A 7 de julho de 2026, a Comissão Europeia apresentou um Plano de Ação da UE sobre Cibersegurança e Inteligência Artificial, uma Comunicação não vinculativa (IP/26/1544) que alinha o AI Act, o Cyber Resilience Act, a diretiva NIS2 e as regras de cibersegurança da diretiva RED num roteiro operacional único para as equipas de conformidade de produtos conectados. O plano surge 26 dias antes de as obrigações para a IA de finalidade geral (GPAI) e a maioria das disposições de alto risco do AI Act se tornarem aplicáveis a 2 de agosto de 2026, sinalizando onde a ENISA, o AI Office e o Joint Research Centre irão concentrar a sua capacidade de supervisão e teste ao longo de 2027.
Para os fabricantes de equipamentos de rádio, telecomunicações e elétricos que já se encontram a adaptar à cibersegurança do artigo 3.3(d)-(f) da diretiva RED, ao abrigo do Regulamento Delegado (UE) 2022/30 e da norma harmonizada EN 18031, o Plano de Ação constitui um sinal para o futuro e não uma nova obrigação legal. Indica às equipas de avaliação da conformidade quais os controlos adjacentes à IA, canais de avaliação e infraestruturas de teste seguro que serão referenciados pelas autoridades a partir de 2026 e em 2027, bem como onde a Comissão espera que a indústria invista desde já.
O que o Plano de Ação muda efetivamente na conformidade de produtos conectados
A Comunicação não introduz nenhuma regra vinculativa nova. O seu peso é operacional: compromete a Comissão, a ENISA e o JRC a entregar quatro resultados concretos que as equipas de conformidade de produtos conectados devem acompanhar e, quando relevante, integrar nos seus programas de preparação para o AI Act e o CRA.
- Uma capacidade de avaliação da UE para a cibersegurança da IA, estabelecida através de um convite dedicado e com entrada em funcionamento prevista para 2027. Irá alimentar a avaliação de terceiros do AI Office sobre as capacidades e os riscos dos modelos avançados, complementando o GPAI Code of Practice que se torna vinculativo a 2 de agosto de 2026.
- Um Blueprint europeu da ENISA para o acesso estruturado a capacidades avançadas de IA, proporcionando às organizações europeias públicas e privadas condições transparentes para acederem aos modelos mais capazes para casos de uso de cibersegurança.
- Uma plataforma de teste segura do JRC e da ENISA para a cibersegurança da IA, incluindo ambientes simulados, direcionada para os operadores de setores críticos (finanças, energia, saúde, transportes, administração pública).
- Um EU Grand Challenge sobre IA para cibersegurança, além de parcerias facilitadas pela ENISA entre autoridades, empresas e comunidades de código aberto, incluindo uma campanha para proteger o software de código aberto crítico.
Nenhuma destas iniciativas substitui uma avaliação da conformidade com marcação CE ao abrigo da diretiva RED ou do CRA. Trata-se da capacidade do setor público na qual as autoridades de supervisão se irão apoiar ao avaliar as funcionalidades baseadas em IA nos produtos conectados, e com a qual os fornecedores podem interagir voluntariamente antes de as obrigações entrarem em vigor.
Quem é afetado e quais os prazos
Os responsáveis de conformidade e os gestores de cibersegurança de produtos nos fabricantes da UE de equipamentos de rádio, telecomunicações e elétricos conectados são o principal público industrial, a par das entidades essenciais e importantes ao abrigo da diretiva NIS2. Os prazos vinculativos em torno dos quais o Plano de Ação orbita mantêm-se inalterados, mas estão muito próximos:
| Data | Obrigação em vigor | Instrumento |
|---|---|---|
| 2 de agosto de 2026 | Obrigações GPAI e a maioria das disposições de alto risco do AI Act aplicáveis; conformidade com o GPAI Code of Practice exigida | Regulamento (UE) 2024/1689 (AI Act) |
| 2 de agosto de 2026 | A cibersegurança do artigo 3.3(d)-(f) da diretiva RED já é aplicável desde 1 de agosto de 2025; presunções de conformidade através da norma EN 18031 | Regulamento Delegado (UE) 2022/30 (RED) |
| Fim de 2027 | Cyber Resilience Act totalmente aplicável: segurança desde a conceção, notificação de vulnerabilidades e incidentes, conformidade com marcação CE para produtos com elementos digitais | Regulamento (UE) 2024/2847 (CRA) |
| 2027 | Capacidade de avaliação da UE para a cibersegurança da IA operacional | Compromisso do Plano de Ação (não vinculativo) |
Para um fornecedor de equipamentos de rádio ou dispositivos conectados que coloque uma funcionalidade baseada em IA no mercado da UE, a sequência prática é a seguinte: conformidade com o AI Act para a componente de alto risco a partir de 2 de agosto de 2026, conformidade de cibersegurança RED para a interface de rádio já em vigor, e conformidade com o CRA para os elementos digitais do produto até ao final de 2027. O Plano de Ação não altera estas datas; indica quais os organismos da UE que estarão disponíveis para apoiar cada camada.
O que as equipas de conformidade devem fazer agora
Em primeiro lugar, mapeie todas as funcionalidades baseadas em IA no seu portefólio de produtos de rádio, telecomunicações ou elétricos face aos níveis de risco do AI Act e aos requisitos essenciais de cibersegurança do artigo 3.3(d)-(f) da diretiva RED. Caso uma funcionalidade seja classificada como de alto risco, a avaliação da conformidade e a documentação de gestão de riscos devem estar prontas antes de 2 de agosto de 2026, e não depois. Em segundo lugar, prepare o seu processo de prontidão para o CRA atempadamente: os processos de notificação de vulnerabilidades e incidentes, o rigor na lista de materiais de software (SBOM) e as provas de segurança desde a conceção serão todos examinados ao abrigo da aplicabilidade do CRA em dezembro de 2027, e o AI Office e a plataforma de teste da ENISA estão posicionados para questionar essas provas no caso de componentes com IA. Em terceiro lugar, acompanhe o Blueprint da ENISA e o convite para a capacidade de avaliação da UE à medida que passam de um compromisso a um resultado concreto, e pondere envolver o seu laboratório de ensaio ou organismo notificado desde cedo, uma vez que a capacidade será escassa na aproximação a 2027.
A monitorização contínua por jurisdição do Obsidian destaca as Comunicações da Comissão, as orientações da ENISA e as atualizações de normas harmonizadas no momento em que são publicadas, para que uma equipa de conformidade de produtos conectados possa integrar cada novo documento no seu processo de prontidão sem ter de repetir as mesmas verificações diárias manualmente.
Aproveite esta vigilância em tempo real
Próximos passos para os responsáveis de conformidade: confirme a sua postura de conformidade com o AI Act até 2 de agosto de 2026 para todas as funcionalidades de alto risco, informe o seu organismo notificado e o parceiro de testes de cibersegurança sobre os quatro resultados do Plano de Ação, e fixe o marco do CRA de dezembro de 2027 nas revisões do roteiro dos seus produtos agora, em vez de o fazer após a pausa de verão.


