Regulamento de Ciber-Resiliência: menos de um ano para as primeiras obrigações passarem a aplicar-se

O Regulamento (UE) 2024/2847, conhecido como Regulamento de Ciber-Resiliência (CRA, na sigla em inglês) marca um antes e um depois na regulamentação da cibersegurança na União Europeia, estabelecendo um quadro jurídico uniforme em matéria de cibersegurança para a introdução de produtos com elementos digitais no mercado da União.

A menos de um ano das primeiras obrigações passarem a aplicar-se, todos os operadores económicos envolvidos na cadeia de valor de produtos com elementos digitais devem conhecer e preparar o cumprimento das suas obrigações. Concretamente, a sua aplicação plena terá lugar a partir de 11 de dezembro de 2027, enquanto as obrigações de notificação de vulnerabilidades serão já aplicáveis a partir de 11 de setembro de 2026.

A quem se aplica o Regulamento de Ciber-Resiliência?

O CRA aplica-se a todos os produtos com elementos digitais (hardware e software) disponibilizados no mercado da  UE e cuja finalidade prevista ou utilização razoavelmente previsível inclua uma ligação de dados direta ou indireta. Isto abrange, entre outros, dispositivos da Internet das Coisas (IoT), sistemas operativos, aplicações, soluções de gestão de redes e plataformas de software. Estão excluídos, entre outros, os produtos abrangidos por legislação sectorial específica e os desenvolvidos exclusivamente para fins de defesa ou de segurança nacional.

Principais obrigações para os operadores económicos

O CRA estabelece obrigações diferenciadas para fabricantes, importadores, distribuidores emandatários. A seguir, resumem-se as principais obrigações aplicáveis:

Fabricantes

• Segurança desde a conceção e cumprimento dos requisitos essenciais: O CRA exige o cumprimento dos chamados “requisitos essenciais de cibersegurança”, constantes do seu Anexo I. Estes requisitos abrangem, entre outros aspetos, a obrigação de comercializar produtos sem vulnerabilidades conhecidas, garantir uma configuração segura por defeito, implementar mecanismos de controlo de acesso, proteger os dados pessoais e minimizar a exposição a riscos através da redução da superfície de ataque.  Além disso, os produtos devem estar preparados para receber atualizações de segurança de forma eficaz e permitir o tratamento de vulnerabilidades ao longo de todo o seu ciclo de vida. 
• Avaliação e gestão de riscos: Devem realizar avaliações rigorosas para identificar e mitigar riscos de cibersegurança, mantendo registos detalhados das medidas adotadas. Para a maioria dos produtos, o fabricante pode optar por um procedimento de controlo interno.  No entanto, para os produtos classificados como “importantes” (Anexo III) ou “críticos” (Anexo IV), a CRA exige procedimentos mais rigorosos, que podem requerer a intervenção de organismos de avaliação da conformidade para verificar a conformidade com os requisitos essenciais de cibersegurança. 
• Documentação e marcação CE: É obrigatório manter a documentação técnica e a declaração de conformidade da UE, bem como garantir que os produtos ostentem a marcação CE antes da sua colocação no mercado. 
• Atualizações e gestão de vulnerabilidades: Os fabricantes devem estabelecer processos para gerir vulnerabilidades ao longo de todo o ciclo de vida do produto, fornecendo atualizações de segurança e correções quando necessário. 
• Notificação de incidentes: Os fabricantes devem  notificar vulnerabilidades exploradas e incidentes graves à ENISA e ao CSIRT designado, seguindo prazos rigorosos (24 horas para aviso prévio, 72 horas para relatório intermediário e um mês para relatório final). Esta obrigação, concretamente, será aplicável a partir de 11 de setembro de 2026. 
• Informação ao utilizador: Devem fornecer informações e instruções claras aos utilizadores e autoridades, acessíveis durante pelo menos dez anos ou o período de apoio , o que for mais longo.

Importadores e distribuidores

• Verificação da conformidade e segurança: Tanto os importadores como os distribuidores devem garantir que os produtos que introduzem ou comercializam no mercado cumprem os requisitos de cibersegurança estabelecidos no Regulamento, incluindo a verificação da marcação CE e da documentação técnica.
• Supervisão e vigilância contínua: Devem manter a vigilância sobre possíveis problemas de segurança e tomar medidas corretivas se detetarem que um produto não está em conformidade com o Regulamento, incluindo a retirada do produto do mercado, se necessário.
• Gestão de riscos de terceiros: Devem verificar se os componentes de terceiros cumprem as normas de cibersegurança.
• Colaboração com as autoridades: Estão obrigados a cooperar com as autoridades de fiscalização do mercado e a fornecer a documentação necessária para demonstrar a conformidade do produto.
• Assunção das obrigações do fabricante: Se o importador ou distribuidor comercializar o produto sob o seu próprio nome ou marca, ou realizar modificações substanciais, assume as obrigações do fabricante.  

Representantes autorizados

• Devem manter a documentação e a declaração de conformidade à disposição das autoridades durante pelo menos 10 anos ou o período de suporte.
• São obrigados a cooperar com as autoridades na gestão de riscos e medidas corretivas (art. 18.3.b e c).

Sanções e regime transitório

O CRA exige que os Estados-Membros estabeleçam um regime de sanções eficaz, proporcionado e dissuasivo para as infrações, no entanto, o CRA fixa os montantes máximos das sanções: 

• Infrações aos requisitos essenciais de cibersegurança, à notificação de vulnerabilidades e a outras obrigações principais dos fabricantes: até 15 milhões de euros ou 2,5% do volume de negócios anual total mundial do infrator, o valor que for maior.
• Infrações às obrigações de documentação, procedimentos e cooperação com as autoridades: até 10 milhões de euros ou 2% do volume de negócios anual total mundial do infrator, o que for maior.
• Fornecer informações incorretas ou enganosas às autoridades: até 5 milhões de euros ou 1% do volume de negócios anual total mundial do infrator, o que for maior.

Além disso, estão previstas isenções para microempresas e pequenas empresas em certos casos, bem como para administradores de software de código aberto.

O Regulamento prevê um regime transitório: os produtos já disponibilizados no mercadoantes de 11 de dezembro de 2027 só estarão sujeitos às novas obrigações se sofrerem uma alteração substancial após essa data. No entanto, as obrigações de notificação de vulnerabilidades serão aplicáveis a todos os produtos no mercado a partir de 11 de setembro de 2026.