Se só precisares do canal do denunciante, podes aceder aqui

Contacto de vendas

Sobre ithikios

Demonstração
Demonstração
Teste grátis
Contacta-nos em

Contacta-nos em

cra

Cyber Resilience Act: o que está a mudar, o que te está a afetar e como te preparares sem perder tempo

Durante anos, a questão da cibersegurança foi sempre colocada à organização:

“Temos medidas de segurança suficientes?”

A Lei da Ciber-resiliência (CRA) alarga o âmbito de aplicação. A partir de agora, a questão também se prende com o produto:

“O software ou dispositivo que desenvolvemos, distribuímos ou comercializamos foi concebido de forma segura e manter-se-á seguro durante toda a sua vida útil?

Não se trata de uma nuance menor. Trata-se de uma mudança de paradigma que afecta os fabricantes, os criadores, os distribuidores e os fornecedores de tecnologia em toda a Europa.

O que é exatamente o CRA

O Cyber Resilience Act é um regulamento europeu que estabelece requisitos obrigatórios de cibersegurança para qualquer produto com elementos digitais que seja comercializado na União Europeia.

A sua lógica é clara: demasiados produtos chegam ao mercado com vulnerabilidades conhecidas, sem actualizações planeadas e sem um processo formal de gestão de incidentes. A CRA quer mudar isso.

Para tal, introduz conceitos que até agora eram recomendações ou boas práticas e converte-os em obrigações:

  • Segurança desde a conceção: a segurança não é acrescentada no final, é planeada desde o início.
  • Segurança por defeito: a configuração inicial deve ser segura, sem que o utilizador tenha de fazer nada.
  • Gestão contínua das vulnerabilidades: identifica, define prioridades, corrige e documenta ao longo do ciclo de vida do produto.
  • Obrigações de notificação: se detectares uma vulnerabilidade ativamente explorada, tens 24 horas para emitir um aviso prévio.
  • Transparência quanto ao apoio: deves indicar claramente durante quanto tempo o produto receberá actualizações de segurança.

Não se trata de passar numa auditoria pontual. A CRA faz da segurança um processo vivo e demonstrável.

Quem é afetado: mais do que aparenta

É aqui que muitas organizações ficam surpreendidas. A CRA não afecta apenas os fabricantes de hardware ou as grandes plataformas. Afecta:

  • Software empresarial e aplicações SaaS
  • Dispositivos IoT e hardware ligado
  • Aplicações móveis
  • Plataformas em nuvem
  • Sistemas industriais conectados

Isto aplica-se não só aos criadores, mas também a todos os que distribuem ou importam produtos digitais na Europa.

Se a tua empresa desenvolve software, vende licenças, oferece serviços como SaaS ou integra produtos de terceiros nas tuas soluções, a CRA provavelmente aplica-se a ti.

O calendário: menos tempo do que parece

A aplicação integral do regulamento está prevista para dezembro de 2027, mas há uma data anterior que não deve ser perdida de vista:

11 de setembro de 2026 – Entrada em vigor das obrigações de comunicação de vulnerabilidades exploradas ativamente e de incidentes graves.

Isto em pouco mais de um ano. E preparar processos de notificação robustos que funcionem em 24 horas não é algo que se construa em poucas semanas.

As três implicações mais transformadoras da vida quotidiana

1) Desenvolver software já não é suficiente: tens de o provar.

A CRA não pergunta se o teu produto é seguro. Pergunta se pode provar que é. Isso significa ter documentação técnica, registos de vulnerabilidades, histórico de actualizações, processos formalizados de resposta a incidentes… e poder apresentá-los a uma entidade reguladora ou a um cliente em qualquer altura.

2. A cadeia de abastecimento torna-se a sua própria responsabilidade

Uma vulnerabilidade pode entrar através de uma biblioteca de código aberto, de uma API de terceiros, de um componente SaaS incorporado ou de um fornecedor de terceiros. O CRA estende a responsabilidade para além do teu próprio código. Se o teu produto incorpora componentes de terceiros, tens de saber qual o risco que cada um deles representa.

3. Os tempos de resposta são drasticamente reduzidos.

24 horas para emitir um aviso prévio de uma vulnerabilidade ativamente explorada. Se o teu processo de gestão de incidentes se baseia em e-mails, chamadas e folhas de cálculo, esse prazo pode tornar-se impossível de cumprir.

Que capacidades precisas de ter (ou construir)

O CRA não prescreve ferramentas específicas, mas deixa claro quais os processos que devem ser implementados. Na nossa experiência de trabalho com organizações tecnológicas, estes são os elementos fundamentais:

Gestão de riscos e activos Inventário atualizado de produtos e componentes, identificação de ameaças, avaliação do impacto e monitorização do risco residual. Sem isto, não podes saber que vulnerabilidades te afectam e com que urgência. –> Risk Manager

Gestão da cadeia de abastecimento Aprovação de fornecedores, avaliações regulares, questionários de segurança, provas documentais. Um fornecedor não avaliado é um risco não medido. –> Gestor de Terceiros

Gestão de vulnerabilidades Identificação, definição de prioridades, correção e manutenção de um historial auditável. A entidade reguladora pode solicitar esse historial. –> Gestor de incidentes

Gestão de incidentes Registo, classificação, atribuição de responsabilidades, planos de resposta e rastreabilidade. Não como um documento numa gaveta, mas como um processo ativo que funciona sob pressão. –> Gestor de incidentes

Documentação técnica e políticas Políticas, procedimentos, registos, aceitações, provas. A documentação não é burocracia: é a prova de que estás a fazer as coisas bem. –> Gestor de políticas.

Comunicar a segurança aos clientes Cada vez mais clientes perguntam como é que geres a segurança antes de assinarem um contrato. Ter uma resposta clara, centralizada e actualizada – certificações, políticas, provas – pode fazer toda a diferença num processo empresarial. –> Trust Center

O CRA não é apenas um custo de conformidade

Visto de fora, o CRA pode parecer apenas mais um fardo regulamentar. Mas há outra forma de o ler.

As organizações capazes de demonstrar que gerem a segurança dos produtos de forma rigorosa – com processos documentados, tempos de resposta rápidos e transparência para com os seus clientes – terão uma vantagem real sobre os concorrentes que continuam a basear-se em processos informais.

Num mercado em que a confiança digital é cada vez mais um critério de compra, a conformidade com as CRA pode tornar-se um caso de negócio.

A questão não é apenas se vais cumprir a CRA. A questão é se serás capaz de o demonstrar de forma eficiente quando alguém te pedir para o fazeres.

Na ithikios, desenvolvemos diferentes módulos para o ajudar a cumprir a CRA e a demonstrar a conformidade com o Trust Center, o Incident Manager, o Third Party Manager, o Risk Manager e o Policy Manager.

Artigos relacionados

Compliance Forms: muito mais do que um formulário online

No âmbito da conformidade, a informação é tudo. Mas não basta tê-la: o que importa é como é recolhida, como é armazenada, como é avaliada e como é mantida atualizada...

Leer más

A ithikios passa a oferecer autenticação através do Google e amplia as suas capacidades de integração

Continuamos a aperfeiçoar a plataforma para facilitar o acesso seguro e a ligação aos sistemas dos nossos clientes. A partir de agora, os utilizadores do ithikios podem iniciar sessão com...

Leer más

Queres experimentar o nosso canal de denúncias?

Faz isso a partir daqui durante 15 dias, sem compromisso, sem cartões,…

Solicita uma demonstração

Queres ver como o ithikios te pode ajudar?

Começa hoje mesmo. Cumpre as regras em poucas horas. E quando cresceres, o ithikiosestará contigo.

Queres conversar?