Guia independente do Regulamento (UE) 2024/2847 · Estado: em vigor
Esta página é uma tradução automática (IA) e não foi revista por uma pessoa.
Caminho para a conformidade · Orientações

Guia do CRA para programadores de software

Como o Regulamento Ciber-Resiliência se aplica aos produtos de software; desde o desenvolvimento seguro até ao tratamento de vulnerabilidades, às listas de materiais de software e à marcação CE.

Aplica-se a
Software com elementos digitais
Conformidade
Normas ou avaliação por terceiros
Período de apoio
Definido, ≥ utilização prevista

Etapas de conformidade

1

Confirme o âmbito de aplicação e a classe

Art. 2 · 6

A maioria do software colocado no mercado da UE com uma ligação de dados está abrangida pelo âmbito de aplicação, e muitas ferramentas para programadores enquadram-se na categoria de produtos «importantes» do anexo III.

  • Execute o CRA Fast Check para confirmar o âmbito de aplicação
  • Identifique se o seu produto é por defeito, importante ou crítico
  • Registe a fundamentação na sua documentação
Ferramenta para esta etapa
2

Integrar a segurança desde a conceção

Annex I · I

Conceber e desenvolver o produto de modo a cumprir as propriedades essenciais de segurança ao longo de todo o seu ciclo de vida.

  • Fornecer uma configuração segura por defeito
  • Aplicar controlos de autenticação e de acesso
  • Proteger os dados mediante cifragem em trânsito e em repouso
  • Minimizar a superfície de ataque e as interfaces expostas
Erro comum

Deixar ativas, nas versões de produção, interfaces de depuração, credenciais predefinidas ou mensagens de erro detalhadas.

Ferramenta para esta etapa
3

Estabelecer o tratamento de vulnerabilidades

Annex I · II

Operar um processo documentado para detetar, corrigir e divulgar vulnerabilidades ao longo do período de apoio.

  • Publicar uma política de divulgação coordenada de vulnerabilidades
  • Disponibilizar um ponto de contacto para a comunicação de problemas
  • Corrigir as vulnerabilidades sem demora injustificada
  • Divulgar as vulnerabilidades corrigidas assim que uma atualização estiver disponível
4

Manter uma lista de materiais de software

Anexo I · II(1)

Manter uma SBOM atualizada que abranja, pelo menos, as dependências de nível superior do seu produto.

  • Gerar uma SBOM num formato legível por máquina
  • Acompanhe os componentes e as suas vulnerabilidades conhecidas
  • Mantê-la atualizada a cada versão lançada
Ferramenta para esta etapa
5

Fornecer atualizações de segurança gratuitas e atempadas

Annex I · I(2)

Disponibilize as atualizações de segurança separadamente das atualizações de funcionalidades, a título gratuito, durante o período de apoio declarado.

  • Definir e publicar o período de apoio
  • Disponibilizar atualizações de segurança de forma atempada
  • Distribuir as correções através de um mecanismo seguro
6

Reunir a documentação técnica

Anexo VII

Compile a documentação que demonstra a conformidade e mantenha-a disponível para a fiscalização do mercado.

  • Descrição do produto e utilização prevista
  • Avaliação dos riscos de cibersegurança
  • Registos das normas aplicadas
7

Avaliar a conformidade e apor a marcação CE

Art. 32 · 36

Siga o procedimento de avaliação da conformidade aplicável à sua classe e complete a declaração UE de conformidade.

  • Autoavaliação (por defeito) ou recurso a um organismo notificado (importantes/críticos)
  • Elabore e assine a declaração UE de conformidade
  • Apor a marcação CE
Ferramenta para esta etapa
8

Cumprir as obrigações de comunicação e manter o produto

Art. 13(8) · 14

A partir de setembro de 2026, notifique as vulnerabilidades ativamente exploradas e os incidentes graves e mantenha o produto durante todo o seu período de apoio.

  • Apresente um alerta precoce à ENISA e à CSIRT no prazo de 24 horas
  • Dar seguimento com uma notificação e um relatório final
  • Informar os utilizadores afetados, sempre que adequado
A sua obrigação contínua

O período de apoio deve ser de pelo menos cinco anos (ou o tempo de vida previsto do produto, se for mais longo), contado a partir do momento em que o produto é colocado no mercado da UE. Ao longo desse período, deve proceder ao tratamento de vulnerabilidades e fornecer atualizações de segurança gratuitas; cada atualização deve depois permanecer disponível durante 10 anos, e a documentação técnica e a declaração UE de conformidade devem ser conservadas durante 10 anos.

Ferramentas gratuitas para esta função

Todas as ferramentas abaixo são gratuitas e abrem aqui num painel lateral, para que não perca o seu lugar.

GratuitoVerificação Rápida do CRA

Confirme se o Act se aplica e qual a sua classe provável.

Abrir aqui →GratuitoMatriz de conformidade

Associe todas as obrigações dos anexos I e VII e acompanhe-as até à conclusão.

Abrir aqui →GratuitoCalculadora de custos

Estime o custo pontual e anual da conformidade.

Abrir aqui →GratuitoVulnerability Analyzer

Cruze a sua lista de materiais de software com a NVD e a EUVD e acompanhe os componentes em fim de vida (End-of-Life).

Abrir aqui →GratuitoGerador de DoC

Gere uma declaração UE de conformidade (anexo V) para o seu produto.

Abrir aqui →GratuitoLocalizador de classificação

Determine com precisão se o seu produto é predefinido, importante ou crítico, pela designação.

Abrir aqui →GratuitoPlaneador do período de apoio

Defina o seu período de apoio mínimo e assinale os componentes que atingem o fim de vida demasiado cedo.

Abrir aqui →
Mais orientações

Outros guias para partes interessadas

M

Fabricantes

As obrigações que o Cyber Resilience Act impõe aos produtores de produtos com elementos digitais; desde a avaliação dos riscos até à marcação CE e aos deveres pós-comercialização.

Ler este guia →
I

Importadores e distribuidores

O que os operadores económicos devem verificar antes; e depois; de disponibilizarem um produto com elementos digitais no mercado da UE.

Ler este guia →
CE

Como obter uma marcação CE

As etapas para declarar a conformidade e apor a marcação CE num produto com elementos digitais.

Ler o guia →