A adoção acelerada de IA (especialmente IA generativa) e de tecnologias emergentes está mudando o jeito como organizações inovam — e, junto, está “puxando” a governança para um novo patamar. O que antes era tratado como um tema técnico de TI virou pauta de estratégia, reputação, continuidade operacional e, cada vez mais, de responsabilidade do conselho. Esse novo cenário exige reavaliar competências do workforce e do próprio board, garantir recursos financeiros para investimentos e cultivar uma cultura que favoreça experimentação com agilidade — sem abrir mão do fortalecimento da administração de riscos operacionais e éticos.

A pesquisa citada no texto-base é clara: segurança cibernética e privacidade de dados entram no centro da agenda de 2026, mas há uma tensão estrutural. Ao mesmo tempo em que o tema ganha prioridade, muitos conselhos ainda percebem tempo e recursos insuficientes dedicados ao assunto. Esse “gap” não é só brasileiro: globalmente, organizações reconhecem que IA terá forte impacto na segurança, porém poucas declaram ter processos consistentes para avaliar a segurança de ferramentas de IA antes do uso, o que amplifica exposição e incerteza. (World Economic Forum)

Os dados do gráfico anexo ajudam a entender onde a preocupação se concentra. O principal foco é resiliência organizacional (34%) — incluindo resposta a violação, planejamento de recuperação e simulações. Em seguida vêm proteção de dados ligada a novas tecnologias, como IA generativa (24%), e a compreensão do conselho sobre novas ameaças ou ameaças em evolução (21%). Depois aparecem a integração de cibersegurança e proteção de dados em produtos/serviços/operações (12%) e a gestão de riscos de terceiros e do ecossistema (9%). Essa distribuição é um recado: 2026 será menos sobre “comprar mais ferramentas” e mais sobre capacidade organizacional de responder, decidir e se recuperar.

Por que a resiliência sobe ao topo? Porque os incidentes estão mais rápidos, mais caros e mais difíceis de conter — e o impacto é medido em interrupção, perda de dados, multas, processos e confiança do mercado. O relatório de custos de violação de dados da IBM aponta um custo médio global de US$ 4,88 milhões (2024), evidenciando o peso financeiro do risco. (ibm.com) No Brasil, a própria IBM reportou custo médio de violação chegando a R$ 7,19 milhões (2025), reforçando que o problema não é abstrato: ele aparece direto no P&L. (IBM Brasil Newsroom)

Quando o conselho aponta “novas tecnologias” como vetor de preocupação, IA generativa é parte central dessa equação. Ela melhora produtividade, mas também barateia ataques: phishing mais convincente, engenharia social mais personalizada, automatização de reconhecimento e exploração. O relatório 2024 da Verizon mostra que o “fator humano” esteve presente em 68% das violações, e que ransomware/extorsão ocupa posição de destaque em múltiplos setores (inclusive com crescimento de técnicas de extorsão). (Verizon) Some isso ao avanço de deepfakes e golpes “assistidos por IA”, e fica claro por que o tema saiu da área de TI e virou risco corporativo.

É aqui que entra a reavaliação de competências. Conselho e executivos precisam entender, em linguagem de negócio, o que significa: inventariar usos de IA, definir limites (dados, finalidade, decisões automatizadas), exigir evidências de controles e medir risco residual. Na prática, isso pede alfabetização mínima em IA e ciber, além de governança. O NIST disponibiliza o AI Risk Management Framework (AI RMF), um guia para mapear, medir e governar riscos de IA ao longo do ciclo de vida — útil como “esqueleto” para políticas internas e comitês. (NIST) Em paralelo, regulações também empurram maturidade: o serviço oficial do AI Act europeu descreve obrigações de gestão contínua de riscos para sistemas de IA de alto risco, reforçando que “experimentar” não significa “operar sem controles”. (ai-act-service-desk.ec.europa.eu)

O capítulo regulatório e de transparência corporativa também está acelerando. A U.S. Securities and Exchange Commission adotou regra exigindo que empresas divulguem incidentes cibernéticos materiais em formulário específico (Item 1.05 do Form 8-K), geralmente em até quatro dias úteis após a determinação de materialidade. (Comissão de Valores Mobiliários) Na Europa, discussões de compliance como NIS2 têm reforçado responsabilidade de alta gestão e conselhos sobre medidas e governança de segurança. (PwC) Mesmo para empresas fora desses mercados, o efeito é dominó: clientes e parceiros passam a cobrar padrões, evidências e SLA de resposta.

Como traduzir isso em uma agenda objetiva de 2026? Um caminho prático é alinhar os cinco blocos do gráfico com decisões de conselho:

1. Resiliência (34%): aprovar metas de tempo de recuperação, validar planos e realizar simulações (tabletop) que incluam cenários com extorsão, vazamento e indisponibilidade.
2. Dados + IA (24%): criar governança de IA (inventário de usos, classificação de dados, regras de input/output, revisão legal/privacidade, monitoramento de riscos).
3. Ameaças em evolução (21%): instituir rotina de “briefing de ameaça” com indicadores claros (ataques, fraudes, terceiros, vulnerabilidades críticas) e plano de ação mensurável.
4. Segurança-by-design (12%): exigir que novos produtos/serviços já nasçam com controles de identidade, logs, criptografia, testes e requisitos de privacidade.
5. Terceiros (9%): elevar due diligence e monitoramento contínuo de fornecedores, especialmente os que tratam dados e os que embutem IA em processos.

O ponto mais importante é cultural: experimentar com IA e emergentes será inevitável para competir — mas a vantagem real virá de quem combinar velocidade com disciplina. Em 2026, conselhos que conseguirem reduzir o “gap” de tempo e recursos, elevar competência decisória e fortalecer governança de riscos (operacionais e éticos) vão transformar cibersegurança e privacidade de “centro de custo” em condição para crescimento sustentável. (reports.weforum.org)