O CRA aplica-se aos produtos com elementos digitais disponibilizados no mercado da UE cuja utilização prevista ou razoavelmente previsível inclua uma ligação de dados direta ou indireta. Se o seu produto contiver software ou firmware e chegar ao mercado da UE, é muito provável que esteja abrangido pelo âmbito de aplicação. Art. 2 A forma mais rápida de verificar é a autoavaliação.
Ajuda · Perguntas frequentes
Perguntas frequentes
Respostas concisas às perguntas que as partes interessadas colocam com mais frequência sobre o Cyber Resilience Act, com remissões para o texto.
Perguntas e respostas
A classificação segue a funcionalidade central do produto, e não todas as funcionalidades que este inclui. Se a função central corresponder a uma categoria mencionada no anexo III, o produto é «importante» (Classe I ou II); se corresponder ao anexo IV, é «crítico»; caso contrário, é «por defeito». Uma capacidade como a gestão de identidades ou uma VPN, incluída apenas como funcionalidade, não torna o produto «importante», a menos que seja a sua finalidade central. Quando puder aplicar-se mais do que uma categoria, aplica-se a classe mais rigorosa. Art. 7
O software de fonte aberta não comercial desenvolvido fora de uma atividade comercial está, em grande medida, fora do âmbito de aplicação. Os responsáveis pela gestão de software de fonte aberta têm um conjunto de obrigações mais leve e adaptado. Os componentes de fonte aberta fornecidos no âmbito de uma atividade comercial podem ser abrangidos pelo âmbito de aplicação.
Os serviços autónomos estão, em geral, fora do âmbito do CRA. No entanto, as soluções de processamento de dados à distância necessárias para que um produto desempenhe as suas funções são tratadas como parte desse produto e estão abrangidas pelo âmbito de aplicação. Art. 3(2)
Sim. O CRA aplica-se aos produtos colocados no mercado da UE, independentemente do local onde o fabricante está estabelecido. Os fabricantes estabelecidos fora da UE devem assegurar que um operador económico estabelecido na União é responsável pelas obrigações pertinentes.
Estão repartidos por duas partes do anexo I: as propriedades de segurança que o produto deve possuir (seguro por predefinição, confidencialidade, integridade, disponibilidade, superfície de ataque minimizada, atualizações de segurança) e os processos de tratamento de vulnerabilidades que o fabricante deve operar (SBOM, correção, divulgação coordenada). Anexo I
Sim. Os fabricantes devem identificar e documentar os componentes contidos no produto, nomeadamente através da elaboração de uma lista de materiais de software (SBOM) num formato de uso comum e legível por máquina. Anexo I · II(1)
O período de apoio é o tempo durante o qual o fabricante deve fornecer atualizações de segurança. Deve refletir o período durante o qual se espera razoavelmente que o produto seja utilizado; as orientações da Comissão indicam que, em geral, deve ser de pelo menos cinco anos, salvo se a utilização prevista for mais curta. Art. 13(8)
As vulnerabilidades ativamente exploradas e os incidentes graves que afetem a segurança do produto devem ser notificados à ENISA e ao CSIRT competente. É devido um alerta precoce no prazo de 24 horas após o conhecimento do facto, seguido de uma notificação mais completa e de um relatório final. Art. 14
O regulamento entrou em vigor em 10 de dezembro de 2024. As obrigações de notificação aplicam-se a partir de setembro de 2026 (21 meses depois) e a maior parte das obrigações aplica-se a partir de dezembro de 2027 (36 meses depois). Art. 71
As violações dos requisitos essenciais ou das obrigações do fabricante podem dar origem a coimas até €15 milhões ou 2,5% do volume de negócios anual total a nível mundial, consoante o valor mais elevado. Aplicam-se limites máximos inferiores a outras infrações e à prestação de informações incorretas.
As obrigações de notificação do artigo 14.º tornam-se exigíveis em 11 de setembro de 2026. A ENISA está a criar a plataforma única de notificação ao abrigo do artigo 16.º, através da qual os fabricantes notificarão à ENISA e à CSIRT nacional as vulnerabilidades ativamente exploradas e os incidentes graves; está previsto que esteja operacional até essa data. Art. 14
O pedido de normalização M/606 da Comissão foi aceite pelo CEN, CENELEC e ETSI em 2025, abrangendo cerca de 41 normas (horizontais e específicas de produtos). As duas normas horizontais essenciais (desenvolvimento seguro e tratamento de vulnerabilidades) são esperadas até 30 de agosto de 2026, as normas verticais de produtos até 30 de outubro de 2026 e as restantes normas horizontais até 30 de outubro de 2027, antes da plena aplicação em dezembro de 2027. Seguir uma norma harmonizada citada confere uma presunção de conformidade. Anexo I
Siga o procedimento de avaliação da conformidade aplicável à classe do seu produto, compile a documentação técnica, elabore e assine a declaração UE de conformidade e, em seguida, aponha a marcação CE. Os produtos por defeito podem autoavaliar-se; os produtos importantes e críticos exigem procedimentos mais rigorosos. Art. 28 · 32
Comece pelo CRA Fast Check para confirmar o âmbito de aplicação e a classe, siga o guia redigido para o seu papel e utilize a matriz de conformidade para acompanhar os requisitos essenciais até à sua conclusão.
Não encontrou a sua resposta?
Confirme a posição do seu produto com a autoavaliação gratuita, ou leia a explicação em linguagem simples.