Faltam cerca de 17 meses para o Regulamento de Ciber-Resiliência (Cyber Resilience Act, CRA) entrar em plena aplicação, em dezembro de 2027 — e um novo inquérito da ENISA, a agência europeia para a cibersegurança, mostra que as pequenas e médias empresas europeias ainda estão longe de preparadas. Dois em cada três inquiridos já ouviram falar do regulamento, mas quando as perguntas descem ao concreto — documentação técnica, avaliação de conformidade, gestão de vulnerabilidades — a confiança desaba. Para um tecido empresarial como o português, dominado por micro e pequenas empresas, as conclusões são um aviso que chega ainda a tempo.
Em resumo: o inquérito da ENISA a 194 PME de 31 países revela que 66% conhecem o CRA, mas 54% admitem compreensão limitada ou nula da avaliação de conformidade e 20% nem sabem se estão abrangidas. A resposta a incidentes é a área mais fraca (2,2 pontos em 5 nas microempresas) e 57% das microempresas não têm ninguém responsável pela cibersegurança. O regulamento aplica-se a partir de dezembro de 2027 a quem coloca produtos com elementos digitais no mercado da UE — incluindo as PME portuguesas.
O que é o Cyber Resilience Act e a quem se aplica
O CRA (Regulamento (UE) 2024/2847) introduz requisitos horizontais de cibersegurança para todos os produtos com elementos digitais colocados no mercado europeu — hardware e software que se liguem ou comuniquem com outros dispositivos ou redes. Na prática, obriga fabricantes, importadores e distribuidores a desenhar produtos seguros de origem, gerir vulnerabilidades de forma estruturada e garantir atualizações de segurança ao longo de todo o ciclo de vida do produto.
Ao contrário de outros diplomas que visam sobretudo grandes operadores, o CRA não faz distinção de dimensão: uma microempresa portuguesa que desenvolva uma aplicação, um componente de software ou um dispositivo ligado fica sujeita às mesmas obrigações de fundo que uma multinacional. É precisamente por isso que a ENISA quis medir o ponto de partida das PME — e os resultados, publicados no SME CRA Survey Report de junho de 2026, traçam um retrato preocupante.
Conhecer a sigla não é estar preparado
A notoriedade do regulamento é razoável: 66% dos inquiridos já tinham ouvido falar do CRA antes do inquérito, com a consciência a subir com a dimensão — 94% nas médias empresas, 74% nas pequenas e apenas 62% nas microempresas. O problema começa quando se pergunta o que o regulamento exige na prática. Na avaliação de conformidade, 54% das respostas indicam compreensão limitada ou nula; na documentação técnica obrigatória, 42%. Só 13% dizem compreender bem ou muito bem os requisitos de documentação.
Um em cada cinco nem sabe se está abrangido
Entre os 194 inquiridos, 70% consideram que os seus produtos caem no âmbito do CRA, 10% acreditam que não — e 20% simplesmente não sabem. A incerteza é mais comum entre importadores, distribuidores e prestadores de serviços, cujas obrigações dependem da forma como a cadeia de fornecimento está montada. Determinar se um produto está ou não abrangido é o primeiro passo de qualquer plano de conformidade; um quinto do mercado ainda não o conseguiu dar.
A dimensão da empresa dita a maturidade
O inquérito mediu a maturidade em cinco domínios de segurança de produto, numa escala de 1 (sem processos) a 5 (processos medidos e melhorados continuamente). O padrão é constante: as médias empresas pontuam, em média, cerca de um ponto acima das microempresas em todos os domínios — e cerca de metade das microempresas está ainda nos níveis 1 ou 2, ou seja, sem processos formais ou a geri-los de forma improvisada.
| Domínio | Micro (1–9) | Pequena (10–49) | Média (50–249) |
|---|---|---|---|
| Governação e documentação | 2,5 | 3,0 | 3,5 |
| Gestão de risco e segurança desde a conceção | 2,4 | 2,8 | 3,2 |
| Gestão de vulnerabilidades e atualizações | 2,6 | 3,0 | 3,3 |
| Resposta a incidentes e ciclo de vida | 2,2 | 2,6 | 2,9 |
| Sensibilização, competências e formação | 2,5 | 2,9 | 3,3 |
Por detrás destes números está um défice estrutural: 57% das microempresas afirmam não ter ninguém — interno ou externo — responsável pela cibersegurança. Nas médias empresas, 93% têm um responsável interno. Em muitas micro, a pessoa que terá de tratar do CRA é a mesma que desenvolve o produto, gere clientes e assegura a operação diária.
Resposta a incidentes: o elo mais fraco
De todos os domínios avaliados, a resposta a incidentes e a gestão do ciclo de vida do produto obtiveram a pior pontuação média: 2,6 em 5 no conjunto da amostra. Mais de um terço das microempresas (36%) não tem qualquer plano de resposta a incidentes e apenas 2% testam e reveem os seus planos regularmente. No ciclo de vida do produto, o cenário é ainda mais claro: nenhuma microempresa reportou ter uma política formalmente aplicada, com períodos de suporte e datas de fim de vida definidos — algo que o CRA passará a exigir.
Threat modelling e SBOM: as exigências mais ignoradas
Nas práticas técnicas, a maioria das PME já aplica pelo menos uma medida reconhecida: 51% seguem práticas de desenvolvimento seguro de software e mais de 40% usam diretrizes de codificação segura, revisão de código ou processos de gestão de vulnerabilidades. Mas duas práticas exigidas pelo CRA para a maioria dos produtos abrangidos continuam marginais: a modelação de ameaças (threat modelling) é usada por apenas 24% e o inventário de componentes de software (SBOM, software bill of materials) por 35%. São os dois maiores fossos entre o que as PME fazem hoje e o que o regulamento espera delas.
O que as PME pedem: modelos práticos e apoio financeiro
Quando questionadas sobre o apoio de que precisam, as PME foram inequívocas: querem instrumentos práticos, não teoria. Os modelos (templates) para a documentação técnica obrigatória foram pedidos por 73% dos respondentes e os modelos para documentar práticas de desenvolvimento seguro por 71% — apenas 3 inquiridos disseram não precisar de nenhum. Seguem-se ferramentas técnicas de apoio à avaliação de conformidade (68%) e guias passo a passo para a documentação do CRA (66%).
Em paralelo, o apoio financeiro foi assinalado por 142 respondentes — o valor mais alto de qualquer item isolado, a par dos modelos de documentação. A mensagem é clara: o desafio não é só perceber as regras, é encontrar o tempo, as pessoas e o dinheiro para as cumprir. A ENISA reconhece-o nas recomendações finais, defendendo guias gratuitos, utilizáveis sem consultores e desenhados para quem não tem equipa de segurança.
Porque é que isto importa em Portugal
Há um detalhe do inquérito que devia fazer soar alarmes por cá: das 194 respostas recolhidas em 31 países, apenas 3 vieram de Portugal (1,55% da amostra) — menos do que a Letónia, a Dinamarca ou a Finlândia. Sendo a participação voluntária e tendencialmente feita pelas empresas mais atentas ao tema, uma presença portuguesa tão reduzida sugere que o CRA ainda não entrou no radar de grande parte do ecossistema nacional de software e produtos ligados.
O contexto agrava a leitura. O tecido empresarial português é composto quase exclusivamente por micro e pequenas empresas — precisamente o segmento onde o inquérito encontra menor maturidade, menos responsáveis de cibersegurança e maior desconhecimento das obrigações. E a ENISA sublinha que os resultados, vindos de um grupo mais empenhado do que a média, tenderão a ser otimistas face à realidade do conjunto das PME europeias.
Acresce que o CRA não chega isolado: soma-se ao Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025, que transpõe a diretiva NIS2) e, para o setor financeiro, ao DORA. Enquanto a NIS2 incide sobre as organizações e os seus serviços, o CRA incide sobre os produtos — uma PME pode escapar à primeira e ficar plenamente sujeita ao segundo. Quem desenvolve software ou dispositivos ligados em Portugal tem agora uma janela de cerca de 17 meses para classificar os produtos, levantar as lacunas de documentação e planear a conformidade com calma, em vez de o fazer em cima do prazo.
Onde consultar o relatório completo
O relatório integral — com a metodologia, os resultados pergunta a pergunta e as sete recomendações da agência — está disponível gratuitamente no site da ENISA: SME CRA Survey Report (ENISA, junho de 2026). A leitura das secções 4 (desafios e necessidades de apoio) e 7 (conclusões e recomendações) é particularmente útil para quem está a começar a preparar a conformidade.
Perguntas frequentes
Quando é que o Cyber Resilience Act se aplica?
O CRA entra em plena aplicação em dezembro de 2027. A partir dessa data, os produtos com elementos digitais colocados no mercado da UE têm de cumprir os requisitos essenciais de cibersegurança, incluindo documentação técnica, gestão de vulnerabilidades e atualizações de segurança ao longo do ciclo de vida.
A minha PME portuguesa está abrangida pelo CRA?
Se fabrica, importa ou distribui hardware ou software que se ligue ou comunique com outros dispositivos ou redes e o coloca no mercado da UE, muito provavelmente sim — o regulamento aplica-se independentemente da dimensão da empresa. Importadores e distribuidores têm obrigações específicas, diferentes das dos fabricantes. Em caso de dúvida, o primeiro passo é classificar cada produto face ao âmbito do regulamento.
Qual é a diferença entre o CRA e a NIS2?
A NIS2 (transposta em Portugal pelo Decreto-Lei n.º 125/2025) impõe medidas de segurança às organizações que prestam serviços essenciais ou importantes. O CRA impõe requisitos aos produtos com elementos digitais colocados no mercado. Uma empresa pode não estar abrangida pela NIS2 e, ainda assim, ter de cumprir o CRA por causa dos produtos que desenvolve ou distribui.
Por onde deve uma PME começar a preparação?
Três passos iniciais de baixo custo: classificar os produtos face ao âmbito do CRA (predefinidos, importantes ou críticos); levantar o estado da documentação técnica e das práticas de desenvolvimento seguro face aos requisitos; e definir um responsável pela cibersegurança, mesmo que em regime parcial ou externo. O inquérito mostra que as duas maiores lacunas técnicas são o threat modelling e o SBOM — dois bons candidatos a prioridade.
Esta informação tem caráter noticioso e baseia-se no relatório SME CRA Survey Report, divulgado publicamente pela ENISA em junho de 2026 e reutilizado ao abrigo da licença CC BY 4.0.
