Guia independente do Regulamento (UE) 2024/2847 · Estado: em vigor
Esta página é uma tradução automática (IA) e não foi revista por uma pessoa.
Orientações · Fontes oficiais

Orientações da Comissão Europeia sobre o CRA

Uma síntese, em linguagem clara, das orientações emitidas pela Comissão Europeia para ajudar a interpretar o Regulamento (UE) 2024/2847; o que abrangem e em que pontos clarificam as obrigações do texto legal.

01O que é isto

O regulamento estabelece as obrigações; as orientações da Comissão explicam como aplicá-las na prática. As orientações não são vinculativas e não alteram a lei, mas as autoridades de fiscalização do mercado e os organismos notificados recorrem a elas para uma interpretação coerente, pelo que constituem o complemento natural do Art. 1 texto.

Como utilizá-lo

Leia as orientações em conjunto com o artigo que interpretam. Sempre que as orientações e a sua própria leitura divergirem, a referência vinculativa é sempre o texto do regulamento e, em última instância, os tribunais.

02As perguntas frequentes da Comissão

A Comissão mantém um documento de perguntas frequentes que reúne as questões de interpretação mais comuns: casos-limite do âmbito de aplicação, o tratamento das peças sobressalentes e dos componentes e a forma como o calendário se aplica aos produtos já presentes no mercado. Publicado pela primeira vez em dezembro de 2025, é um «documento em permanente atualização» que é revisto à medida que surgem novas questões.

Fonte oficial

Consulte as perguntas frequentes da Comissão sobre a aplicação do CRA: Aplicação do Cyber Resilience Act: perguntas frequentes ↗

03Esclarecimentos sobre o âmbito de aplicação

Grande parte das orientações aborda âmbito de aplicação, a área que suscita mais dúvidas. Esclarece o que se entende por «produto com elementos digitais», como são tratadas as soluções de processamento remoto de dados e onde se situa a fronteira com a legislação setorial específica. Art. 2

  • Ligação de dados; uma ligação lógica ou física, direta ou indireta, é suficiente para incluir um produto no âmbito de aplicação.
  • Setores excluídos; os dispositivos médicos, os veículos a motor e a aviação civil mantêm-se sujeitos aos seus próprios quadros regulamentares.
  • SaaS; os serviços autónomos estão, em geral, fora do âmbito do CRA, mas o tratamento necessário para o funcionamento de um produto é considerado parte integrante do produto. Art. 3

04Software de fonte aberta

As orientações explicam o regime adaptado e mais leve para a fonte aberta. O software de fonte aberta não comercial desenvolvido fora de uma atividade comercial está, em larga medida, fora do âmbito de aplicação; os «responsáveis pela gestão de software de fonte aberta» têm um conjunto de deveres definido e proporcionado.

Distinção essencial

O elemento determinante é a atividade comercial. Um componente fornecido gratuitamente, mas no âmbito de uma atividade comercial, pode ainda assim estar abrangido pelo âmbito de aplicação.

05Período de apoio e atualizações

As orientações indicam como definir um período defensável de período de apoio: deve refletir o período durante o qual é razoavelmente expectável que o produto seja utilizado, devendo, em geral, ser de pelo menos cinco anos, salvo se a utilização prevista for mais curta. As atualizações de segurança devem ser gratuitas e fornecidas separadamente das atualizações de funcionalidades. Art. 13

06Notificação e ENISA

A notificação é efetuada através da plataforma única de notificação que a ENISA está a estabelecer ao abrigo do Art. 16. Ao tomar conhecimento de uma vulnerabilidade ativamente explorada, ou de um incidente grave que afete a segurança do produto, o fabricante notifica a ENISA e o CSIRT nacional através dessa plataforma, respeitando os prazos de 24 horas / 72 horas / 14 dias. As orientações estabelecem o que deve constar do alerta precoce, da notificação e do relatório final. Art. 14

Aplica-se a partir de 11 de setembro de 2026

As obrigações de comunicação tornam-se exequíveis em 11 de setembro de 2026 e a plataforma única de comunicação da ENISA deverá estar operacional até essa data.

07Normas harmonizadas

Os requisitos essenciais do Anexo I são expressos em termos de resultados. As normas harmonizadas, uma vez referenciadas no Jornal Oficial, conferem uma presunção de conformidade aos produtos que as cumprem.

O pedido de normalização da Comissão M/606 foi aceite pelo CEN, CENELEC e ETSI em 2025 e abrange cerca de 41 normas: aproximadamente 15 horizontais (independentes do produto) e as restantes verticais (específicas do produto). As duas normas horizontais fundamentais, sobre desenvolvimento seguro e sobre tratamento de vulnerabilidades, são esperadas até 30 de agosto de 2026; as normas verticais até 30 de outubro de 2026; e as restantes normas horizontais até 30 de outubro de 2027, cerca de um ano antes da aplicação plena.

Porque é importante

Enquanto não forem citadas normas, a conformidade deve ser demonstrada diretamente face aos requisitos do anexo I. Uma vez citada uma norma pertinente, segui-la é a via mais simples para uma presunção de conformidade.