Regulamento (UE) 2024/2847 – Regulamento Ciber-Resiliência (CRA)

O Regulamento (UE) 2024/2847 – Regulamento da Ciber-Resiliência (Cyber Resilience Act, CRA) é um novo regulamento da UE que introduz requisitos horizontais de cibersegurança para “produtos com elementos digitais”. Foi adotado em outubro de 2024 e passará a aplicar-se diretamente em todos os países da UE, após períodos transitórios, a partir do final de 2027. Para um gestor do setor industrial — seja responsável pela manutenção, pelas compras ou pelo compliance — importa desde já compreender que produtos são abrangidos por este regulamento, que novas obrigações impõe a fabricantes, importadores e distribuidores e como preparar a empresa para as mudanças que se aproximam. A seguir, apresentamos as informações essenciais numa perspetiva prática, sem jargão jurídico, mas com rigor técnico — para facilitar a adoção das medidas preparatórias adequadas. Para uma visão mais alargada sobre a preparação do produto, consulte Cyber Resilience Act (CRA) – como preparar o produto antes do aparecimento de normas harmonizadas.

Âmbito de aplicação: que produtos são abrangidos pelo Regulamento da Ciber-Resiliência?

O Regulamento (UE) 2024/2847 aplica-se a todos os “produtos com elementos digitais” disponibilizados no mercado da UE cuja utilização prevista inclua a ligação a outro dispositivo ou a uma rede (direta ou indiretamente, física ou logicamente). Por outras palavras, a maioria dos equipamentos ou programas informáticos que possam comunicar com outros sistemas fica sujeita aos novos requisitos. Na prática, isto inclui, entre outros, dispositivos IoT e eletrónica de consumo (por exemplo, smartwatches, telemóveis, eletrodomésticos e equipamentos de áudio e vídeo inteligentes, babás eletrónicas), dispositivos wearables (por exemplo, pulseiras fitness), equipamentos industriais com funções de rede (sensores e máquinas industriais ligados à rede) e diversos tipos de software (sistemas operativos, aplicações móveis e para computador, software empresarial, etc.). É importante salientar que o software comercializado autonomamente (como produto) também está abrangido pelo CRA, tal como os serviços remotos de tratamento de dados que constituam parte integrante do produto — por exemplo, um serviço cloud que controla um dispositivo de casa inteligente será tratado como parte do produto e terá de cumprir os requisitos de segurança.

O regulamento tem um âmbito muito alargado, mas prevê também exclusões para determinadas categorias de produtos que já são reguladas por legislação setorial própria. O CRA não abrange, entre outros: dispositivos médicos (abrangidos pelos regulamentos MDR 2017/745 e 2017/746), veículos e os seus equipamentos (abrangidos, entre outros, pelo regulamento 2019/2144 no domínio da homologação de veículos), aeronaves (regulamento 2018/1139 relativo à aviação), nem equipamentos marítimos (diretiva 2014/90/UE). Estes produtos estão sujeitos a regulamentação própria, muitas vezes já com requisitos adaptados ao respetivo setor, pelo que foram excluídos do âmbito do CRA. Além disso, as novas regras não se aplicam a hardware e software exclusivamente militares ou destinados à segurança nacional (nem ao tratamento de informações classificadas). Estão igualmente excluídas as peças sobresselentes fornecidas como substituição de componentes idênticos — se o produto original tiver sido legalmente colocado no mercado, a peça idêntica não tem de cumprir separadamente o CRA.

Importa ainda notar que o chamado software livre e de código aberto (open source) não será abrangido pelo CRA, desde que não seja disponibilizado no âmbito de uma atividade comercial. Assim, se determinado software for desenvolvido e publicado gratuitamente, fora do circuito comercial, os seus criadores (por exemplo, a comunidade open source) não são tratados como “fabricantes” na aceção do regulamento e não lhes são impostas as obrigações descritas abaixo. No entanto, se uma empresa utilizar um componente open source no seu produto comercial, a responsabilidade pelo cumprimento dos requisitos de segurança recai sobre o fabricante do produto final. Em síntese, o CRA dirige-se sobretudo a produtos digitais desenvolvidos e comercializados de forma profissional, destinados aos utilizadores finais no mercado interno da UE.

Porque foi introduzido o CRA? Novas ameaças, lacuna regulatória e cadeia de abastecimento

A União Europeia identificou uma necessidade urgente de reforçar a ciber-resiliência dos produtos digitais face ao aumento das ameaças. Nos últimos anos, o número e a diversidade de dispositivos ligados à internet cresceram de forma explosiva — desde sistemas IoT industriais em fábricas até equipamentos domésticos inteligentes. Infelizmente, o nível de cibersegurança destes produtos é frequentemente baixo, o que se traduz em vulnerabilidades generalizadas e num fornecimento insuficiente e inconsistente de atualizações de segurança. Muitos fabricantes não têm dado prioridade à segurança ao longo de todo o ciclo de vida do produto, e os utilizadores muitas vezes não têm consciência nem informação sobre quais os dispositivos seguros, durante quanto tempo serão suportados com atualizações e como utilizá-los de forma segura. Esta combinação de fatores conduz a um risco acrescido de ciberataques.

O Regulamento da Ciber-Resiliência vem colmatar uma lacuna regulatória – até agora, faltavam requisitos uniformes e obrigatórios a nível da UE para a segurança digital dos produtos. Embora já existissem iniciativas como as certificações de segurança TIC (ao abrigo do Regulamento Cibersegurança 2019/881) ou os requisitos da diretiva NIS2 para setores críticos, nenhuma legislação impunha diretamente a obrigação de “cibersegurança desde a conceção” para todos os dispositivos e programas informáticos colocados no mercado. O CRA cria precisamente esse quadro universal – exige que o hardware e o software sejam concebidos, fabricados e mantidos com medidas de proteção robustas ao longo de todo o ciclo de vida. O objetivo é que cheguem ao mercado produtos com menos vulnerabilidades e que os fabricantes assegurem a eliminação rápida de novas ameaças (por exemplo, através de correções de segurança), em vez de deixarem os utilizadores com dispositivos vulneráveis.

A questão da ciber-resiliência tem também uma dimensão transfronteiriça e de cadeia de abastecimento. Numa era em que tudo está ligado a tudo, um incidente num único dispositivo aparentemente insignificante pode tornar-se um vetor de ataque contra toda a organização ou os seus parceiros de negócio. Um sensor IoT infetado numa área de produção pode abrir a porta à rede da fábrica; uma vulnerabilidade numa aplicação amplamente utilizada pode ser explorada à escala global em poucos minutos. Como foi sublinhado na fundamentação do regulamento, um incidente cibernético num único produto pode propagar-se pela cadeia de abastecimento para além das fronteiras de um país em poucos minutos. Os custos destes ataques não recaem apenas sobre fabricantes e utilizadores, mas sobre toda a sociedade – perturbações em infraestruturas críticas, perdas financeiras, violações da segurança pública. Regras comuns e obrigatórias em toda a UE devem elevar o nível geral de proteção e evitar situações em que o elo mais fraco (um produto sem resiliência) põe todos em risco.

Outro motivo adicional é o aumento da confiança nos produtos digitais e a criação de condições de concorrência mais equilibradas. Atualmente, os fabricantes que investem em segurança desde a conceção acabam, por vezes, por perder em preço para aqueles que ignoram estas questões. O CRA pretende fazer com que a cibersegurança passe a ser um padrão de qualidade – todos terão de cumprir requisitos mínimos, o que equilibrará as condições de concorrência e reduzirá os custos sociais dos ataques (que hoje são transferidos para as vítimas). Em consequência, isto deverá aumentar a resiliência de todo o mercado da UE e a confiança dos clientes nos dispositivos modernos com elementos digitais. O regulamento insere-se também numa estratégia mais ampla da UE (juntamente com o RGPD, a NIS2, o DORA, etc.) destinada a reforçar a cibersegurança dos serviços e produtos como base da economia digital.

Regulamento (UE) 2024/2847: Principais obrigações para fabricantes, importadores e distribuidores

O novo regulamento introduz um conjunto de obrigações concretas para os operadores económicos envolvidos na cadeia de abastecimento de produtos com elementos digitais. O âmbito da responsabilidade depende do papel desempenhado – as exigências mais extensas recaem sobre os fabricantes, mas os importadores e distribuidores também têm tarefas relevantes. A seguir, resumimos as principais obrigações na perspetiva de um gestor responsável por assegurar a conformidade dos produtos da empresa com a legislação.

Obrigações dos fabricantes

O fabricante (bem como a entidade que coloca o produto no mercado com a sua própria marca ou o modifica – sendo também tratada como fabricante) assume a principal responsabilidade pelo cumprimento dos requisitos do CRA. Entre as suas tarefas mais importantes contam-se:

• Garantir a conformidade do produto com os requisitos essenciais de cibersegurança definidos no anexo I do regulamento. Na prática, isto significa que o produto, já na fase de conceção e desenvolvimento, deve incorporar características que assegurem um nível adequado de segurança digital, proporcional ao risco associado ao respetivo produto. O regulamento enumera vários requisitos técnicos concretos, incluindo, entre outros, a ausência de vulnerabilidades conhecidas no momento da colocação no mercado, a utilização de configurações predefinidas seguras (por exemplo, evitando palavras-passe por defeito), encriptação sempre que apropriado, proteção contra acesso não autorizado, proteção dos dados pessoais do utilizador, resistência a ataques que perturbem as funções do produto (por exemplo, ataques DoS) e a possibilidade de efetuar reposição para as definições de fábrica. O produto deve ser concebido de forma a reduzir ao máximo a sua “superfície de ataque”, por exemplo, sem portas abertas ou serviços desnecessários que aumentem a exposição a ciberameaças. Estes requisitos essenciais (parte I do anexo I do CRA) constituem uma lista de verificação das características de segurança que todos os produtos digitais devem cumprir.
• Estabelecer um processo de gestão de vulnerabilidades e incidentes – o fabricante deve zelar ativamente pela segurança do produto após a sua venda, durante todo o período de suporte declarado. A parte II do anexo I define os requisitos relativos ao processo de tratamento de vulnerabilidades (vulnerability handling): testes e monitorização regulares para detetar novas falhas, receção de notificações de vulnerabilidades (por exemplo, de investigadores ou utilizadores) e correção rápida das vulnerabilidades identificadas através do fornecimento de atualizações de segurança. O fabricante deve manter uma política de divulgação coordenada de vulnerabilidades (coordinated disclosure), ou seja, dispor de um ponto de contacto designado para a comunicação de problemas e de procedimentos para responder a essas comunicações. É importante que as atualizações eliminem as vulnerabilidades sem demora e sejam distribuídas de forma segura (por exemplo, com assinatura digital). Além disso, o fabricante é obrigado a assegurar suporte e atualizações de segurança durante um período correspondente ao ciclo de vida previsível do produto, no mínimo 5 anos (salvo se a natureza do produto justificar um período mais curto). Em outras palavras, se o nosso equipamento se destina normalmente a servir os clientes durante ~5+ anos, não podemos deixar de disponibilizar correções ao fim de um ou dois anos – será exigido suporte pós-venda durante vários anos, para que o utilizador não fique com um dispositivo vulnerável.
• Realização da avaliação do risco de cibersegurança – antes de colocar no mercado um produto com elementos digitais, o fabricante deve efetuar uma análise sistemática dos riscos associados às ciberameaças desse produto. A avaliação de risco deve fazer parte do processo de conceção (security by design) e ter em conta, entre outros aspetos, a utilização prevista do produto, possíveis utilizações indevidas, condições de utilização (ambiente informático, rede, tipo de dados processados pelo dispositivo). Com base nesta análise, devem ser planeadas medidas de proteção adequadas e integradas na conceção. A documentação da avaliação do risco no ciberespaço passa a fazer parte da documentação técnica do produto e deve ser atualizada caso surjam novas ameaças. O fabricante é obrigado a conservar essa documentação durante pelo menos 10 anos a contar da colocação do produto no mercado (e, se o período de suporte declarado for superior a 10 anos, durante o período correspondente). A avaliação de risco não é um exercício único – deve ser verificada e atualizada sempre que necessário, em especial quando forem detetadas novas vulnerabilidades ou quando mudar o contexto de utilização do produto.
• Supervisão dos componentes externos – o fabricante deve atuar com a devida diligência ao utilizar componentes de terceiros, incluindo bibliotecas open source. É necessário garantir que os componentes externos (de software e hardware) não comprometem a cibersegurança do produto no seu conjunto. Na prática, isto significa controlar as versões e atualizações das bibliotecas utilizadas, monitorizar vulnerabilidades conhecidas (por exemplo, publicadas em CVE) nesses componentes e atualizá-los ou substituí-los quando forem identificadas falhas. Se o produto utilizar software open source e for detetada uma vulnerabilidade, o fabricante tem a obrigação de informar a entidade responsável pela manutenção desse open source (por exemplo, o projeto open source) sobre o problema ocorrido e, caso elimine a vulnerabilidade por sua própria iniciativa, transmitir à comunidade informações sobre a correção aplicada. O objetivo é envolver os fabricantes no ecossistema de correção coordenada de vulnerabilidades também nos componentes open source.
• Avaliação formal da conformidade e documentação – antes de o produto ser colocado no mercado, o fabricante deve realizar o procedimento de avaliação da conformidade com os requisitos do CRA e elaborar a documentação que comprove o cumprimento desses requisitos. No caso da maioria dos produtos “comuns” (não incluídos nas categorias de risco acrescido), será suficiente uma verificação interna (avaliação interna) e a preparação da documentação técnica que inclua, entre outros elementos, a descrição do produto, os resultados da análise de risco, a lista das medidas de segurança aplicadas, os procedimentos de ensaio e de atualização, etc. Em seguida, o fabricante emite a declaração UE de conformidade, na qual declara que o produto cumpre todos os requisitos do CRA aplicáveis, e apõe no produto a marcação CE. Atenção: se o produto tiver sido classificado como “importante” ou “crítico” do ponto de vista da cibersegurança (Annex III e IV CRA), poderão aplicar-se procedimentos mais rigorosos de avaliação da conformidade. Para os produtos importantes de classe II e para os produtos críticos, será exigida certificação por terceiros, ou seja, ensaio e certificado emitidos por um organismo notificado (por exemplo, um laboratório acreditado). Para os produtos importantes de classe I, a autocertificação só é permitida se existirem normas harmonizadas adequadas que o fabricante utilize – caso contrário, também será necessária a participação de terceiros. Por isso, o gestor deve determinar em que categoria se enquadra o produto da empresa e se será necessário planear certificação externa (o que pode afetar o calendário de colocação do produto no mercado).
• Monitorização da segurança após a colocação no mercado e reporte – uma das novidades introduzidas pelo Cyber Resilience Act (CRA) é a obrigação de comunicar problemas graves de segurança às autoridades competentes. O fabricante deve notificar ao CSIRT nacional (equipa de resposta) designado como coordenador e à agência ENISA todas as vulnerabilidades do seu produto que estejam a ser ativamente exploradas, bem como qualquer incidente grave com impacto na segurança do produto. O prazo para a notificação é muito curto – 24 horas a contar da deteção da vulnerabilidade/incidente (de forma semelhante às exigências do RGPD ou da NIS2). As notificações serão efetuadas através de uma plataforma europeia única gerida pela ENISA. A obrigação de reporte entrará em vigor antes dos restantes requisitos (setembro de 2026 – ver prazos abaixo) e abrangerá todos os produtos no mercado a partir desse momento. Por isso, o fabricante deve dispor de procedimentos internos capazes de detetar um incidente ou vulnerabilidade e, no prazo de um dia, transmitir as informações exigidas pelo regulamento. O objetivo é fornecer às autoridades de supervisão uma visão geral das ameaças emergentes e coordenar a resposta (por exemplo, alertar outros utilizadores quando um determinado produto apresenta uma vulnerabilidade crítica).

Estas obrigações implicam frequentemente mudanças organizacionais significativas — desde a implementação de um Secure SDLC no departamento de I&D, passando por novas políticas de manutenção e suporte dos produtos, até documentação adicional e formação do pessoal. Em contrapartida, a empresa ganha maior segurança de que o seu produto não se tornará a origem de um ciberincidente grave, além de assegurar a conformidade com a legislação que se aproxima, o que permitirá continuar a comercialização no mercado da UE.

Regulamento (UE) 2024/2847: Obrigações dos importadores e distribuidores

As entidades que importam produtos com elementos digitais de fora da UE (importadores) ou que os revendem no mercado da União (distribuidores) também têm de garantir a conformidade desses produtos com o CRA. O seu papel consiste sobretudo na verificação e na resposta a eventuais não conformidades.

O importador, antes de colocar o produto no mercado da UE, tem de verificar se o fabricante cumpriu as suas obrigações — por outras palavras, se o produto ostenta a marcação CE exigida e a declaração UE de conformidade, se foram incluídas as instruções e as informações de segurança, e se o fabricante elaborou a documentação técnica exigida. O importador não tem de testar ele próprio a cibersegurança do produto, mas, se tiver dúvidas fundamentadas quanto à conformidade do produto com os requisitos (por exemplo, ausência de marcação CE, falta de informação sobre o período de suporte, etc.), não deve disponibilizar esse produto no mercado até se certificar de que a não conformidade foi corrigida. Se verificar que o produto não cumpre os requisitos do CRA, o importador é obrigado a informar as autoridades de fiscalização e a tomar medidas corretivas — assegurar que o produto seja colocado em conformidade ou, se isso não for possível, retirá-lo da comercialização ou do mercado. Tal como os fabricantes, os importadores devem conservar uma cópia da declaração de conformidade e garantir que a documentação técnica esteja disponível para as autoridades, mediante pedido. Devem também indicar no produto (ou na embalagem) os seus dados de contacto e assegurar que o produto está devidamente identificado. Na prática, o papel do importador funciona como uma barreira de segurança — impedir que sejam distribuídos na UE produtos que não disponham da documentação que comprove o cumprimento do CRA.

Os distribuidores (grossistas nacionais, retalhistas, etc.) encontram-se numa situação semelhante à dos importadores, com a diferença de que verificam o cumprimento dos requisitos tanto pelo fabricante como, se aplicável, pelo importador, caso o produto provenha de fora da UE. Assim, antes da revenda, o distribuidor deve verificar se o produto tem aposta a marca CE, se inclui a declaração ou as instruções exigidas por lei e se não foram emitidos avisos públicos de que determinado modelo não cumpre os requisitos de segurança. Em caso de dúvida, também tem a obrigação de suspender a venda até que a situação seja esclarecida. Se considerar (ou for informado de) que o produto representa um risco grave ou não cumpre os requisitos do CRA, deve informar o fabricante ou o importador, bem como as autoridades de fiscalização, e cooperar nas medidas corretivas (por exemplo, em ações de retirada do mercado).

Na perspetiva de um gestor de compras, estas regras significam a necessidade de maior vigilância na seleção de fornecedores de hardware/software. É necessário garantir que os parceiros comerciais de fora da UE fornecem produtos já conformes com o CRA, porque, caso contrário, a nossa empresa (enquanto importadora) assumirá a responsabilidade pelas falhas. Para o distribuidor (por exemplo, uma empresa que comercializa soluções de automação industrial), acresce a obrigação de acompanhar se os produtos das várias marcas que integra na sua oferta dispõem de declarações de conformidade atualizadas e cumprem os requisitos — na prática, isto exigirá uma cooperação estreita com os fabricantes e uma reação rápida a quaisquer alertas de segurança relativos aos equipamentos comercializados.

Importa notar: se o importador ou distribuidor colocar o produto no mercado com o seu próprio logótipo/marca ou modificar o produto (por exemplo, alterando a sua funcionalidade, o software ou a configuração de forma relevante para a cibersegurança), então, nos termos do regulamento, passa ele próprio a ser o fabricante desse produto. Nesse caso, terá de assumir todas as obrigações do fabricante (realizar a avaliação da conformidade, emitir a sua própria declaração, etc.). Esta situação aplica-se, por exemplo, a empresas integradoras de sistemas que vendem equipamentos OEM sob a sua própria marca — devem ter especial cuidado, porque, do ponto de vista formal, respondem pela conformidade da mesma forma que o fabricante original.

Datas de entrada em vigor e períodos transitórios

O Regulamento (UE) 2024/2847 foi publicado no Jornal Oficial em 20 de novembro de 2024. A entrada em vigor ocorreu em 10 de dezembro de 2024 (20 dias após a publicação), mas as principais obrigações só passarão a aplicar-se 36 meses após essa data. O legislador previu, assim, um longo período transitório para dar tempo ao setor para se adaptar. Eis as datas-chave:

• 11 de setembro de 2026 – a partir desta data passam a aplicar-se as obrigações de reporte de vulnerabilidades e incidentes. O fabricante de qualquer produto com elementos digitais presente no mercado da UE terá de comunicar às autoridades competentes todas as vulnerabilidades ativamente exploradas e os incidentes graves de segurança relacionados com o seu produto. Esta data ocorre 21 meses após a entrada em vigor do CRA e significa que, já em 2026, as empresas têm de dispor de procedimentos de monitorização da segurança e de comunicação de problemas. Isto não depende do momento em que o produto foi colocado no mercado – aplica-se também a produtos vendidos antes de 2026 que continuem em utilização. Por outras palavras, mesmo que um equipamento tenha sido colocado no mercado, por exemplo, em 2025 (antes da aplicação do regulamento), e em setembro de 2026 seja nele identificada uma vulnerabilidade crítica, o fabricante tem a obrigação de a comunicar e corrigir.
• 11 de junho de 2026 – a partir desta data deverão aplicar-se as disposições relativas aos organismos notificados e aos organismos de avaliação da conformidade. Até meados de 2026, os Estados-Membros prepararão o sistema de designação e notificação dos organismos que ficarão habilitados a certificar produtos (importantes e críticos) quanto ao cumprimento dos requisitos do CRA. Para os fabricantes, é essencial que, no segundo semestre de 2026, já exista infraestrutura disponível para realizar os ensaios e a certificação exigidos.
• 11 de dezembro de 2027 – aplicação plena do regulamento CRA. A partir desta data, nenhum produto com elementos digitais que não cumpra os requisitos do CRA poderá ser legalmente colocado no mercado da UE. Este prazo (3 anos após a entrada em vigor) é a data-limite para adaptar produtos e processos. Depois de 11.12.2027, todos os novos equipamentos e software vendidos na UE terão de ser concebidos, fabricados e mantidos em conformidade com o CRA – caso contrário, a empresa fica exposta a sanções graves. Importa sublinhar que as disposições preveem algum alívio para os produtos já presentes no mercado: se um determinado produto (exemplar concreto) tiver sido já disponibilizado no mercado antes de 11 de dezembro de 2027, poderá continuar a circular sem cumprir o CRA. No entanto, isto aplica-se apenas a exemplares individuais – o tipo de produto concebido antes do CRA não beneficia automaticamente de uma exclusão. Cada novo lote, cada novo exemplar colocado à venda após essa data tem de estar em conformidade com o CRA, salvo se já se encontrasse fisicamente no circuito comercial antes disso (o que, na prática, significa, por exemplo, stock no armazém de um distribuidor que já tenha adquirido a mercadoria antes do prazo). Não é, portanto, possível contornar as regras produzindo “para stock” e vendendo depois de 2027 – cada produto, no momento da sua colocação no mercado, está sujeito aos requisitos em vigor. A exceção são os certificados UE de exame de tipo ainda válidos, emitidos antes dessa data com base noutras regulamentações – permanecerão válidos até junho de 2028, salvo se tiver sido fixado um prazo mais curto.

Para as empresas, a conclusão prática é que o prazo real termina no final de 2027. A partir de 2028, já não será possível vender na UE equipamentos que não cumpram os requisitos do CRA. No entanto, já em 2026 será necessário estar preparado para as novas obrigações de reporte de incidentes. O tempo restante deve ser aproveitado para analisar e adaptar os produtos. Embora 3 anos pareçam, à primeira vista, muito tempo, as alterações podem revelar-se profundas – é melhor iniciar os trabalhos com antecedência. Abaixo apresentamos uma lista de verificação das ações que um gestor deve considerar ao preparar a sua organização para cumprir os requisitos do ato da ciber-resiliência.

Regulamento (UE) 2024/2847: como preparar-se para 2026/2027 – checklist para gestores

• Identifique os produtos abrangidos pelo CRA – Elabore uma lista dos produtos da empresa que se enquadram como “produtos com elementos digitais” (hardware ou software que se liga à rede/a outros dispositivos). Para cada um, determine se pode ser considerado importante ou crítico na aceção do regulamento (Annex III/IV) – por exemplo, se desempenha funções de segurança relevantes, ou se a sua violação pode causar danos em larga escala. Desta classificação depende, entre outros aspetos, o procedimento de avaliação da conformidade exigido (incluindo se será necessária a intervenção de uma entidade terceira).
• Familiarize-se com os requisitos e as normas – Analise os requisitos essenciais de cibersegurança do anexo I do CRA e relacione-os com os seus produtos. Verifique se já existem normas harmonizadas ou normas setoriais adequadas que possam facilitar o cumprimento dos requisitos (por exemplo, as normas da família IEC 62443 para a proteção de sistemas de automação industrial podem ser úteis na conceção das proteções das máquinas). Acompanhe os trabalhos de normalização – poderão surgir orientações que facilitem a implementação dos requisitos do CRA no seu setor.
• Realize uma análise de lacunas (gap analysis) – Compare o estado atual dos seus produtos e processos com os novos requisitos. Avalie em que medida o nível atual de proteção cumpre as exigências (por exemplo, se os dispositivos dispõem de mecanismos de autenticação, encriptação, atualizações seguras, etc.). Analise também o processo de desenvolvimento de software na empresa – se são aplicados princípios de secure coding, se são realizados testes de penetração, e com que rapidez reagem às vulnerabilidades comunicadas. Identifique falhas e áreas de melhoria ao nível da organização (procedimentos) e da tecnologia (funções de segurança).
• Adapte a conceção e o desenvolvimento dos produtos – Se a análise de lacunas revelar insuficiências, planeie a implementação dos mecanismos e práticas em falta. Isto pode incluir alterações na arquitetura do produto (por exemplo, adição de um módulo de encriptação, proteção das interfaces de comunicação), melhoria do processo SDLC (Software Development Life Cycle) com elementos de threat modeling, code review na perspetiva da segurança, testes de fuzzing, entre outros, bem como a definição de novas políticas de segurança do produto. Garanta que a equipa de R&D encara a cibersegurança como um requisito de projeto ao mesmo nível da funcionalidade – o regulamento impõe uma abordagem “security by design/default”.
• Planeie o sistema de atualizações e suporte – Analise se a sua empresa está preparada para dar suporte aos produtos durante o período adequado. Pode ser necessário criar um calendário e alocar recursos para disponibilizar atualizações regulares de firmware durante vários anos após a venda. Verifique se os produtos têm capacidade técnica para atualização (remota ou local) – caso contrário, trata-se de um problema grave, porque o CRA exige a possibilidade de eliminar vulnerabilidades após a comercialização. Defina um período de suporte realista (mínimo de 5 anos) e comunique-o aos utilizadores. Prepare também um plano de suporte técnico para o tratamento de notificações de segurança por parte dos clientes.
• Prepare a documentação exigida – Certifique-se de que, para cada produto, será elaborada uma documentação técnica completa na perspetiva da cibersegurança. Esta deverá incluir, entre outros elementos, o relatório de avaliação de risco, a descrição da arquitetura de segurança, a lista das medidas aplicadas (por exemplo, encriptação, autorização), os resultados dos testes de segurança, os procedimentos de atualização, a política de divulgação de vulnerabilidades, etc. Esta documentação será a base para demonstrar a conformidade em caso de inspeção (e, se aplicável, para apresentação a um organismo de certificação). Organize também o processo de arquivo dessa documentação pelo período exigido (10 anos ou mais). Além disso, prepare modelos da declaração UE de conformidade para os seus produtos, tendo em conta que devem incluir a nova formulação que confirma o cumprimento de todos os requisitos do regulamento.
• Garanta o controlo da cadeia de abastecimento – Contacte os fornecedores de componentes (sobretudo software, módulos IoT, etc.) para discutir as questões de conformidade com o CRA. Atualize os contratos com os fornecedores, introduzindo cláusulas sobre o nível de cibersegurança exigido para os componentes e a obrigação de informar sobre vulnerabilidades detetadas. Certifique-se de que tem acesso à informação sobre a origem e as versões dos componentes (mantenha um SBOM – Software Bill of Materials dos produtos, o que facilitará o rastreio de vulnerabilidades em bibliotecas dependentes). Se utilizar serviços cloud externos associados ao produto, verifique as respetivas proteções e a conformidade com a NIS2 (uma vez que o SaaS pode estar sujeito à NIS2 em vez do CRA). A cibersegurança do produto também depende da segurança de todos os blocos que o compõem – os fornecedores têm de atuar de forma alinhada.
• Forme o pessoal e sensibilize os clientes – As novas obrigações fazem com que diferentes departamentos da empresa tenham de possuir conhecimentos básicos sobre o CRA. Promova formação para as equipas de projeto, qualidade, IT e assistência técnica sobre os requisitos do regulamento e os procedimentos internos (por exemplo, como reagir a uma notificação de vulnerabilidade, como documentar alterações para efeitos de conformidade). Vale também a pena informar os departamentos de compras e vendas, para que estejam cientes das novas marcações e declarações (por exemplo, da necessidade de verificar se um fornecedor de fora da UE forneceu a declaração de conformidade). Considere ainda preparar informação para os clientes sobre a política de segurança dos vossos produtos – a transparência nesta matéria pode tornar-se uma vantagem comercial (os utilizadores começarão a prestar atenção ao facto de um determinado produto cumprir os requisitos de cibersegurança e ter atualizações garantidas).
• Acompanhe as orientações e os prazos – Siga as comunicações da Comissão Europeia e das autoridades nacionais relativas ao CRA. Podem surgir atos delegados ou de execução que clarifiquem determinadas questões (por exemplo, exclusões setoriais – a Comissão pode decidir excluir do CRA produtos abrangidos por requisitos setoriais equivalentes). Acompanhe também o processo de publicação das normas harmonizadas – a aplicação de uma norma será a via mais simples para beneficiar da presunção de conformidade. Garanta o cumprimento dos prazos referidos: setembro de 2026 (prontidão para reporte de incidentes) e dezembro de 2027 (conformidade total de todos os novos produtos). O ideal é definir marcos internos com bastante antecedência – por exemplo, concluir a análise preliminar de risco até meados de 2025, adaptar o processo de desenvolvimento até ao final de 2025, realizar testes de conformidade e pré-certificações em 2026, etc., de modo a entrar em 2027 com o cumprimento dos requisitos praticamente assegurado. Ser apanhado de surpresa na última hora pode significar a suspensão das vendas, pelo que uma abordagem proativa é essencial.

Fazer este “trabalho de casa” com antecedência ajudará a evitar a correria de última hora em 2027 e os riscos associados. Em vez de encarar o CRA apenas como uma obrigação, vale a pena vê-lo como uma oportunidade para elevar o nível global de segurança dos produtos — protegendo tanto a empresa como os clientes de incidentes dispendiosos.

CRA e o Regulamento Máquinas (UE) 2023/1230 – o que se enquadra em cada um?

Muitos gestores da indústria perguntam-se como as novas regras de ciber-resiliência se articulam com o já conhecido Regulamento Máquinas (UE) 2023/1230 (que substituirá a Diretiva Máquinas). Há sobreposição de requisitos ou estes regulamentos complementam-se? O essencial é compreender que aspetos do produto são regulados por cada ato jurídico.

O Regulamento Máquinas 2023/1230 abrange a segurança das máquinas no sentido tradicional — centra-se na proteção da saúde e da segurança dos utilizadores das máquinas. Define os chamados requisitos essenciais de segurança e de proteção da saúde (EHSR), que dizem respeito, entre outros, a aspetos mecânicos, elétricos, ergonomia, ruído, EMC, etc. É verdade que o novo regulamento de máquinas também introduziu a exigência de considerar os perigos associados ao acesso à internet e aos ciberataques como um risco potencial para a segurança. Isto significa que o fabricante da máquina deve, durante a avaliação de riscos, considerar cenários em que, por exemplo, uma interferência remota no sistema de controlo da máquina possa provocar um acidente. Por isso, tem de conceber medidas para prevenir essas situações (por exemplo, proteções de rede que impeçam uma pessoa não autorizada de assumir o controlo da máquina). No entanto, o regulamento de máquinas regula a cibersegurança apenas na medida em que esta afeta a segurança física das pessoas que operam as máquinas. Trata-se de um dos vários elementos da avaliação da conformidade da máquina, mas não entra em requisitos detalhados de natureza informática — não encontraremos aí uma lista de mecanismos criptográficos nem a obrigação de atualizar o software da máquina após a venda. Em termos simples, o Regulamento Máquinas garante que a máquina não representa um perigo para a vida ou a saúde (incluindo em resultado de um ciberincidente), enquanto o CRA trata da cibersegurança global do produto (incluindo a confidencialidade dos dados, a resiliência dos serviços e todo o ciclo de vida).

O Ato de Ciber-Resiliência abrange um leque muito mais amplo de questões informáticas do que o regulamento de máquinas. Mesmo no caso das máquinas industriais, o CRA impõe, por exemplo, requisitos de reporte de vulnerabilidades, garantia de atualizações durante X anos e proteção contra perda de dados — ou seja, matérias que não estão diretamente ligadas à segurança do utilizador da máquina, mas sim à cibersegurança enquanto tal. Na prática, isto significa que uma máquina que seja um produto com elementos digitais ficará simultaneamente sujeita às disposições de ambos os regulamentos. O fabricante dessa máquina tem de cumprir os requisitos de um e de outro ato — tanto os relativos a uma conceção segura do ponto de vista, por exemplo, mecânico (Regulamento Máquinas), como os relativos à proteção do software, da rede e dos dados (CRA). O cumprimento dos requisitos de um regulamento não significa automaticamente conformidade com o outro, porque os critérios de avaliação são diferentes.

Do ponto de vista do procedimento de avaliação da conformidade, um produto abrangido por mais de um regulamento da UE tem de cumprir todas as disposições aplicáveis antes da marcação CE. Por exemplo: o fabricante que coloque no mercado um robô industrial colaborativo com função de monitorização remota terá de garantir que o robô cumpre os requisitos essenciais de segurança das máquinas (Reg. 2023/1230) e os requisitos essenciais de cibersegurança (Regulamento (UE) 2024/2847). A declaração UE de conformidade dessa máquina deverá mencionar ambos os atos jurídicos. Por sua vez, o diretor de manutenção que adquira esse equipamento deve verificar tanto a conformidade com o “CE de máquinas” como com o “CE ciber”. Na prática, a marcação CE é única — mas a documentação tem de demonstrar a conformidade com toda a legislação de nova abordagem aplicável ao produto. Para mais contexto sobre avaliação da conformidade e marcação CE de máquinas, importa ter presente esta lógica cumulativa.

Vale a pena indicar alguns exemplos do que se enquadra em cada regulamento:

• Dispositivos de TI puramente eletrónicos (sem funções de máquina) – por exemplo, routers, smartphones, câmaras IP – não estão abrangidos pelo Regulamento das Máquinas (porque não são máquinas), mas estão abrangidos pelo CRA se incluírem elementos digitais e comunicarem em rede. Nestes casos, o que conta sobretudo é a cibersegurança, e as questões de segurança física do utilizador não são relevantes (exceto no âmbito das disposições gerais de segurança e saúde no trabalho/EMC).
• Máquinas tradicionais sem ligação digital – por exemplo, uma prensa hidráulica com comando puramente analógico – estão abrangidas pelo Regulamento das Máquinas (é necessário cumprir os requisitos relativos à construção, resguardos, circuitos de segurança, etc.), mas não estão diretamente abrangidas pelo CRA, porque não contêm elementos digitais que comuniquem com o exterior. Naturalmente, se a máquina incluir eletrónica de controlo, essa eletrónica pode, por si só, ser considerada equipamento digital – no entanto, enquanto não existir conectividade (por exemplo, ausência de portas de rede, ausência de acesso remoto), não preenche a definição de “produto com elementos digitais” na aceção do CRA.
• Máquinas modernas com funções digitais – por exemplo, robôs, linhas de produção com IoT, veículos AGV que comunicam com o sistema de gestão – estão sujeitas a ambos os atos. Neste caso, o Regulamento das Máquinas exigirá, entre outros aspetos, a avaliação do risco tradicional (para que a máquina não crie perigos mecânicos/elétricos), bem como o requisito de que, por exemplo, o acesso remoto ao robô não possa provocar uma situação perigosa (ou seja, a consideração das ciberameaças para a segurança). Por sua vez, o CRA imporá adicionalmente a obrigação de que esse robô disponha de software genericamente protegido (por exemplo, transmissões de dados cifradas, palavras-passe únicas), seja atualizado pelo fabricante e, caso seja detetada uma vulnerabilidade, esta seja corrigida e comunicada às autoridades. O fabricante deste tipo de equipamento tem, por isso, de assegurar resistência a ciberataques tanto no contexto da segurança das pessoas como da continuidade operacional, confidencialidade dos dados, etc.

Em resumo, o Regulamento das Máquinas e o CRA não concorrem entre si, antes se complementam. O primeiro trata da segurança funcional das máquinas (incluindo os requisitos mínimos em matéria de cibersegurança para que a máquina seja segura), enquanto o segundo trata da cibersegurança mais ampla do produto ao longo de todo o seu ciclo de vida. Para os gestores, isto significa a necessidade de conformidade em várias frentes: um produto inteligente tem de ser simultaneamente seguro do ponto de vista construtivo e ciberseguro. Por isso, é necessário acompanhar os requisitos de ambas as regulamentações. Felizmente, os respetivos prazos de aplicação são próximos – o Regulamento das Máquinas também começará a ser aplicado na prática a partir de janeiro de 2027 (substituindo a diretiva), e o CRA a partir do final de 2027. Assim, é possível articular a preparação para ambos num programa de compliance coerente. Por exemplo, ao conceber uma nova máquina, considerar desde logo tanto os requisitos de segurança das máquinas como as medidas de proteção de TI; durante os testes do protótipo, verificar não só a conformidade com normas como a ISO 13849 (safety), mas também, por exemplo, testes de penetração ao sistema de controlo. Com esta abordagem, a empresa assegurará uma conformidade abrangente e evitará a situação em que cumpre uma legislação à custa de ignorar a outra.

O Regulamento (UE) 2024/2847 é, sem dúvida, um desafio para fabricantes e fornecedores, mas é também uma resposta necessária à realidade atual. As máquinas e os equipamentos estão a tornar-se cada vez mais inteligentes e interligados – e a regulamentação tem de acompanhar essa evolução. Os gestores que começarem já a tomar medidas preparatórias ganharão vantagem: as suas empresas não só entrarão sem sobressaltos no novo enquadramento jurídico, como também reforçarão a competitividade e a credibilidade dos seus produtos aos olhos dos clientes, para quem a segurança digital está a tornar-se tão importante como o preço ou a funcionalidade. Com o apoio adequado de especialistas em segurança de máquinas e TI, a implementação dos requisitos do CRA pode ser encarada como um elemento de melhoria contínua, e não apenas como uma obrigação regulatória. No final, beneficiam a empresa, os utilizadores finais e todo o ecossistema digital. Produtos mais seguros significam menor risco de paragens, ataques e perdas – e esse é um objetivo que orienta tanto o legislador como os participantes responsáveis no mercado.