É normalmente a primeira pergunta das pequenas e médias empresas quando ouvem falar de CSRD, RGPD, Lei IA da UE ou NIS2. É também a mais difícil de responder.
A regulamentação europeia não vem acompanhada de uma lista de verificação simples.
As obrigações sobrepõem-se, têm limiares específicos e variam consoante o setor, a dimensão da empresa e o que o seu negócio faz com dados, IA ou fornecedores.
Quando a maioria das empresas percebe o que lhes é aplicável, já está atrasada, e as que têm menos capacidade para recuperar são muitas vezes as mais expostas.
As ferramentas da Verdaio foram criadas para responder a essa pergunta, e a tudo o que se segue.
Cada uma mapeia a sua situação face aos requisitos reais de um regulamento específico e diz-lhe exatamente onde está e o que fazer a seguir.
Sem consultores. Sem retainers. Sem incertezas.
Selecione qualquer ferramenta abaixo para ver o que cobre, o que receberá e como começar. Não sabe por onde começar? Experimente o Diagnóstico de Compliance →
Uma avaliação estruturada que classifica o seu negócio face às principais áreas da Diretiva de Relatório de Sustentabilidade Empresarial, cobrindo estratégia ESG, divulgações climáticas, governação e práticas sociais em 5 áreas ESRS.
O CSRD aplica-se agora a grandes empresas e PMEs cotadas em toda a Europa, com os primeiros prazos de reporte já em vigor. O incumprimento implica penalizações regulatórias e exposição reputacional, mas a maioria das empresas ainda não sabe onde estão as suas lacunas.
Uma análise de lacunas abrangente mapeada face a todas as 12 Normas Europeias de Relatório de Sustentabilidade, o quadro de divulgação obrigatório ao abrigo do CSRD, identificando exatamente onde o seu reporte fica aquém.
O ESRS define precisamente o que as empresas devem divulgar, tópico a tópico. Sem uma análise estruturada de lacunas, as empresas arriscam apresentações incompletas, escrutínio regulatório e resistência dos investidores.
Uma DMA guiada cobrindo tanto a materialidade financeira (como os riscos de sustentabilidade afetam o seu negócio) e materialidade de impacto (como o seu negócio afeta pessoas e o ambiente), seguindo a metodologia obrigatória ESRS 2.
A Avaliação de Dupla Materialidade é o ponto de partida obrigatório para o reporte CSRD. Sem ela, não pode determinar quais os tópicos ESRS que é obrigado a reportar. É a fundação sobre a qual todas as outras divulgações CSRD assentam.
Uma ferramenta de triagem que avalia as suas atividades económicas face ao Regulamento da Taxonomia da UE — o sistema oficial de classificação da UE para atividades ambientalmente sustentáveis — nos 6 objetivos ambientais.
Se a sua empresa reporta ao abrigo do CSRD ou procura financiamento verde, deve divulgar que proporção das suas atividades é elegível e alinhada com a Taxonomia. Errar nesta matéria expõe-no a alegações de greenwashing e contestação regulatória.
Uma avaliação da prontidão da sua cadeia de fornecimento para a Diretiva de Due Diligence de Sustentabilidade Empresarial, que exige que as empresas identifiquem e tratem os riscos de direitos humanos e ambientais em toda a sua cadeia de valor.
O CS3D estende as obrigações legais para além do seu próprio negócio aos seus fornecedores e parceiros comerciais. As empresas que não realizem due diligence adequada enfrentam coimas de até 5% do volume de negócios global.
Uma ferramenta estruturada para estimar as suas emissões de gases de efeito estufa de Âmbito 1, 2 e 3 com base nos dados de atividade do seu negócio, alinhada com a norma climática ESRS E1, a área mais escrutinada do reporte CSRD.
A divulgação climática é obrigatória ao abrigo do CSRD para a maioria das empresas em âmbito, e é o que auditores, investidores e reguladores examinam primeiro. A maioria das empresas não tem uma linha de base de emissões estruturada — o que significa que não consegue reportar nem melhorar.
Uma avaliação em duas partes ao abrigo da Lei IA da UE. A Parte 1 classifica o seu sistema de IA por nível de risco (proibido, alto risco, limitado, mínimo). A Parte 2 avalia a prontidão face às obrigações dos Artigos 9.º ao 15.º e constrói um roteiro de conformidade faseado. Um relatório combinado no final.
Todas as empresas que utilizam, desenvolvem ou implementam IA na UE têm obrigações legais ao abrigo da Lei IA da UE. A classificação determina que documentação é necessária, que supervisão é obrigatória e que avaliações de conformidade se aplicam. As obrigações para sistemas de alto risco começam a 2 de agosto de 2026 (potencialmente alargadas para 2 de dezembro de 2027 ao abrigo do Digital Omnibus).
Um auto-check gratuito face às 8 práticas de IA proibidas no Artigo 5.º da Lei IA da UE. Perguntas em linguagem simples com os qualificadores legais que a lei realmente exige (não um simples sim/não), para que o resultado reflita a lei real e não um falso alarme.
O Artigo 5.º é aplicável desde 2 de fevereiro de 2025. As coimas chegam a EUR 35 milhões ou 7% do volume de negócios mundial. A maioria dos sistemas de IA não é proibida, mas os poucos que o são acarretam as coimas mais altas da Lei. Uma verificação de 5 minutos diz-lhe onde está antes de mais nada.
Um verificador de conformidade para produtos com elementos digitais (hardware e software conectado) face ao Cyber Resilience Act, que introduz requisitos obrigatórios de cibersegurança para produtos vendidos no mercado da UE.
O CRA afeta qualquer fabricante ou importador de produtos conectados na UE. Exige segurança por design, gestão contínua de vulnerabilidades e marcação CE. O incumprimento pode resultar na proibição de produtos no mercado da UE.
Uma avaliação de 24 perguntas cobrindo as 6 áreas nucleares de conformidade RGPD: base jurídica, direitos dos titulares de dados, transferências de dados, medidas de segurança, gestão de registos e procedimentos de violação — dando-lhe uma pontuação estruturada de lacunas.
O RGPD é aplicável desde 2018, mas a aplicação está a acelerar. Só em 2025 foram emitidas mais de 360 coimas em toda a Europa. A maioria das empresas tem lacunas que não identificou — e os reguladores estão ativamente a procurá-las.
Uma lista de verificação passo a passo para resposta a violações de dados pessoais, com temporizador de contagem decrescente de 72 horas integrado, pontuação de gravidade e guia estruturado de decisão de notificação.
O RGPD exige que as organizações notifiquem a sua autoridade de supervisão no prazo de 72 horas após terem conhecimento de uma violação. A maioria das empresas não tem um processo claro quando isso acontece — e tomar a decisão errada sobre notificação, ou perder o prazo, acarreta riscos legais e financeiros sérios.
Uma ferramenta LIA estruturada para documentar a sua base de interesse legítimo para atividades específicas de tratamento de dados ao abrigo do Artigo 6(1)(f) do RGPD, produzindo um registo formal adequado para a sua Autoridade de Proteção de Dados.
O interesse legítimo é uma das bases jurídicas mais utilizadas para o tratamento de dados pessoais — e uma das mais frequentemente contestadas pelos reguladores. Sem uma LIA documentada em três partes, invocar este fundamento é juridicamente indefensável.
Um formulário de 6 passos que gera quatro documentos RGPD personalizados: uma Política de Privacidade, Registo das Atividades de Tratamento (Art. 30 RAT), Medidas Técnicas e Organizativas (MTO) e uma Política de Retenção de Dados, tudo com base no perfil específico da sua empresa.
O RGPD exige que as organizações mantenham um RAT, publiquem um aviso de privacidade conforme e documentem as suas medidas de segurança. A maioria das empresas não tem estes documentos, ou tem modelos genéricos que não refletem as suas atividades reais de tratamento. Uma autoridade supervisora pode solicitá-los a qualquer momento.
Uma avaliação de 20 perguntas nas 5 áreas nucleares de conformidade NIS2: gestão de riscos, gestão de incidentes, segurança da cadeia de fornecimento, controlo de acessos e continuidade de negócio — dando-lhe uma pontuação de prontidão e análise de lacunas.
O NIS2 é obrigatório para mais de 160 mil entidades da UE desde outubro de 2024, cobrindo setores essenciais e importantes em 18 indústrias. Os órgãos de administração são agora pessoalmente responsáveis pelo incumprimento. Muitas empresas em âmbito ainda não o sabem.
Uma avaliação estruturada do seu quadro de risco TIC face aos 5 pilares do Digital Operational Resilience Act: gestão de risco TIC, reporte de incidentes, testes de resiliência, risco de terceiros e partilha de informação — para entidades do setor financeiro.
O DORA aplica-se a bancos, seguradoras, empresas de investimento, instituições de pagamento e seus fornecedores TIC críticos — aplicável desde janeiro de 2025. As entidades financeiras que não avaliaram a sua resiliência TIC operam com exposição desconhecida.
Um gerador de questionários de due diligence para fornecedores cobrindo até 6 regulamentos da UE — RGPD, NIS2, DORA, Lei IA da UE, CS3D e CRA — com base no perfil do fornecedor, acesso a dados e criticidade para as suas operações. Inclui nível de risco, indicador de necessidade de DPA e frequência de revisão recomendada.
O NIS2, DORA, CS3D e RGPD impõem obrigações na cadeia de fornecimento. É responsável pela postura de segurança e conformidade dos seus fornecedores. A maioria das empresas usa questionários genéricos que não cobrem os requisitos específicos de cada regulamento.
O Diagnóstico de Compliance mapeia o seu negócio face a todas as 4 áreas em 2 minutos e indica quais as ferramentas que se aplicam primeiro.