Cyber Resilience Act publicado no jornal oficial da UE

O Cyber Resilience Act (CRA) nasce de uma realidade cada vez mais presente: os riscos de cibersegurança não respeitam fronteiras. Muitos dos produtos digitais desenvolvidos num país da União Europeia (UE) são utilizados por empresas e consumidores em toda a região. Isso cria um cenário em que vulnerabilidades de um único produto podem afetar todo o espaço europeu, sublinhando a urgência de um quadro regulamentar unificado.

Com foco na proteção do mercado interno e na redução de vulnerabilidades, o Cyber Resilience Act torna-se numa peça-chave para os esforços da região, de modo a fortalecer a segurança digital no espaço europeu.

Em curso desde meados de 2022, na sequência da proposta da Comissão Europeia, o CRA foi publicado no Jornal Oficial da União Europeia a 20 de novembro de 2024, entrando em vigor 20 dias após essa data. No entanto, a sua aplicação será realizada por fases: a maioria das disposições serão aplicáveis a partir de 11 de dezembro de 2027, enquanto o artigo 14.º entra em vigor a 11 de setembro de 2026, e o capítulo IV (artigos 35.º a 51.º) será aplicável a partir de 11 de junho de 2026.

Consumidores mais seguros, empresas mais responsáveis

Num mundo digital em constante evolução, o Regulamento de Ciber-Resiliência vem estabelecer requisitos obrigatórios de cibersegurança para produtos com elementos digitais (PED), fortalecendo a ciber-resiliência dos Estados-Membros. Este enfoque não só promove a proteção individual, mas também contribui para a estabilidade e confiança no ecossistema digital europeu, fundamental para o crescimento económico e inovação.

O CRA impõe requisitos de cibersegurança a um conjunto de produtos de hardware e software com elementos digitais vendidos na União Europeia. De acordo com um documento recém publicado pela Cuatrecasas, a sua aplicação abrange dispositivos como sistemas de gestão de redes, sistemas operativos, assistentes virtuais domésticos, smartcards e dispositivos de segurança, bem como hardware com caixas de segurança. O regulamento visa garantir que esses produtos atendam a padrões de segurança rigorosos antes de serem comercializados, protegendo consumidores e empresas contra vulnerabilidades.

Para isso, empresas serão sujeitas a transformar práticas de desenvolvimento e incorporar a segurança desde o início do ciclo de vida dos produtos, garantindo que estes sejam resilientes face a ciberataques. Com a exigência de compliance e a implementação de processos contínuos de gestão de vulnerabilidades, o CRA terá um impacto profundo nas operações das empresas, promovendo um ambiente de maior responsabilidade e inovação na cibersegurança.​

Este esforço por parte de fabricantes e fornecedores será traduzido numa garantia de proteção para os consumidores, assegurando que os produtos digitais comercializados na UE atendam a elevados padrões de cibersegurança, de maneira a reduzir os riscos associados a vulnerabilidades conhecidas, reforçando a confiança dos utilizadores na segurança digital.

O que as empresas precisam de saber sobre o CRA?

O Anexo I do CRA revela que os fabricantes e fornecedores de produtos com elementos digitais deverão cumprir uma série de requisitos essenciais antes de comercializarem esses produtos na UE.

De acordo com Verona Johnstone-Hulse, Líder de Relações Governamentais e Interação com Instituições Globais na NCC Group, isso inclui garantir que os produtos sejam projetados com segurança por defeito, sem vulnerabilidades conhecidas, e que implementem sistemas robustos de autenticação e gestão de identidade. Além disso, os produtos devem proteger a confidencialidade, integridade e disponibilidade dos dados, limitando as superfícies de ataque e fornecendo informações de segurança, incluindo atualizações contínuas para corrigir vulnerabilidades.

Conforme definido pelo CRA, as empresas passam a ser obrigadas a notificar vulnerabilidades e incidentes relacionados, reforçando a gestão de segurança ao longo do ciclo de vida dos produtos. Os fabricantes também precisam manter um inventário de software (SBOM) e garantir uma gestão eficaz de vulnerabilidades ao longo do ciclo de vida do produto. Para produtos de “importância” sob o CRA, é necessário cumprir um padrão relevante ou passar por avaliação de conformidade por terceiros. Produtos “altamente críticos” precisarão de certificação obrigatória da UE antes de serem lançados no mercado.

A Comissão Europeia poderá colaborar com organizações de normalização para criar standards harmonizados, com apoio da European Union Agency for Cybersecurity (ENISA), que já desenvolve esquemas de certificação de cibersegurança, como o EUCC, EUCS e EU5G.

O incumprimento das disposições do Cyber Resilience Act pode resultar em sanções significativas, conforme determinado pelas autoridades de fiscalização. Embora as autoridades governamentais portuguesas ainda não tenham sido designadas, as infrações podem resultar em multas substanciais. No entanto, pequenas e microempresas têm a possibilidade de ser isentas de penalidades relacionadas com prazos de incumprimento, conforme indicado pela Cuatrecasas.