01O que é o CRA
O Cyber Resilience Act é a primeira lei à escala da UE a estabelecer requisitos obrigatórios de cibersegurança para produtos com elementos digitais; hardware e software; ao longo de todo o seu ciclo de vida. Transfere a responsabilidade pela segurança para as organizações que colocam estes produtos no mercado, em vez de a deixar a cargo dos utilizadores. Art. 1
Na prática, um produto só pode ser disponibilizado no mercado da UE se cumprir os requisitos essenciais estabelecidos no anexo I e se o fabricante tiver cumprido as obrigações que lhe estão associadas. A conformidade é assinalada pela Marcação CE.
Se o seu produto tiver elementos digitais e chegar ao mercado da UE, deve ser concebido, construído e mantido segundo um nível definido de cibersegurança; e tem de o conseguir demonstrar.
02A quem se aplica
O regulamento abrange os produtos com elementos digitais cuja utilização prevista ou razoavelmente previsível inclua uma ligação de dados direta ou indireta. As obrigações distribuem-se ao longo da cadeia de abastecimento: Art. 13–28
- Fabricantes; assumem as obrigações principais: conceção, documentação, avaliação da conformidade e tratamento de vulnerabilidades.
- Importadores; só podem colocar no mercado produtos conformes e devem verificar que as obrigações do fabricante foram cumpridas.
- Distribuidores; devem agir com a devida diligência e verificar se a marcação CE e a documentação estão presentes.
Os produtos já abrangidos por regras setoriais específicas, como os dispositivos médicos, os veículos a motor e a aviação civil, estão excluídos, tal como os componentes de fonte aberta não comerciais.
03Classes de produtos
O percurso de conformidade exigido depende do grau de criticidade do produto. A maioria dos produtos procede a uma autoavaliação; as categorias de risco mais elevado enumeradas nos anexos enfrentam procedimentos mais rigorosos. Art. 6–7 · Annex III–IV
| Classe | Exemplos | Via de conformidade |
|---|---|---|
| Por defeito | A maioria dos produtos com elementos digitais | Autoavaliação |
| Importante; I | Gestores de palavras-passe, gestão de redes, VPNs | Normas ou avaliação por terceiros |
| Importante; II | Sistemas operativos, firewalls, microprocessadores | Avaliação por terceiros |
| Crítico | Contadores inteligentes, cartões inteligentes, elementos seguros | Certificação obrigatória |
04Obrigações essenciais
Os requisitos essenciais do anexo I dividem-se em dois grupos; propriedades que o produto deve ter e processos que o fabricante deve operar. Anexo I
- Segurança desde a conceção e por defeito; fornecido com uma configuração segura e uma superfície de ataque minimizada.
- Sem vulnerabilidades exploráveis conhecidas; fornecido isento de falhas exploráveis conhecidas.
- Tratamento de vulnerabilidades; um processo para identificar, documentar, corrigir e divulgar problemas.
- Atualizações de segurança; atualizações gratuitas e atempadas ao longo do período de apoio definido.
- Lista de materiais de software (SBOM); manter uma SBOM que abranja os componentes do produto.
- Notificação; notificar as vulnerabilidades ativamente exploradas e os incidentes graves à ENISA e ao CSIRT competente, com um alerta precoce no prazo de 24 horas.
05Cronologia e sanções
O regulamento já está em vigor; as suas obrigações entram progressivamente em aplicação ao longo dos anos seguintes. Art. 71
- out. 2024Adotado e promulgado.
- Dez. 2024Entrou em vigor.
- set. 2026Aplicam-se as obrigações de notificação (21 meses após a entrada em vigor).
- Dez. 2027Aplicação plena; aplica-se a maioria das disposições (36 meses).
O incumprimento dos requisitos essenciais pode dar origem a coimas até 15 milhões de € ou 2,5 % do volume de negócios anual total a nível mundial, consoante o que for mais elevado.
06O que fazer a seguir
Comece por confirmar se a lei se aplica ao seu produto e, em seguida, siga as orientações redigidas para o seu papel.