Guia independente do Regulamento (UE) 2024/2847 · Estado: em vigor
Esta página é uma tradução automática (IA) e não foi revista por uma pessoa.
Compreender o CRA · Notificação

Notificação de incidentes e vulnerabilidades ao abrigo do CRA

A partir de 11 de setembro de 2026, os fabricantes devem notificar as vulnerabilidades ativamente exploradas e os incidentes graves ao abrigo do artigo 14.º; o que notificar, os prazos de 24 horas, 72 horas e 14 dias, e quem recebe a notificação.

Aprox. 8 min de leituraArtigo 14 · 16Aplica-se a partir de 11 Set 2026

01O que deve ser notificado

O artigo 14.º do Cyber Resilience Act cria duas obrigações de notificação distintas para os fabricantes de produtos com elementos digitais. São mais restritas do que à primeira vista parecem: os erros de rotina e os patches ordinários não estão abrangidos. Art. 14

  • Vulnerabilidades ativamente exploradas; uma vulnerabilidade no seu produto que está a ser explorada num ataque. Uma vulnerabilidade que descubra e corrija antes de ser explorada é tratada através do seu processo de gestão de vulnerabilidades, e não através deste canal de notificação.
  • Incidentes graves; um incidente com impacto grave na segurança do produto, por exemplo, um que comprometa a confidencialidade, integridade ou disponibilidade para os utilizadores.
O teste

Se uma fraqueza de segurança no seu produto estiver a ser ativamente explorada, ou um incidente de segurança o tiver afetado gravemente, o prazo do artigo 14.º começa a contar. Tudo o resto permanece no âmbito da sua gestão quotidiana de vulnerabilidades.

02Os três prazos

Cada notificação desenvolve-se em três fases, contadas a partir do momento em que tomar conhecimento da vulnerabilidade explorada ou do incidente grave. Os prazos são curtos, razão pela qual a preparação antecipada importa mais do que o processo no próprio dia. Art. 14(2)–(4)

  • No prazo de 24hAviso prévio. Uma primeira notificação de que ocorreu uma vulnerabilidade ativamente explorada ou um incidente grave, incluindo se se suspeita que foi causado por atos ilícitos ou maliciosos.
  • No prazo de 72hNotificação de vulnerabilidade / incidente. Uma descrição mais detalhada, incluindo uma avaliação inicial, a gravidade e o impacto, e, quando disponíveis, as medidas corretivas ou de mitigação tomadas.
  • No prazo de 14 diasRelatório final. Assim que uma medida corretiva estiver disponível: uma descrição da vulnerabilidade ou incidente, a sua gravidade e impacto, e a correção aplicada. Para os incidentes, o prazo conta a partir do momento em que o incidente é tratado.

03A quem notifica

As notificações são enviadas para ENISA e ao CSIRT designado como coordenador para o Estado-Membro em causa. Não contacta cada autoridade separadamente: o CRA estabelece uma plataforma de notificação única, criada e gerida pela ENISA, como ponto de entrada único para todas as notificações. Art. 14 · 16

A plataforma encaminha cada notificação para o CSIRT nacional competente e, quando necessário, para outras autoridades. Em casos restritos — por exemplo, quando a divulgação criaria um risco de cibersegurança desproporcionado — o Regulamento permite que uma notificação seja limitada, mas a regra geral é a notificação completa e imediata através da plataforma.

Estado · meados de 2026

A plataforma de notificação única está ainda não disponível de forma geral. A ENISA ainda está a construí-la (o desenvolvimento foi submetido a concurso e contratado) e está a publicar material de registo, integração e simulação na fase preparatória. Está previsto que esteja operacional até à data de início de 11 de setembro de 2026, com um período de testes antes disso; pelo que não existe, neste momento, nenhuma plataforma em produção disponível para registo.

04Quando começa

As obrigações de notificação são a primeira parte importante do CRA a entrar em vigor. Embora a maioria das disposições se aplique a partir de 11 de dezembro de 2027, o artigo 14.º aplica-se a partir de 11 de setembro de 2026; 21 meses após a entrada em vigor do Ato. A plataforma de notificação única está prevista para estar operacional nessa data. Art. 71

Por que razão este é o primeiro prazo que importa

Ao contrário da Marcação CE, que se conclui uma vez antes da colocação do produto no mercado, a notificação é uma obrigação contínua e em tempo real que tem início em setembro de 2026 e pode ser acionada em qualquer momento a partir daí. Estar preparado não é um projeto pontual.

Ainda em fase de conclusão

O formato e procedimento para as notificações pode ser especificado posteriormente por atos de execução da Comissão, e as normas harmonizadas que sustentam a gestão de vulnerabilidades são esperadas por volta de 30 de agosto de 2026. Ambos deverão estar disponíveis apenas pouco antes do início da obrigação. A conclusão prática: desenvolva agora o seu processo interno de deteção e notificação; não aguarde a mecânica definitiva da plataforma ou um modelo de notificação publicado, pois a obrigação é aplicável a partir de 11 de setembro de 2026, independentemente.

05Como estar preparado

Cumprir um prazo de 24 horas é um problema operacional, não burocrático. Os fabricantes que o conseguirão são os que já sabem o que os seus produtos contêm e os monitorizam continuamente.

  • Manter uma SBOM precisa; não é possível notificar sobre um componente que não sabia estar a distribuir. Mantenha uma lista de componentes de software (SBOM) e mantenha-a atualizada à medida que as versões mudam.
  • Monitorizá-la continuamente; confronte os seus componentes com fontes de vulnerabilidades conhecidas para que uma falha ativamente explorada seja detetada em horas, e não em semanas.
  • Definir o processo antecipadamente; decida agora quem determina que uma notificação é necessária, quem a elabora e quem a submete, para que o tempo não seja consumido em escaladas internas.
  • Acompanhar os requisitos subjacentes; o matriz de conformidade associa a notificação às obrigações mais amplas de gestão de vulnerabilidades do Anexo I em que se insere.

O SBOM e analisador de vulnerabilidades cobre os dois primeiros: confronta a sua lista de materiais com a NVD e a base de dados de vulnerabilidades da UE (EUVD), para que um componente ativamente explorado seja sinalizado dentro do prazo de 24 horas.

Abrir o analisador de vulnerabilidades →O CRA, explicado →

06Questões comuns

O que devo notificar ao abrigo do CRA e com que rapidez?

Vulnerabilidades ativamente exploradas e incidentes graves que afetem a segurança do seu produto. Deve enviar um aviso prévio no prazo de 24 horas após tomar conhecimento, uma notificação mais detalhada no prazo de 72 horas, e um relatório final no prazo de 14 dias após a disponibilização de uma medida corretiva. Art. 14

Quando é que as obrigações de notificação têm início?

11 de setembro de 2026; 21 meses após a entrada em vigor do Ato, muito antes da aplicação plena em 11 de dezembro de 2027.

A quem notifico?

A ENISA e o CSIRT nacional designado como coordenador, através da plataforma de notificação única que a ENISA cria ao abrigo do artigo 16.º. É um ponto de entrada único e não notificações separadas.

Tenho de notificar todos os erros ou vulnerabilidades?

Não. Apenas as vulnerabilidades ativamente exploradas e os incidentes graves são objeto de notificação. As vulnerabilidades que encontra e corrige antes de serem exploradas são geridas através do seu processo ordinário de gestão de vulnerabilidades.

A plataforma de notificação única da ENISA já está disponível?

Ainda não. A meados de 2026 ainda está a ser construída ao abrigo do artigo 16.º; a ENISA está a publicar material de registo e simulação na fase preparatória e a plataforma está prevista para estar operacional em 11 de setembro de 2026, com um período de testes antes disso.

Já existe um formato padrão ou modelo para a notificação?

Não, um definitivo ainda não. A Comissão pode especificar o formato e o procedimento de notificação através de atos de execução, e as normas harmonizadas que sustentam a gestão de vulnerabilidades são esperadas por volta de 30 de agosto de 2026. Prepare o seu processo interno agora em vez de aguardar a mecânica publicada; a obrigação aplica-se a partir de 11 de setembro de 2026, independentemente.

Continuar a ler

Referências relacionadas

§O CRA, explicado

Âmbito, classes, obrigações e calendário completo em linguagem simples.

§SBOM e analisador de vulnerabilidades

Confronte os seus componentes com a NVD e a EUVD para cumprir o prazo de 24 horas.

§O regulamento completo

Artigos 14 e 16 no texto vinculativo do Regulamento (EU) 2024/2847.

§Perguntas frequentes

Respostas concisas às questões mais frequentes das partes interessadas, com referências.