Ciber-Resiliência (CRA) Destaques Legislação

Ciber-Resiliência (CRA): Sumário Executivo — Segurança por Design para Produtos Digitais

17 horas ago
Ciberseguranca.PT

O Regulamento de Ciber-Resiliência (Cyber Resilience Act — CRA) é o primeiro regulamento europeu a estabelecer requisitos obrigatórios de cibersegurança para produtos com elementos digitais — desde software a dispositivos IoT, eletrodomésticos inteligentes, routers e hardware industrial. Aprovado em 2024, o CRA impõe que os produtos sejam seguros por design e que os fabricantes e distribuidores mantenham a segurança durante todo o ciclo de vida do produto. Se a sua organização fabrica, importa ou distribui produtos com componentes digitais na UE, o CRA aplica-se a si.

O que é o CRA

O Regulamento (UE) 2024/2847, conhecido como Cyber Resilience Act, foi publicado em outubro de 2024 e entrará em aplicação de forma faseada até 2027. O CRA complementa a legislação de cibersegurança existente (NIS2, RGPD) ao focar-se especificamente nos produtos — e não apenas nos serviços ou infraestruturas. O objetivo é eliminar do mercado europeu produtos inseguros e garantir que fabricantes e distribuidores assumem responsabilidade pela segurança dos seus produtos ao longo do tempo.

A quem se aplica

Papel na cadeia de valorÂmbitoPrazo de conformidade
FabricantesQualquer empresa que coloque no mercado da UE produtos com elementos digitais — hardware, software, firmware, dispositivos IoTDezembro de 2027
ImportadoresEmpresas que importam para a UE produtos com elementos digitais fabricados fora da UEDezembro de 2027
DistribuidoresEmpresas que disponibilizam produtos no mercado da UE sem os modificarDezembro de 2027
Produtos de classe I (importante)Browsers, gestores de passwords, sistemas operativos, routers domésticos, SIEM, PKIAvaliação por terceiros obrigatória
Produtos de classe II (crítico)Hipervisores, firewalls industriais, microprocessadores, smartcardsCertificação por organismo notificado

Principais obrigações

  • Segurança por design (security by default) — Os produtos devem ser desenvolvidos com segurança incorporada desde a conceção: superfície de ataque mínima, configurações seguras por omissão, princípio do menor privilégio.
  • Ausência de vulnerabilidades conhecidas exploráveis — Os produtos não podem ser colocados no mercado com vulnerabilidades conhecidas e exploráveis. O fabricante deve gerir ativamente a segurança do produto.
  • Suporte de segurança durante 5 anos — Os fabricantes devem fornecer atualizações de segurança gratuitas durante pelo menos 5 anos (ou o ciclo de vida esperado do produto, se superior).
  • Notificação de vulnerabilidades e incidentes — Reportar vulnerabilidades exploradas ativamente e incidentes graves à ENISA e às autoridades nacionais em 24 horas.
  • Documentação e declaração de conformidade — Elaborar documentação técnica, declaração UE de conformidade e apor a marcação CE nos produtos abrangidos.
  • Software Bill of Materials (SBOM) — Manter e disponibilizar uma lista de componentes de software incluídos no produto (dependências, bibliotecas de terceiros).

Calendário de implementação

DataMarco
Outubro 2024Publicação do regulamento no Jornal Oficial da UE
Setembro 2026Obrigações de notificação de vulnerabilidades e incidentes tornam-se aplicáveis
Dezembro 2027Todas as obrigações do CRA tornam-se plenamente aplicáveis

Estado atual

O CRA está em fase de preparação para implementação. As organizações têm até dezembro de 2027 para colocar os seus produtos em conformidade, mas a preparação deve começar agora — especialmente para fabricantes de software que precisam de rever os seus processos de desenvolvimento seguro (SDLC), a gestão de dependências e as políticas de atualização. A ENISA e os organismos de normalização europeus (CEN/CENELEC) estão a trabalhar nas normas técnicas harmonizadas.

Recursos úteis

  • ENISA — Agência Europeia de Cibersegurança: orientações técnicas e ferramentas de conformidade CRA
  • Regulamento (UE) 2024/2847 — Texto oficial do CRA no EUR-Lex
  • CEN/CENELEC — Organismos europeus de normalização a trabalhar nas normas técnicas harmonizadas para o CRA
  • CNCS — Centro Nacional de Cibersegurança: acompanhamento da implementação em Portugal

Related Posts

Destaques Legislação

Incidentes de Cibersegurança: Sumário Executivo — Resposta, notificação e recuperação

16 horas ago
Jose Santos
Destaques Legislação Threat Intelligence

Threat Intelligence: Sumário Executivo — Conhecer o adversário para antecipar ataques

16 horas ago
Jose Santos
Destaques Legislação Vulnerabilidades & CVEs

Vulnerabilidades & CVEs: Sumário Executivo — Gestão e mitigação de vulnerabilidades

16 horas ago
Jose Santos
Destaques Legislação Phishing & Engenharia Social

Phishing & Engenharia Social: Sumário Executivo — Como reconhecer e resistir

16 horas ago
Jose Santos