Ponto de situação atual do CRA
Uma visão atualizada da aplicação do Regulamento Ciber-Resiliência; o que já aconteceu, o que está em curso e as datas que ainda se avizinham.
junho de 2026
Marcos
Aplicação plena
Aplica-se a maior parte das obrigações; os produtos colocados no mercado devem cumprir os requisitos essenciais e ostentar a marcação CE.
PróximosRestantes normas previstas
As restantes normas harmonizadas horizontais estão previstas; cerca de um ano antes da plena aplicação, para que os fabricantes possam basear-se nelas.
PrevistoNormas verticais previstas
As normas harmonizadas específicas de cada produto (verticais) estão previstas para entrega.
PrevistoAplicam-se as obrigações de notificação
Os fabricantes devem notificar as vulnerabilidades ativamente exploradas e os incidentes graves à ENISA e ao CSIRT nacional. A plataforma única de notificação da ENISA (artigo 16.º) deverá estar operacional até esta data.
PróximosPrevistas as primeiras normas essenciais
As duas principais normas horizontais (desenvolvimento seguro e tratamento de vulnerabilidades) estão previstas para entrega, antes das restantes normas horizontais.
PrevistoDesenvolvimento de orientações e normas
A Comissão está a publicar orientações (umas perguntas frequentes em permanente atualização e orientações ao abrigo do artigo 26.º), enquanto os organismos europeus de normalização elaboram as normas harmonizadas.
Em cursoPedido de normalização aceite
O CEN, o CENELEC e o ETSI aceitaram o pedido M/606 da Comissão para desenvolver cerca de 41 normas harmonizadas (15 horizontais e as restantes verticais, específicas de produtos).
ConcluídoEntrou em vigor
O CRA tornou-se lei em toda a UE; teve início a contagem do prazo de aplicação.
ConcluídoAdotado e promulgado
O regulamento foi formalmente adotado pelo Parlamento Europeu e pelo Conselho.
Concluído