficácia dos controlos e identificam pontos fracos 
  • Testes proativos e monitoramento contínuo para demonstrar resiliência contra ameaças emergentes 
  • Avaliações direcionadas de mineração de dados para mapear os dados que possui, onde eles residem e onde pode haver exposição 
  • Melhoria nos relatórios internos para que as conclusões técnicas se traduzam em informações claras e acionáveis para a governança

A resiliência cibernética é agora um requisito empresarial. O projeto de lei sinaliza uma mudança da conformidade passiva para a capacidade ativa. As organizações que combinam uma orientação jurídica sólida com uma visão operacional baseada em evidências estarão em melhor posição para liderar com confiança, continuidade e controlo.

Para mais informações, entre em contacto com:

Tags: cibernética crime cibernético Resiliência cibernética Risco cibernético segurança cibernética

Mais artigos como este

Por que os primeiros 14 dias são os mais importantes em reclamações de responsabilidade civil Conhecimentos

Por que os primeiros 14 dias são os mais importantes em reclamações de responsabilidade civil

Atender às necessidades dos trabalhadores de hoje: por que a intervenção precoce da enfermagem é a nova porta de entrada para melhores resultados nas reclamações Conhecimentos

Atender às necessidades dos trabalhadores de hoje: por que a intervenção precoce da enfermagem é a nova porta de entrada para melhores resultados nas reclamações

Preparação da propriedade antes das comemorações da Copa do Mundo, jogos e muito mais Conhecimentos

Preparação da propriedade antes das comemorações da Copa do Mundo, jogos e muito mais

Línguas