info@goldenblatt.co.uk
49 Russell Square, London, UK

News & MediaCibersegurança e o Regulamento das Redes Digitais: O Estado Da Arte

10 de Julho, 2026

 

O contexto regulatório

A proposta de Regulamento das Redes Digitais (“DNA[1]), adotada pela Comissão Europeia (“CE”) como proposta legislativa em 21 de janeiro de 2026[2], representaria, caso fosse promulgada na sua forma atual, uma evolução significativa do quadro regulatório da União Europeia (“UE”) em matéria de comunicações eletrónicas. Juntamente com a agenda de simplificação do Pacote Omnibus Digital[3] (“DOP”) e o Pacote de Cibersegurança de janeiro de 2026, incluindo a proposta de revisão do Regulamento da Cibersegurança (“CSA2”), o DNA faz parte de uma estratégia legislativa mais ampla que visa reforçar a resiliência, a segurança e a competitividade da infraestrutura digital da Europa.

Representa a reforma mais abrangente do quadro regulamentar da UE em matéria de comunicações eletrónicas desde a adoção do Código Europeu das Comunicações Eletrónicas (“EECC”).

Um dos seus objetivos declarados é reforçar a segurança da cadeia de abastecimento europeia das redes de comunicações eletrónicas (“ECNs”). Na Europa, um nível comum é combinado com diversas redes nacionais para permitir a interoperabilidade transfronteiriça e a troca de dados segura e auditável. Isto é feito no âmbito de uma arquitetura regulatória significativamente revista.

O DNA estabelece as condições regulatórias que regem o fornecimento de redes e serviços de comunicações eletrónicas, incluindo o regime aplicável às autorizações gerais e aos direitos de utilização do espectro de radiofrequências. A CSA2, por outro lado, introduz um quadro horizontal para a gestão dos riscos da cadeia de abastecimento das Tecnologias da Informação e da Comunicação (“TIC”), incluindo mecanismos para identificar ativos-chave das TIC, avaliar os riscos relacionados com a cadeia de abastecimento e adotar medidas de mitigação em relação a fornecedores de alto risco.

A este respeito, suscita particular preocupação a possibilidade de o DNA, em conjunto com a CSA2, poder vincular os requisitos de segurança da cadeia de abastecimento às autorizações gerais das operadoras de telecomunicações. Atualmente, ao abrigo da EECC, as condições de autorização limitam-se às que estão exaustivamente enumeradas no Anexo I e devem ser não discriminatórias, proporcionadas e transparentes.

A proposta de DNA, se aprovada nos termos referidos, alteraria essa abordagem. Tornaria o cumprimento das regras de cibersegurança aplicáveis, incluindo os requisitos de segurança da cadeia de abastecimento das TIC impostos ao abrigo da CSA2, uma condição tanto para a autorização geral para fornecer redes e serviços de comunicações eletrónicas[4] como para os direitos de utilização do espectro de radiofrequências[5] .

As implicações práticas deste desenho legislativo podem, no entanto, ser significativas. Ao abrigo da proposta em apreço, a Comissão ficaria habilitada a identificar ativos-chave das TIC, a realizar avaliações de risco da cadeia de abastecimento das TIC a nível da União e a adotar medidas de execução que abordem tanto os riscos técnicos como os não técnicos, incluindo riscos associados a estruturas de propriedade, interferência estrangeira, dependências estratégicas e fornecedores de alto risco. Sempre que adequado, essas medidas poderiam incluir restrições à utilização de componentes de TIC fornecidos por fornecedores designados de alto risco em ativos-chave de TIC, juntamente com obrigações complementares relativas a auditorias, diversificação do abastecimento, transparência e medidas de transição.

O efeito combinado das duas propostas consiste, portanto, em estabelecer uma relação mais estreita entre a regulação em matéria de cibersegurança e o quadro regulatório que rege as comunicações eletrónicas. Se o DNA for adotado na sua forma atual, o cumprimento de determinadas obrigações de segurança da cadeia de abastecimento das TIC poderá tornar-se relevante não só para fins operacionais de cibersegurança, mas também para a obtenção ou manutenção das autorizações regulamentares necessárias para fornecer redes e serviços de comunicações eletrónicas ou para exercer direitos de utilização do espectro de radiofrequências.

É esta interação entre o regime de autorização proposto e o quadro emergente da União para o estabelecimento da segurança da cadeia de abastecimento das TIC que suscita preocupações, tendo em conta as questões jurídicas analisadas nas secções seguintes.

 

Restrições por motivos de segurança ao abrigo do direito da UE: competência, proporcionalidade e garantias processuais

Invocar a segurança nacional ou europeia não pode ser suficiente para justificar a adoção de medidas administrativas ou legislativas restritivas. Além disso, isso não constitui uma base legal para agir de forma discriminatória e arbitrária que prejudique os direitos fundamentais dos cidadãos, a integridade do mercado interno ou a segurança jurídica e económica.

Como um de nós escreveu num artigo publicado no EU Law Live há um ano, embora a segurança nacional continue a ser da exclusiva responsabilidade de cada Estado-Membro, tal como reconhecido no artigo 4.º, n.º 2, do Tratado da União Europeia (“TUE”), esta responsabilidade deve ser exercida em conformidade com os princípios gerais do direito da UE, nomeadamente no que diz respeito à integridade do mercado interno. Qualquer restrição às liberdades fundamentais deve ser devidamente justificada e, enquanto exceção a um princípio geral, interpretada de forma restritiva[6] .

Essa reserva de competência, portanto, não coloca as medidas de segurança nacional fora do âmbito de aplicação do direito da UE, sempre que elas afetem domínios regidos pelo direito da União. A segurança nacional pode justificar restrições em casos adequados, mas não cria uma isenção geral dos requisitos de legalidade, proporcionalidade, não discriminação, proteção judicial efetiva ou respeito pelos direitos fundamentais.

Estes princípios têm sido constantemente reafirmados pelo Tribunal de Justiça da União Europeia (“TJUE”). Nos processos Privacy International[7] e Ministrstvo za obrambo[8] , o Tribunal deixou claro que o simples facto de uma medida ser adotada com o objetivo de proteger a segurança nacional não pode tornar o direito da UE inaplicável. Tal é particularmente o caso do artigo 36.º do Tratado sobre o Funcionamento da União Europeia (“TFUE”)[9] , do artigo 5.º, n.º 4, do TUE[10] e da Carta dos Direitos Fundamentais da União Europeia (“CDFUE”).

Este princípio é particularmente relevante no domínio das comunicações eletrónicas, em que os equipamentos de telecomunicações constituem bens nos termos do TFUE, o que significa que quaisquer medidas nacionais que restrinjam a sua autorização, implantação ou utilização podem ser abrangidas pelo âmbito de aplicação do artigo 34.º do TFUE. Embora tais restrições possam ser justificadas ao abrigo do artigo 36.º do TFUE por motivos de segurança pública[11], cabe ao Estado-Membro demonstrar que respondem a uma preocupação concreta de segurança e não constituem uma discriminação arbitrária ou uma restrição dissimulada ao comércio no âmbito do mercado interno[12] . Esta posição foi reforçada no processo Comissão contra Polónia[13] , em que o TJUE considerou que as medidas adotadas na prossecução de um interesse nacional legítimo não podem, pelo simples facto de estarem relacionadas com a segurança, ser totalmente isentas do direito da UE.

O quadro constitucional estabelecido pelos Tratados e interpretado pelo Tribunal de Justiça constitui, por conseguinte, o ponto de partida para avaliar a legalidade das medidas de segurança da cadeia de abastecimento que possam ser adotadas ao abrigo das propostas de DNA e CSA2. Embora as considerações de segurança constituam um objetivo legítimo de política pública, não se sobrepõem aos princípios da legalidade, da proporcionalidade, da não discriminação e da proteção judicial efetiva em que se baseia a ordem jurídica europeia.

Estes princípios definem o padrão para as restrições baseadas na segurança que afetam os fornecedores, os equipamentos de telecomunicações e o acesso ao mercado setorial ao abrigo das propostas de DNA e CSA2. Embora a União e os Estados-Membros possam procurar alcançar um elevado nível de cibersegurança, a questão jurídica determinante é saber que justificação é necessária para que as medidas restritivas possam ser legalmente impostas.

O recente Parecer da Advogada-Geral Ćapeta no processo Elisa Eesti[14] fornece orientações valiosas sobre esta questão. Embora reconheça que a segurança das redes e serviços de comunicações eletrónicas dos Estados-Membros constitui um interesse social fundamental, tanto a nível nacional como da União, a Advogada-Geral deixa claro que este objetivo não justifica um poder discricionário regulatório ilimitado. Com efeito, as restrições à liberdade de fornecimento de redes e serviços de comunicações eletrónicas só são lícitas quando cumprem os requisitos gerais do direito da UE.

No n.º 107 do referido Parecer[15] , o Advogado-Geral recorda que as restrições só podem ser justificadas quando o risco para o interesse protegido for “genuíno, presente e suficientemente grave no caso concreto”. Este critério reflete a jurisprudência constante do Tribunal de Justiça relativa às derrogações às liberdades do mercado interno e exige que as restrições se baseiem em riscos reais e não em riscos hipotéticos ou presumidos.

O Parecer salienta ainda[16] que a legalidade de tais medidas depende, em última análise, do respeito pelo princípio da proporcionalidade. Por conseguinte, a autoridade competente deve demonstrar não só que o objetivo prosseguido é legítimo, mas também que a medida adotada é adequada e necessária para o alcançar.

Mais importante ainda, o Parecer rejeita a possibilidade de basear as decisões em pressupostos gerais sobre fornecedores específicos ou países de origem. A Advogada-Geral Ćapeta sustenta que um Estado-Membro não pode basear-se em suspeitas gerais assentes exclusivamente na origem do fabricante do equipamento[17] . Em vez disso, deve proceder a uma avaliação específica do equipamento em causa e dos riscos associados à sua implementação.

Essa avaliação deve ter em conta o seguinte: (i) a funcionalidade, a localização e a importância do equipamento na rede de comunicações; (ii) se as preocupações relativas ao país em que o fabricante está estabelecido podem, objetivamente, ser projetadas sobre o próprio fabricante; e (iii) se os riscos associados ao fabricante se projetam no hardware e software específicos em questão.

Consequentemente, a avaliação deve ter em conta o equipamento ou software específico em causa, o seu papel na rede, as características e a estrutura de controlo do fornecedor, bem como as provas objetivas que ligam estes elementos ao alegado risco de segurança. Embora o país de estabelecimento do fabricante possa ser um fator relevante, não pode substituir uma análise fundamentada.

Em vez de ser presumida, a projeção de riscos entre o contexto geopolítico, o fornecedor e o equipamento específico deve ser demonstrada objetivamente. São particularmente relevantes, a este respeito, as dúvidas relativas à possível ligação entre o regime de autorização e o sistema para garantir a segurança da cadeia de abastecimento, tal como previsto nas propostas relativas à CSA2 e ao DNA.

O princípio da proporcionalidade exige ainda que as autoridades competentes ponderem se medidas menos restritivas permitiriam fazer face de forma adequada aos riscos identificados. Esta abordagem é coerente com o acórdão do Tribunal no processo Gebhard[18] , que exige que as restrições às liberdades fundamentais não excedam o necessário. É também coerente com o EECC, que pressupõe medidas “adequadas e proporcionais”, em vez de uma escolha binária entre a utilização sem restrições e a exclusão total. Por conseguinte, a autoridade competente deve considerar alternativas menos restritivas, tais como um acompanhamento reforçado, auditorias técnicas, obrigações de comunicação de incidentes ou requisitos de segurança por design. Apenas quando estas medidas forem manifestamente insuficientes é que uma exclusão total pode ser justificada.

Os requisitos substantivos impostos pelo direito da UE são complementados por garantias processuais igualmente importantes. É fundamental notar que as autoridades competentes não podem recusar-se a fornecer informações específicas que fundamentem a sua avaliação, e os tribunais nacionais podem ser chamados a apreciar o mérito de um caso. No processo Tele2 Sverige[19] , o TJUE decidiu que as medidas aplicáveis a todas as partes, sem distinção nem exceção, são excessivas e incompatíveis com o direito da UE.

De igual modo, no processo ZZ contra o Secretário de Estado do Ministério do Interior[20] , o TJUE considerou que, mesmo quando se invoca a segurança nacional, o indivíduo deve ser informado dos motivos da decisão, a fim de permitir um controlo jurisdicional efetivo. O mesmo princípio está na base do acórdão histórico do Tribunal no processo Kadi [21] , no qual se determinou que as medidas restritivas adotadas por motivos de segurança devem ser fundamentadas em provas factuais e estar sujeitas a um controlo jurisdicional completo. Assim, o princípio de que as restrições baseadas na segurança exigem uma justificação concreta e não podem basear-se em meras alegações está profundamente enraizado no tecido constitucional da União.

 

Implicações para o futuro Regulamento das Redes Digitais e para a CSA2

Os princípios acima referidos constituem o quadro jurídico no âmbito do qual a proposta de DNA e a Lei da Cibersegurança revista devem, em última instância, ser avaliadas. Ao longo do processo legislativo que conduzirá a um novo quadro de cibersegurança da UE, mais resiliente e robusto, e em particular no que diz respeito ao DNA e à CSA2, estes requisitos constitucionais devem servir de referência para a avaliação de quaisquer novas medidas regulamentares.

A exigência de uma avaliação individualizada tem implicações significativas para a interação proposta entre a CSA2 e o DNA. Se o cumprimento dos requisitos de segurança da cadeia de abastecimento se tornar, quando aplicável, uma condição para a obtenção ou manutenção da autorização geral para fornecer redes de comunicações eletrónicas ou direitos de utilização do espectro de radiofrequências, as restrições daí resultantes não podem ser consideradas apenas como condições regulamentares neutras. Pelo contrário, podem afetar o acesso ao mercado dos prestadores de comunicações eletrónicas num determinado setor, impedir a livre circulação de mercadorias e desencorajar o exercício das liberdades fundamentais.

Isto levanta questões importantes no âmbito do direito da UE, em particular quando as decisões que afetam fornecedores de países terceiros se baseiam em preocupações de cibersegurança relacionadas com o país, ligações de controlo ou alegada influência governamental. Embora estes fatores possam ser relevantes para o risco não técnico da cadeia de abastecimento, devem ser avaliados de acordo com critérios claros e apoiados por provas, em vez de serem tratados como presunções irrefutáveis.

Consequentemente, quaisquer restrições impostas à implantação de equipamento ou software fornecido por fornecedores de países terceiros devem basear-se numa avaliação concreta dos riscos associados à sua utilização prevista. Esta avaliação deve abranger tanto as vulnerabilidades técnicas como os riscos não técnicos, tais como o controlo por parte do fornecedor, a dependência e a interferência estrangeira.

Suposições gerais baseadas na origem do fornecedor, no contexto geopolítico ou em referências abstratas à segurança nacional não podem, por si só, justificar medidas restritivas. As empresas afetadas por esse facto têm direito a um tratamento justo, fundamentado em provas, proporcionado e passível de revisão.

Nesta perspetiva, é difícil estabelecer um nexo jurídico suficiente entre as ameaças à segurança das redes de comunicações eletrónicas e um sistema de autorizações ou proibições generalizadas baseadas em critérios gerais, como o país de origem do fabricante, ou em pressupostos não fundamentados relativos aos riscos associados a fornecedores específicos.

Tal abordagem é difícil de conciliar com os requisitos do direito da UE, que determinam que as restrições devem basear-se numa avaliação específica e fundamentada nos factos, dos alegados riscos.

 

Conclusão

A proteção das redes de comunicações eletrónicas e a garantia da resiliência da infraestrutura digital da Europa tornaram-se objetivos centrais da política digital da União Europeia.

Face a um panorama geopolítico e tecnológico em rápida evolução, e à luz de considerações relativas à competitividade e ao conceito de “autonomia estratégica europeia”, o reforço da cibersegurança e a redução das vulnerabilidades nas cadeias de abastecimento das TIC constituem objetivos legítimos e necessários de política pública. Tanto a União como os seus Estados-Membros devem adotar medidas adequadas para salvaguardar a integridade e a segurança das infraestruturas de comunicações críticas.

No entanto, à medida que o processo legislativo relativo ao DNA, à CSA2 e à arquitetura mais ampla de cibersegurança da UE avança, a prossecução destes objetivos não deve pôr em causa os requisitos constitucionais do direito da UE. Se o DNA associar a segurança da cadeia de abastecimento às autorizações gerais e às licenças de espectro, isso deve ser feito no respeito desses requisitos fundamentais.

A tarefa da União consiste em reforçar a resiliência das infraestruturas digitais da Europa, preservando simultaneamente as salvaguardas constitucionais que conferem ao mercado interno a sua coerência jurídica. A eficácia do futuro quadro regulamentar dependerá da sua capacidade de conciliar objetivos legítimos de segurança com a proporcionalidade, a segurança jurídica, a não discriminação e a proteção judicial efetiva.

Quaisquer restrições a equipamentos ou software de fornecedores de países terceiros devem basear-se numa avaliação concreta dos riscos específicos decorrentes da sua implantação. Todas as empresas que operam no mercado interno têm direito a um tratamento justo, individualizado, baseado em provas e proporcionado. As restrições não podem basear-se em suspeitas abstratas, pressupostos geopolíticos ou meras invocações da segurança nacional; devem ser acompanhadas de justificações concretas dos riscos envolvidos.

A força da ordem jurídica europeia não reside na sua capacidade de excluir, mas sim na sua insistência em que todo o poder, independentemente da forma como é exercido ou da sua finalidade, deve estar sujeito à lei.

 

Por José Luís da Cruz Vilaça, Paulo de Almeida Sande e Mariana Tavares, Área de Prática – Direito da União Europeia, Concorrência e Investimento Estrangeiro


 

[1] Digital Networks Act.

[2] Proposta de regulamento do Parlamento Europeu e do Conselho relativo às redes digitais, de 21.01.2026, que altera o Regulamento (UE) n.º 2015/2120, a Diretiva 2002/58/CE e a Decisão n.º 676/2002/CE e que revoga o Regulamento (UE) n.º 2018/1971, a Diretiva (UE) 2018/1972 e a Decisão n.º 243/2012/UE (Lei das Redes Digitais), COM (2026) 16 final.

[3]  Documento de Trabalho dos Serviços da Comissão sobre a Proposta de Regulamento do Parlamento Europeu e do Conselho que altera os Regulamentos (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725, (UE) 2023/2854 e as Diretivas 2002/58/CE, (UE) 2022/2555 e (UE) 2022/2557 no que diz respeito à simplificação do quadro legislativo digital, revoga os Regulamentos (UE) 2018/1807, (UE) 2019/1150, (UE) 2022/868 e a Diretiva (UE) 2019/1024 (Omnibus Digital) e altera os Regulamentos (UE) 2024/1689 e (UE) 2018/1139 no que diz respeito à simplificação da aplicação das regras harmonizadas em matéria de inteligência artificial (Omnibus Digital sobre IA), SWD(2025) 836 final, 19.11.2025.

[4] Artigo 9.º do projeto DNA.

[5] Artigo 20.º, ibidem.

[6] J. L. da Cruz Vilaça, “O Direito da UE e os limites do recurso à segurança nacional”. EU Law Live, edição de fim de semana, n.º 238, 12 de julho de 2025. (https://eulawlive.com/weekend-edition/weekend-edition-no238/): “(não) se pode inferir que o Tratado contenha uma exceção geral inerente que exclua todas as medidas tomadas por razões de ordem pública ou segurança pública do âmbito de aplicação do direito (da União). Com efeito, reconhecer a existência de tal exceção geral comprometeria o caráter vinculativo do direito da UE e a sua aplicação uniforme (…)” (página 4).

[7] Acórdão do Tribunal de Justiça (Grande Secção), 6 de outubro de 2020, Privacy International, C-623/17, ECLI:EU:C:2020:790, disponível em https://eur-lex.europa.eu/legal-

content/EN/TXT/?uri=CELEX%3A62017CA0623&qid=1782715620497

https://curia.europa.eu/juris/document/document.jsf?docid=232083&doclang=en.

[8] Acórdão do Tribunal de Justiça (Grande Secção) de 15 de julho de 2021, B. K. contra Republika Slovenija (Ministrstvo za obrambo), C-742/19, ECLI:EU:C:2021:597, disponível em: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:62019CJ0742.

[9] Proibição de restrições quantitativas entre Estados-Membros.

[10] Princípio da proporcionalidade.

[11] Os artigos 34.º e 36.º do TFUE constituem os pilares fundamentais do mercado único da UE no que diz respeito à livre circulação de mercadorias. Estabelecem condições de concorrência equitativas ao proibirem, de forma geral, as barreiras ao comércio, permitindo simultaneamente exceções limitadas e justificadas em prol de interesses públicos específicos, incluindo a segurança pública, através de medidas que devem ser proporcionadas e não discriminatórias.

[12] Conforme acima citada opinião de J. L. da Cruz Vilaça, “O Direito da UE e os limites da invocação da segurança nacional” em EU Law Live, edição de fim de semana, n.º 238, 12 de julho de 2025. (https://eulawlive.com/weekend-edition/weekend-edition-no238/) (página 4).

[13] Acórdão do Tribunal de Justiça (Primeira Secção) de 7 de setembro de 2023, Comissão Europeia contra República da Polónia, C-601/21, ECLI:EU:C:2023:629, disponível em: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:62021CJ0601. “(…) de acordo com jurisprudência constante, o objetivo de proteger a segurança nacional corresponde ao interesse primordial de proteger as funções essenciais do Estado e os interesses fundamentais da sociedade (…)” (n.º 79); “No entanto, as medidas adotadas pelos Estados-Membros no âmbito das exigências legítimas do interesse nacional não estão totalmente excluídas da aplicação do direito da UE pelo simples facto de serem tomadas no interesse da segurança nacional” (n.º 80).

[14] Conclusões da Advogado-Geral Ćapeta comunicadas em 19 de março de 2026, Elisa Eesti AS contra Vabariigi Valitsuse julgeolekukomisjoni küberjulgeoleku nõukogu, Tarbijakaitse ja Tehnilise Järelevalve Amet, C-354/24, disponíveis em: eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62024CC0354 .

[15] Ibidem.

[16] Ibidem. No n.º 57.

[17] Ibidem. Nos n.os 110 e 111.

[18] Acórdão do Tribunal de Justiça de 30 de novembro de 1995, Reinhard Gebhard contra Consiglio dell’Ordine degli Avvocati e Procuratori di Milano, C-55/94, ECLI:EU:C:1995:411, disponível em: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:61994CJ0055.

[19] Acórdão do Tribunal de Justiça (Grande Secção) de 21 de dezembro de 2016, Tele2 Sverige AB contra Post- och telestyrelsen e Secretário de Estado do Ministério do Interior contra Tom Watson e outros, C-203/15, EU:C:2016:970, disponível em: https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX:62015CN0203

[20] Acórdão do Tribunal de Justiça (Grande Secção) de 4 de junho de 2013, ZZ contra Secretário de Estado do Ministério do Interior, C-300/11, ECLI:EU:C:2013:363, disponível em: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62011CJ0300.

[21] Acórdão do Tribunal de Justiça (Grande Secção) de 18 de julho de 2013, Comissão Europeia e outros contra Yassin Abdullah Kadi, processos apensos C-584/10 P, C-593/10 P e C-595/10 P, ECLI:EU:C:2013:518, disponível em: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62010CJ0584.

https://adcecija.pt/wp-content/uploads/2020/06/logo_horizontal_b-768x75.png
LISBOA
Edifício Amoreiras Square
Rua Carlos Alberto da Mota Pinto, 17 - 2.º piso
1070-313 Lisboa
PORTO
Rua Eugénio de Castro, n.º 352, 2.º andar, sala 26
4100-225 Porto
BRAGA
Rua de Janes, n.º 20, 1.º andar, sala 101
4700-318 Braga
MADEIRA - Joint Venture with Vítor Abreu Advogados
Rua 31 de Janeiro, n.º 75 - 1.º D
9050-401 Funchal