Bruxelas apresenta plano de ação para reforçar a cibersegurança europeia face à IA avançada

A Comissão Europeia apresentou esta terça-feira um Plano de Ação sobre Cibersegurança e Inteligência Artificial, com o objetivo de dar uma resposta estruturada aos riscos — mas também às oportunidades — que os modelos de IA avançada trazem à segurança digital da União Europeia. O documento não introduz legislação nova: assenta antes na implementação mais firme das regras já existentes, associada a um conjunto de iniciativas concretas para reforçar a capacidade europeia de avaliar, testar e utilizar IA em contexto de cibersegurança.

“A IA está a redefinir a cibersegurança”

No comunicado que acompanha o plano, a Comissão é direta quanto à motivação: os novos modelos avançados de IA podem ser utilizados de forma abusiva para identificar vulnerabilidades, automatizar ataques e aumentar a escala e a velocidade dos incidentes cibernéticos a níveis sem precedentes. Henna Virkkunen, vice-presidente executiva para a Soberania Tecnológica, Segurança e Democracia, resumiu a lógica do plano numa frase: a IA está a transformar o significado de cibersegurança, e a União Europeia tem de acompanhar esse ritmo.

A Comissão sublinha, no entanto, que a mesma tecnologia que multiplica o risco pode também reforçar a defesa: bem utilizada, a IA ajuda a detetar vulnerabilidades mais depressa, a prevenir ciberataques e a proteger infraestruturas críticas. O plano organiza-se, por isso, à volta de três objetivos complementares: promover um uso seguro e responsável da IA avançada, reforçar a cibersegurança europeia através da legislação já em vigor, e fortalecer a liderança tecnológica da UE nesta área.

Avaliação, acesso estruturado e uma plataforma de testes

Entre as medidas concretas, destaca-se o reforço da capacidade europeia para avaliar modelos de IA avançada antes de chegarem ao mercado da UE — uma exigência que decorre já do Regulamento da Inteligência Artificial (AI Act) e que a Comissão pretende agora operacionalizar através de um concurso para criar uma capacidade própria de avaliação, com apoio ao Gabinete para a IA.

A par disso, a Comissão vai trabalhar com a Agência da União Europeia para a Cibersegurança (ENISA) para desenvolver um “modelo europeu de acesso estruturado” a sistemas avançados de IA, destinado a clarificar em que condições organizações públicas e privadas — incluindo defensores de infraestruturas críticas — podem aceder a estes modelos para fins de cibersegurança. Ainda em conjunto com a ENISA e com o Centro Comum de Investigação da Comissão, será criada uma plataforma segura para testar aplicações de IA em ambientes simulados, com prioridade para setores como a energia, a saúde, os transportes, as finanças e a administração pública. Segundo a Comissão, esta plataforma deverá estar operacional ainda antes do final de 2026.

Uma base sobre legislação já existente

O plano assume expressamente que não traz novas obrigações legais, apoiando-se antes no que a Comissão descreve como o “quadro jurídico único da UE” em matéria de inteligência artificial e cibersegurança: o próprio AI Act, a Diretiva NIS2, o Regulamento de Resiliência Operacional Digital (DORA), o Regulamento de Ciber-Resiliência (Cyber Resilience Act) e o Ato de Solidariedade Cibernética. A ideia central, confirmada pela própria Virkkunen a analistas, é usar melhor as ferramentas legais e institucionais que já existem, em vez de criar novas — e incentivar as organizações a recorrerem a soluções de IA, incluindo modelos de código aberto, para identificar e corrigir vulnerabilidades com mais rapidez.

Para reforçar a liderança tecnológica europeia nesta área, a Comissão anuncia ainda o lançamento de um Grande Desafio Europeu de IA para a Cibersegurança, destinado a aproximar empresas, investigadores e outras organizações no desenvolvimento de soluções próprias — a par de investimento continuado em infraestruturas de computação soberana, como as fábricas de IA e as futuras giga-fábricas.

Porque é que isto importa em Portugal

Para Portugal, este plano chega numa altura em que o país acabou de completar a sua própria transposição do quadro europeu de cibersegurança: o Regime Jurídico da Cibersegurança, resultante do Decreto-Lei n.º 125/2025 e do recente Regulamento n.º 756/2026, já obriga as entidades abrangidas a cumprir obrigações equivalentes às que este plano europeu vem agora reforçar a nível comunitário. A menção explícita à NIS2 e ao DORA no comunicado da Comissão confirma que o CNCS e o Banco de Portugal — enquanto autoridades nacionais responsáveis pela supervisão destes regimes — deverão acompanhar de perto as orientações que vierem a decorrer deste plano, nomeadamente quanto ao futuro modelo europeu de acesso estruturado a IA avançada.

Para as organizações portuguesas em setores críticos — energia, saúde, transportes, finanças e administração pública —, a plataforma de testes anunciada pela Comissão e pela ENISA representa uma oportunidade concreta: um ambiente controlado para validar o uso de ferramentas de IA em cibersegurança antes de as colocar em produção, algo que muitas equipas de segurança nacionais, sobretudo em PME, dificilmente conseguiriam construir sozinhas. Já para empresas portuguesas de tecnologia e investigadores universitários, o anunciado Grande Desafio Europeu de IA para a Cibersegurança pode abrir uma via de financiamento e visibilidade europeia para soluções desenvolvidas localmente.

O plano surge, aliás, na mesma semana em que o Banco Central Europeu exigiu aos grandes bancos da área do euro — incluindo os principais bancos a operar em Portugal — planos de ação concretos contra ciberataques ligados à IA até 31 de outubro. Em conjunto, os dois anúncios confirmam que 2026 está a consolidar-se como o ano em que Bruxelas transforma o discurso sobre riscos da IA em prazos, estruturas e obrigações concretas para Estados-membros, setor financeiro e infraestruturas críticas.

Esta informação tem caráter noticioso e baseia-se em comunicações oficiais da Comissão Europeia divulgadas publicamente.