NIS 2 · DORA · Cyber Resilience Act

A ciberdefesa constrói-se antes do incidente, não se impõe depois dele

A agência nacional de cibersegurança de França está a gerir quatro regimes legais e uma expansão do seu âmbito por um fator de vinte, tudo ao mesmo tempo. Como a aplicação da norma só pode atuar depois de um acontecimento ter sucedido, defender um ecossistema muito maior depende da capacidade de formação, ferramentas e pessoal construída com antecedência, por cada ator capaz de a construir.

Numa entrevista de junho de 2026 ao meio tecnológico francês Clubic, o diretor-geral da ANSSI, Vincent Strubel, descreveu uma agenda de cibersegurança que se destaca menos por qualquer ponto individual do que pela quantidade de pontos exigentes que a ocupam ao mesmo tempo (Belfiore 2026). Na mesma conversa abordou o futuro da cifragem e do acesso legal, a qualificação dos fornecedores de nuvem, uma migração pós-quântica que se prolonga por anos até à próxima década, um organismo de coordenação de criação recente para a governança digital e uma diretiva que multiplicará a população de entidades reguladas por um fator de vinte ou mais. Lida com atenção, a entrevista é menos um relatório de situação do que o retrato de uma posição difícil sustentada com serenidade, e aponta para algo estrutural sobre a ciberdefesa que convém enunciar com clareza. A aplicação da norma e a remediação, pela sua natureza, atuam a posteriori. Podem moldar o que acontece a seguir, mas não podem desfazer o incidente que as motivou. Essa única observação reenquadra toda a questão de como uma população regulada muito maior vai efetivamente ser defendida, e sugere que a resposta útil da capacidade privada não é esperar para ser contratada, mas construir capacidade com antecedência rumo a um objetivo que todos no setor já partilham.

O panorama regulatório, e quem detém realmente cada mandato

A governança ciberespacial de França e da União Europeia abrange agora quatro instrumentos legais sobrepostos e, o que é importante, nenhuma autoridade detém os quatro. A LPM (loi de programmation militaire) e a NIS 2 (a segunda Diretiva de Segurança das Redes e da Informação) recaem no mandato direto da própria ANSSI. A supervisão da DORA (Digital Operational Resilience Act) em França recai na ACPR (Autorité de Contrôle Prudentiel et de Résolution) para bancos e seguradoras e na AMF (Autorité des Marchés Financiers) para gestoras de ativos e infraestruturas de mercado (Autorité de Contrôle Prudentiel et de Résolution 2026; Autorité des Marchés Financiers 2026). A fiscalização do mercado ao abrigo do CRA (Cyber Resilience Act) recai na ANFR (Agence Nationale des Fréquences), atuando a ANSSI apenas como autoridade notificadora responsável por acreditar os organismos de avaliação da conformidade, um papel distinto da própria fiscalização do mercado (ANFR 2026; ANSSI 2026a). Como base operacional para o cumprimento da NIS 2, a ANSSI publicou o ReCyF (Référentiel Cyber France, versão 2.5) a 17 de março de 2026, estabelecendo vinte objetivos de segurança obrigatórios (Ledieu-Avocats 2026).

Este mapeamento importa por uma razão prática e uma razão justa. Na prática, um leitor que se move entre quatro quadros precisa de saber a que autoridade se dirigir para cada questão. Na justiça, deixa estabelecido que a ANSSI está a coordenar uma postura nacional entre regimes que não controla individualmente, o que é parte do que torna a sua posição difícil e não deficiente.

A forma de um mandato duro e multifrente

A forma mais exata de ler a entrevista de Strubel é como uma descrição de concorrência. Vários programas exigentes estão ativos no mesmo momento, cada um com o seu próprio relógio. A questão da cifragem e do acesso legal é uma que o próprio Strubel caracteriza como em última instância política e não técnica, o que coloca a sua resolução fora do controlo de engenharia de qualquer agência e dentro da maquinaria mais lenta da legislação e do debate público (Belfiore 2026). A migração pós-quântica é uma transição criptográfica de vários anos que afeta qualquer organização que guarde dados confidenciais de longa duração. A criação de um novo organismo de coordenação assinala uma tentativa de consolidar a governança digital em vez de a deixar fragmentar-se ainda mais. E por baixo de tudo isso corre a expansão do âmbito da NIS 2, que Strubel situa numa passagem de cerca de 500 entidades reguladas para um estimado de entre 10.000 e 15.000 (Belfiore 2026).

Qualquer um destes seria um programa substancial por si só. Levados em conjunto, entre regimes dos quais apenas dois controla diretamente a ANSSI, descrevem um mandato genuinamente difícil de sustentar bem. A ANSSI tem sido franca e coerente sobre como o sustenta: mediante uma postura orientada ao acompanhamento e guiada pela orientação, em vez da ficção de um agente colocado atrás de cada servidor. Essa é uma escolha racional sob restrições reais, e este artigo toma-a exatamente como tal, uma estratégia legítima para um encargo difícil, não como prova de que algo falte.

A aplicação da norma é reativa por construção

Desse mandato decorre uma observação que é estrutural mais do que avaliativa. A aplicação da norma e a remediação são, pela sua natureza, coisas que acontecem depois. Uma constatação de auditoria documenta um estado que já existe. Uma sanção responde a uma violação que já ocorreu. Uma ordem de remediação restaura um sistema que já falhou. Cada um destes instrumentos é valioso, e cada um molda o comportamento futuro, mas nenhum deles pode recuar e evitar o acontecimento que o desencadeou. Isto não é uma propriedade da ANSSI nem de nenhum regulador em particular. É uma propriedade da aplicação da norma em si mesma.

O corolário merece ser enunciado de forma direta, porque é fácil deixá-lo passar. A ANSSI não é, nem pode sê-lo estruturalmente, uma agência de remediação no sentido de um organismo que defenda os sistemas no momento em que um ataque está em curso. Nenhuma autoridade de aplicação o pode ser. A ciberdefesa em tempo real, a deteção, contenção e recuperação reais que ocorrem enquanto um incidente está vivo, é realizada dentro das organizações afetadas e pelos profissionais e ferramentas que têm à mão nesse momento. A aplicação da norma fixa o padrão a que essas organizações são submetidas. Não substitui, nem pode substituir, a capacidade de que precisam quando o padrão é posto à prova. Reconhecer isto não é uma crítica a quanto qualquer um aplique a norma. É um esclarecimento sobre para que serve a aplicação da norma.

O que exige defender um ecossistema vinte vezes maior

Junte os dois pontos anteriores. A população de entidades que se espera que se defendam a si próprias está a crescer por um fator de vinte ou mais, e o instrumento primário que o Estado pode mobilizar, a aplicação da norma, é por construção incapaz de fazer a defesa por si mesmo. A defesa na prática depende, portanto, de algo que a aplicação da norma não pode fabricar por encomenda: a capacidade. Pessoas que saibam implementar e operar os controlos. Ferramentas que tornem a evidência contínua em vez de reunida à pressa antes de uma auditoria. Formação que chegue a uma organização antes de ela se encontrar dentro do âmbito e não depois. E tudo isso tem de existir com antecedência, porque a capacidade construída depois de um incidente está, por definição, construída tarde demais para esse incidente.

A orientação pública é uma parte real desta resposta e deve ser reconhecida como tal. Os próprios materiais de acompanhamento da ANSSI ao abrigo do ReCyF, incluindo documentos de orientação, webinars e uma obrigação de formação inscrita no referencial, visam diretamente ajudar as organizações a construir capacidade antes de chegarem às datas de aplicação (ANSSI 2026b). Mas a aritmética de uma expansão por um fator de vinte é implacável, e nenhuma instituição isolada, por melhor gerida que esteja, pode fornecer toda a curva de formação, ferramentas e pessoal para um ecossistema desse tamanho no calendário que a regulação fixa. Isso não é falha de ninguém. É um problema partilhado, e convém tratá-lo como tal.

Existe todo um corpo desenvolvido de ciências da gestão por detrás deste problema de temporalidade. Trabalhando na tradição da dinâmica de sistemas (Sterman 2000), John Sterman e Nelson Repenning, no Massachusetts Institute of Technology, formalizaram aquilo a que chamam a armadilha da capacidade: uma organização que investe em construir capacidade vê o seu desempenho baixar antes de melhorar, a trajetória do pior antes do melhor, enquanto uma que se limita a esforçar-se mais obtém um alívio a curto prazo antes de o seu desempenho se erodir, a trajetória do melhor antes do pior, uma divergência que o seu modelo traça como duas curvas de capacidade que se separam ao longo do tempo (Repenning and Sterman 2002). O seu estudo anterior enuncia o obstáculo humano logo no título: ninguém recebe jamais crédito por resolver problemas que nunca aconteceram (Repenning and Sterman 2001). Face à próxima expansão do âmbito da NIS 2, a implicação é direta. A capacidade de defender um ecossistema vinte vezes maior tem de ser construída pela trajetória do pior antes do melhor, à frente dos incidentes que previne e precisamente quando nenhuma crise visível justifica ainda a despesa. Os leitores que queiram ver a dinâmica por si próprios podem percorrê-la de forma interativa no módulo 13 do curso de dinâmica de sistemas da CCI, sobre a armadilha da capacidade.

O parceiro benévolo: construir capacidade sem esperar que o peçam

É aqui que a capacidade privada tem um papel que não depende de ser contratada para o desempenhar. Uma firma com conteúdos de formação, com ferramentas ou com profissionais qualificados tem uma razão para investir em construir e partilhar essa capacidade agora, independentemente de qualquer contrato específico, encargo de auditoria ou desencadeante regulatório, por uma razão simples: o objetivo partilhado, uma ciberdefesa que funcione de verdade num ecossistema vinte vezes maior do que era, é servido por esse investimento independentemente de quem em última instância pague pelo quê. Um parceiro que age segundo esse raciocínio, contribuindo com capacidade porque o problema é real e não porque há uma transação sobre a mesa, é o que este artigo entende por parceiro benévolo. A palavra está empregue de forma literal, não decorativa. A prova disso é se a contribuição é útil a uma organização quer essa organização se torne cliente quer não.

A Cambridge Cyber International (CCI) tenciona atuar como um desses parceiros, e é franca em que é um a mais entre muitos que poderiam e deveriam. A sua postura é deliberadamente simples: educar, formar e equipar, em vez de atribuir culpas. Na prática isso resolve-se em duas coisas que já construiu. A primeira é a sua Academy, cuja formação é útil a qualquer organização que construa as competências cibernéticas de que as suas equipas irão precisar, independentemente de onde essa organização obtenha depois o resto da sua capacidade. A segunda é a suite CySSURANCE, que transporta a mesma ideia para o plano das ferramentas ao reunir num só lugar uma série de funções de preparação: recolha automatizada de evidência, modelação de arquitetura empresarial, cálculo de resiliência, avaliação de perdas financeiras, avaliação de pessoal, exercícios de tecnologias de informação e comunicação (ICT), remediação priorizada, gestão de fornecedores, preparação de auditorias e painéis ao nível do conselho. Tomados em conjunto, educação, formação e ferramentas respondem aos encargos de preparação para auditorias e de força de trabalho que a expansão do âmbito multiplica, que é precisamente o trabalho que tem de ser feito com antecedência e não depois de um incidente. São nomeados aqui como um exemplo do argumento, não como o seu propósito. O argumento sustenta-se quer o leitor contrate a CCI, contrate um dos seus pares, quer construa a capacidade inteiramente em casa.

Contra-argumentos e limitações

A objeção óbvia é que uma firma que descreve as suas próprias ofertas como contribuição benévola está simplesmente a fazer publicidade com melhores maneiras. A objeção merece uma resposta real e não uma garantia tranquilizadora. A resposta é um teste que o leitor pode aplicar: a contribuição ajuda uma organização que nunca compra nada? Formação que eleva a preparação de uma equipa quer conduza a um contrato quer não, orientação que é exata quer seja monetizada quer não, e honestidade sobre quando um concorrente ou uma construção interna é a melhor opção, tudo isso passa no teste; um recurso que é inútil salvo se comprado não passa. Os leitores têm o direito de sujeitar este artigo, e a CCI, a esse padrão.

Uma segunda objeção é que a capacidade privada não pode substituir a autoridade pública, e não deveria tentar. Isto está correto, e nada aqui o propõe. O argumento é complementar, não substitutivo. O mandato da ANSSI, a fixação de padrões e a coordenação são precisamente as coisas que os atores privados não podem nem devem fornecer. A afirmação é mais estreita: que a defesa em tempo real que a aplicação da norma não pode realizar constrói-se a partir de capacidade, e que essa capacidade pode e deve ser contribuída a partir de mais do que uma direção.

Uma terceira limitação, mais prosaica, diz respeito à fonte. Uma entrevista não é um instrumento legal, e os números e datas concretos, incluindo os números exatos do âmbito e o estado da lei de transposição da NIS 2, deveriam ser confrontados com os textos primários assim que forem definitivos. O calendário de transposição em particular recai no Parlamento francês e não em nenhuma agência executiva. Nada disto altera o argumento estrutural, que não assenta em nenhuma data individual, mas é motivo para verificar os detalhes antes de atuar sobre eles.

Implicações para a prática ou a política

Para um conselho ou um CISO, a consequência prática de tratar a defesa como algo construído com antecedência e não imposto a posteriori é uma mudança no sequenciamento. As decisões de capacidade, quem é formado, que ferramentas tornam contínua a evidência, como escala o pessoal, antecipam-se, antes da data de aplicação em vez de em resposta a ela. Concretamente, isso significa começar a preparação da força de trabalho antes de a inclusão no âmbito ser confirmada, tratar a recolha contínua de evidência como uma capacidade permanente e não como um sprint pré-auditoria, e planear o pessoal face a um mercado de trabalho que estará mais tenso justamente quando a maior coorte de entidades recém-reguladas procurar as mesmas competências.

Para os atores privados com capacidade relevante, a implicação é um convite a contribuir antecipando a procura: tornar a educação, a formação e as ferramentas úteis independentemente de uma venda, e dizê-lo com clareza. A Academy da CCI e a sua suite CySSURANCE são oferecidas nesse espírito, como opções entre várias e não como o único caminho, e a escolha de fornecedor importa muito menos do que o facto de construir capacidade antes de ela ser necessária.

Para a relação público-privada no seu conjunto, a implicação é uma mudança de registo. O quadro produtivo é um objetivo partilhado, uma ciberdefesa que funcione na prática, em vez de um livro de contas sobre quem fez ou não fez o suficiente. A sua expressão prática é direta: educar, formar e equipar com antecedência à necessidade, em vez de repartir culpas depois dos factos. A aplicação da norma e a contribuição não são concorrentes. São partes distintas do mesmo empreendimento.

Conclusão

A ANSSI sustenta um encargo genuinamente difícil, quatro regimes legais, um debate político que não pode resolver sozinha, uma migração criptográfica de vários anos, um novo organismo de coordenação e uma população regulada que cresce por um fator de vinte, e sustenta esse encargo com uma estratégia coerente, orientada primeiro à orientação, escolhida sob restrições reais. Ler a sua posição com honestidade conduz a uma conclusão estrutural mais do que crítica: porque a aplicação da norma só pode atuar depois de um incidente, a defesa que importa no momento constrói-se antes, a partir de capacidade que tem de existir com antecedência. Essa capacidade é um problema partilhado, maior do que qualquer instituição isolada, e é mais bem atendida por todos os que possam contribuir para ela, a partir de mais do que uma direção, ao serviço de um objetivo que todo o setor já sustenta em comum. A postura útil para a capacidade privada, então, não é esperar para ser contratada, mas construir e partilhar antecipando a procura, sem esperar nada em particular em troca, porque um ecossistema melhor defendido é a recompensa. A ciberdefesa constrói-se antes do incidente. O trabalho que vale a pena fazer é a construção.

Por onde começar

Se as suas equipas estão a construir preparação cibernética para o que aí vem, a CCI Academy é um ponto de partida aberto, quer volte a trabalhar com a CCI mais adiante quer não. A sua formação é útil por si mesma. Considere-a uma porta aberta e não um destino.

Descobrir CCI Academy →

References

Agence Nationale des Fréquences (2026). Cyber Resilience Act. https://www.anfr.fr/proteger/equipements-radio-electriques/cyber-resilient-act

ANSSI, cyber.gouv.fr (2026a). Cyber Resilience Act. https://cyber.gouv.fr/reglementation/cybersecurite-des-produits/cyber-resilience-act/

ANSSI, cyber.gouv.fr (2026b). NIS 2: l'ANSSI poursuit et renforce sa dynamique d'accompagnement. https://cyber.gouv.fr/actualites/nis-2-lanssi-poursuit-et-renforce-sa-dynamique-daccompagnement/

Autorité de Contrôle Prudentiel et de Résolution (2026). FAQ sur la directive et le règlement DORA. https://acpr.banque-france.fr/fr/reglementation/focus-sur-la-reglementation/transverse/digital-operational-resilience-act-dora/faq-sur-la-directive-et-le-reglement-dora

Autorité des Marchés Financiers (2026). The Regulation on Digital Operational Resilience in the Financial Sector (DORA). https://www.amf-france.org/en/news-publications/depth/dora

Belfiore, G. (2026). Chiffrement vs Police: "Le choix sera politique", prévient le patron de l'ANSSI. Clubic. https://www.clubic.com/dossier-618682-interview-anssi.html

Ledieu-Avocats (2026). ANSSI, projet de décret NIS2 "mesures techniques" v2.5, ReCyF du 17 mars 2026. https://ledieu-avocats.fr/anssi-projet-decret-nis2-mesures-techniques-v2-5-recyf-du-17-mars-2026/

Repenning, N. P., and Sterman, J. D. (2001). Nobody ever gets credit for fixing problems that never happened: creating and sustaining process improvement. California Management Review, 43(4), 64 to 88. https://doi.org/10.2307/41166101

Repenning, N. P., and Sterman, J. D. (2002). Capability traps and self-confirming attribution errors in the dynamics of process improvement. Administrative Science Quarterly, 47(2), 265 to 295. https://doi.org/10.2307/3094806

Sterman, J. D. (2000). Business Dynamics: Systems Thinking and Modeling for a Complex World. Boston: Irwin McGraw-Hill. https://systemdynamics.org/product/business-dynamics-systems-thinking-and-modeling-for-a-complex-world/

A aplicação da norma fixa o padrão. Não pode substituir a capacidade que o padrão põe à prova.

O ângulo da CCI

Soluções referidas: Academy · CySSURANCE. Ver todos os produtos · falar com um especialista.

A sua organização está exposta a isto?

Falar com um especialista →