Cyber Resilience Act

A partir de 11 de dezembro de 2027, somente poderão ser comercializados na União Europeia os produtos que cumprem com as exigências do Cyber Resilience Act (CRA). O CRA contém requisitos para a segurança cibernética de produtos com elementos digitais.

Quais são as novas exigências do Cyber Resilience Act? Quais produtos estão sujeitos ao CRA? O que as empresas devem fazer? Resumimos para você os fatos mais importantes.

O que é o Cyber Resilience Act?

O Cyber Resilience Act (CRA, em português “Regulamento de Resiliência Cibernética”) é um regulamento da União Europeia que define as exigências de segurança para produtos com elementos digitais em relação à Industrial Security. O produtos afetados devem passar por uma análise completa e a adaptação necessária. Isso é obrigatório, pois a partir de dezembro de 2027, somente poderão ser comercializados os produtos que estiverem em conformidade com o CRA!

Quando o Cyber Resilience Act entrará em vigor?

O CRA foi publicado em 20 de novembro de 2024 no Diário Oficial da UE. Ele entrou em vigor em 10 de dezembro de 2024 e terá aplicação obrigatória na União Europeia a partir de 11 de dezembro de 2027. No entanto, em conformidade com o CRA, as obrigações de comunicação sobre vulnerabilidades exploradas para os fabricantes já serão válidas a partir de 11 de setembro de 2026.

O que exatamente é exigido no CRA?

O objetivo do CRA é proteger melhor os usuários e as empresas contra ataques cibernéticos. O CRA inclui uma variedade de requisitos para os fabricantes, importadores e distribuidores de produtos com elementos digitais capazes de se comunicar com outros produtos. Isso inclui produtos de hardware e de software. Isso abrange todo o ciclo de vida do produto, ou seja, desde a concepção até o desenvolvimento, a fabricação, o fornecimento e a manutenção do produto, assim como todo o período de funcionamento no cliente.

O Cyber Resilience Act é um regulamento ou uma diretriz?

O Cyber Resilience Act (CRA) é um regulamento da União Europeia e, portanto, se aplica a todos os países membros da União Europeia, sem precisar ser transposto para uma lei nacional.

Quais produtos estão sujeitos ao CRA?

O CRA diz respeito a componentes, especialmente produtos com elementos digitais, para os quais será necessária uma avaliação de conformidade.

O Cyber Resilience Act (CRA) se aplica a todos os produtos que contêm componentes digitais, como softwares ou sistemas de IA de alto risco, e estão conectados a redes ou outros dispositivos. Assim, o escopo do CRA é muito abrangente e inclui, entre outros, os seguintes grupos de produtos:

• Hardware e software industriais, como dispositivos IoT, controladores lógicos programáveis (CLPs) e sensores
• Soluções de software, como aplicações desktop, web e mobile, bem como sistemas operacionais.
• Dispositivos inteligentes para uso privado, tanto hardware quanto software.

Esses produtos são classificados em diferentes categorias, dependendo do potencial de risco. Sistemas utilizados em infraestruturas críticas, produção industrial ou nos setores de energia e indústria se enquadram em classes de risco mais elevadas. Para esses produtos, as exigências do procedimento de avaliação da conformidade mudam, pois elas podem impactar significativamente a segurança pública e a estabilidade econômica.

O que é preciso fazer? Quais são as exigências para as empresas?

Um fabricante de produtos com elementos digitais deve cumprir as exigências de segurança do CRA. Isso implica na elaboração de uma análise de risco e na definição e implementação de medidas para reduzir eventuais riscos. Da mesma forma, são obrigatórias a elaboração e a manutenção de uma documentação sobre a avaliação de risco (e também sobre as medidas implementadas para reduzir os riscos de Security), que deve ser armazenada por pelo menos 10 anos. A monitoração contínua de possíveis vulnerabilidades de segurança, o fornecimento gratuito de atualizações de Security durante o período de vida útil típico de um produto (pelo menos 5 anos) e a notificação de vulnerabilidades de Security detectadas à ENISA e, se necessário, às autoridades nacionais, no prazo de 24 horas, são igualmente obrigatórios.

Mesmo os produtos que já estão em conformidade com o CRA e não foram alterados devem ser testados e avaliados de acordo com regras verificáveis. Para o resultado da verificação, é criada uma documentação que deve ser armazenada por dez anos. Além disso, deve ser criada uma  Software Bill of Materials e deve-se comprovar que o desenvolvimento e os testes foram executados em conformidade com a Industrial Security.

O que significa a declaração de conformidade da UE no contexto do CRA?

A declaração de conformidade da UE continuará a ser emitida pelo fabricante e atesta que foi comprovado o cumprimento das exigências básicas de segurança cibernética. Para os fabricantes, isso significa que o cumprimento das exigências relacionadas a avaliação de riscos, gestão de vulnerabilidades e documentação é verificado por meio de uma avaliação de conformidade. Se todas as exigências forem cumpridas, será emitida uma declaração de conformidade. 

Continua a existir uma declaração de conformidade da UE para toda a legislação da União Europeia?

Se um produto com elementos digitais estiver sujeito a várias disposições legislativas da União Europeia, em que cada uma das disposições exige uma declaração de conformidade da UE, será emitida uma única declaração de conformidade da UE para toda a legislação da União Europeia. Esta declaração deve indicar os atos legislativos da União em questão, bem como as suas referências no Jornal Oficial.

Por quanto tempo a declaração de conformidade da UE deve estar disponível?

O fabricante emitirá uma declaração de conformidade por escrito para cada modelo de produto e as armazenará e disponibilizará para as autoridades nacionais por um período de dez anos após a introdução do produto com elementos digitais no mercado ou durante o período de assistência, o que for mais longo. A declaração de conformidade deve indicar o modelo do produto para o qual foi emitida. Uma cópia da declaração de conformidade deve ser disponibilizada às autoridades competentes, mediante solicitação.

Qual é a diferença entre o Cyber Resilience Act e a NIS 2?

• O CRA contém exigências básicas de segurança cibernética para a concepção, o desenvolvimento e a fabricação de produtos com elementos digitais, bem como deveres dos agentes econômicos em relação a esses produtos no que diz respeito à segurança cibernética.
• A diretiva NIS 2 destina-se às empresas e exige que estas tomem medidas organizacionais e técnicas para a redução dos riscos de Industrial Security na empresa.
• Reforço da segurança cibernética na UE: os dois regulamentos, o CRA e a diretriz NIS 2, complementam-se, abordando diferentes níveis de segurança cibernética. O CRA concentra-se na segurança dos produtos, enquanto a NIS 2 visa a segurança das infraestruturas e dos serviços essenciais. Juntos, eles contribuem de modo significativo para a melhoria holística da segurança cibernética na União Europeia.

Há alguns anos, a Pilz já estabeleceu o seu processo de desenvolvimento em conformidade com a norma IEC 62443-4-1. Essa noma define um desenvolvimento seguro de produtos, o "processo Security Development Lifecycle" (processo SDL) como "norma fundamental para Industrial Security". A TÜV Süd confirmou na sua auditoria a conformidade dos nossos processos de desenvolvimento. A Pilz desenvolve de modo não apenas safe, mas também secure!

Isso é importante para os nossos clientes, pois, além do novo Regulamento de Máquinas da UE (regulamento (UE) 2023/1230), outro regulamento que lida com a Security deverá ser aplicado obrigatoriamente em 2027, o regulamento (UE) 2024/2847 – Cyber Resilience Act (CRA).

Concretamente, isso significa que os produtos existentes serão atualizados conforme necessário, novos produtos serão desenvolvidos em conformidade com o CRA e a conformidade (marcação CE) será ajustada de acordo com as especificações válidas. Os produtos que não estiverem mais em conformidade com as especificações serão descontinuados ou continuarão disponíveis apenas como peças de reposição. Neste último caso, eles não poderão mais ser utilizados em novas instalações.