O Regulamento de Ciber-Resiliência (Cyber Resilience Act — CRA) é o primeiro regulamento europeu a estabelecer requisitos obrigatórios de cibersegurança para produtos com elementos digitais — desde software a dispositivos IoT, eletrodomésticos inteligentes, routers e hardware industrial. Aprovado em 2024, o CRA impõe que os produtos sejam seguros por design e que os fabricantes e distribuidores mantenham a segurança durante todo o ciclo de vida do produto. Se a sua organização fabrica, importa ou distribui produtos com componentes digitais na UE, o CRA aplica-se a si.
O que é o CRA
O Regulamento (UE) 2024/2847, conhecido como Cyber Resilience Act, foi publicado em outubro de 2024 e entrará em aplicação de forma faseada até 2027. O CRA complementa a legislação de cibersegurança existente (NIS2, RGPD) ao focar-se especificamente nos produtos — e não apenas nos serviços ou infraestruturas. O objetivo é eliminar do mercado europeu produtos inseguros e garantir que fabricantes e distribuidores assumem responsabilidade pela segurança dos seus produtos ao longo do tempo.
A quem se aplica
| Papel na cadeia de valor | Âmbito | Prazo de conformidade |
|---|---|---|
| Fabricantes | Qualquer empresa que coloque no mercado da UE produtos com elementos digitais — hardware, software, firmware, dispositivos IoT | Dezembro de 2027 |
| Importadores | Empresas que importam para a UE produtos com elementos digitais fabricados fora da UE | Dezembro de 2027 |
| Distribuidores | Empresas que disponibilizam produtos no mercado da UE sem os modificar | Dezembro de 2027 |
| Produtos de classe I (importante) | Browsers, gestores de passwords, sistemas operativos, routers domésticos, SIEM, PKI | Avaliação por terceiros obrigatória |
| Produtos de classe II (crítico) | Hipervisores, firewalls industriais, microprocessadores, smartcards | Certificação por organismo notificado |
Principais obrigações
- Segurança por design (security by default) — Os produtos devem ser desenvolvidos com segurança incorporada desde a conceção: superfície de ataque mínima, configurações seguras por omissão, princípio do menor privilégio.
- Ausência de vulnerabilidades conhecidas exploráveis — Os produtos não podem ser colocados no mercado com vulnerabilidades conhecidas e exploráveis. O fabricante deve gerir ativamente a segurança do produto.
- Suporte de segurança durante 5 anos — Os fabricantes devem fornecer atualizações de segurança gratuitas durante pelo menos 5 anos (ou o ciclo de vida esperado do produto, se superior).
- Notificação de vulnerabilidades e incidentes — Reportar vulnerabilidades exploradas ativamente e incidentes graves à ENISA e às autoridades nacionais em 24 horas.
- Documentação e declaração de conformidade — Elaborar documentação técnica, declaração UE de conformidade e apor a marcação CE nos produtos abrangidos.
- Software Bill of Materials (SBOM) — Manter e disponibilizar uma lista de componentes de software incluídos no produto (dependências, bibliotecas de terceiros).
Calendário de implementação
| Data | Marco |
|---|---|
| Outubro 2024 | Publicação do regulamento no Jornal Oficial da UE |
| Setembro 2026 | Obrigações de notificação de vulnerabilidades e incidentes tornam-se aplicáveis |
| Dezembro 2027 | Todas as obrigações do CRA tornam-se plenamente aplicáveis |
Estado atual
O CRA está em fase de preparação para implementação. As organizações têm até dezembro de 2027 para colocar os seus produtos em conformidade, mas a preparação deve começar agora — especialmente para fabricantes de software que precisam de rever os seus processos de desenvolvimento seguro (SDLC), a gestão de dependências e as políticas de atualização. A ENISA e os organismos de normalização europeus (CEN/CENELEC) estão a trabalhar nas normas técnicas harmonizadas.
Recursos úteis
- ENISA — Agência Europeia de Cibersegurança: orientações técnicas e ferramentas de conformidade CRA
- Regulamento (UE) 2024/2847 — Texto oficial do CRA no EUR-Lex
- CEN/CENELEC — Organismos europeus de normalização a trabalhar nas normas técnicas harmonizadas para o CRA
- CNCS — Centro Nacional de Cibersegurança: acompanhamento da implementação em Portugal