A contagem decrescente entrou na fase decisiva. A 11 de junho de 2026 entraram em vigor as primeiras disposições operacionais do Cyber Resilience Act, o regulamento europeu que impõe regras de cibersegurança a praticamente todos os produtos com componentes digitais vendidos na União Europeia. A poucos meses do prazo mais temido, 11 de setembro de 2026, fabricantes, importadores e distribuidores enfrentam uma realidade nova: coimas até 15 milhões de euros ou 2,5% do volume de negócios mundial, e a obrigação de reportar vulnerabilidades ativamente exploradas em apenas 24 horas.
Para Portugal, onde milhares de empresas de software, hardware, eletrónica de consumo e dispositivos conectados colocam produtos no mercado único, o Cyber Resilience Act (Regulamento (UE) 2024/2847, abreviado por CRA) deixou de ser um exercício teórico. Esta análise reúne os números, os prazos, a comparação com o NIS2, a reação do mercado e as previsões dos especialistas sobre o impacto da regra que pode redefinir a forma como a Europa produz tecnologia.
O que é o Cyber Resilience Act e porque marca uma rutura
O Cyber Resilience Act é o primeiro regulamento horizontal da União Europeia que aplica requisitos de cibersegurança ao longo de todo o ciclo de vida dos produtos com elementos digitais. A lógica é simples e ao mesmo tempo radical: se um produto liga à internet ou processa dados, passa a ter de cumprir requisitos mínimos de segurança antes de chegar às prateleiras, físicas ou digitais.
Até agora, a responsabilidade pela segurança recaía sobretudo no utilizador final. Comprava-se uma câmara de videovigilância, um router, uma aplicação ou um brinquedo conectado e cabia ao consumidor configurar palavras-passe, instalar atualizações e torcer para que o fabricante corrigisse falhas. O CRA inverte esse ónus. A partir da plena aplicação, o fabricante passa a ser legalmente responsável por desenhar o produto de forma segura, gerir vulnerabilidades e fornecer atualizações durante um período de suporte definido.
O regulamento assenta no princípio do secure by design, ou segurança desde a conceção. Não basta corrigir falhas depois de o produto estar no mercado. A segurança tem de ser pensada na arquitetura, documentada, testada e mantida. Quem não cumprir arrisca não só coimas pesadas, como a retirada do produto do mercado europeu, uma sanção que para muitas empresas é economicamente mais devastadora do que qualquer multa.
A Comissão Europeia descreve o objetivo de forma direta. Segundo a instituição, as principais obrigações introduzidas pelo regulamento aplicar-se-ão a partir de 11 de dezembro de 2027, com as obrigações de comunicação a aplicarem-se desde 11 de setembro de 2026. Esta dupla data é a espinha dorsal de todo o calendário de conformidade do Cyber Resilience Act.
O calendário que ninguém pode ignorar: as datas até 2027
O CRA não entrou em vigor de uma só vez. O legislador europeu desenhou uma aplicação faseada para dar tempo às empresas. O regulamento entrou em vigor a 10 de dezembro de 2024, mas as obrigações concretas só ganham dentes em três marcos sucessivos. Compreender esta sequência é a diferença entre uma transição organizada e uma corrida de pânico no último trimestre.
| Data | Marco | O que muda |
|---|---|---|
| 10 dez. 2024 | Entrada em vigor | O regulamento torna-se lei. Inicia-se o período de transição. |
| 11 jun. 2026 | Organismos de avaliação | Aplicam-se as disposições sobre notificação dos organismos de avaliação da conformidade. |
| 11 set. 2026 | Deveres de comunicação | Obrigação de reportar vulnerabilidades exploradas e incidentes graves à ENISA em 24 horas. |
| 11 dez. 2027 | Aplicação plena | Todos os requisitos essenciais, marcação CE e avaliação de conformidade entram em vigor. |
A data de 11 de junho de 2026, que acaba de passar, ativou as regras sobre os organismos que vão certificar a conformidade dos produtos. É um passo técnico, mas crítico: sem organismos notificados, não há quem ateste que os produtos de risco mais elevado cumprem os requisitos. O verdadeiro impacto chega a 11 de setembro de 2026, quando os fabricantes ficam obrigados a comunicar falhas em tempo recorde. A aplicação plena, com marcação CE obrigatória, fica reservada para 11 de dezembro de 2027.
Coimas até 15 milhões de euros: o regime sancionatório
O peso financeiro do CRA é o que mais assusta os conselhos de administração. A coima máxima por incumprimento dos requisitos essenciais de cibersegurança e das obrigações de gestão de vulnerabilidades é de 15 milhões de euros ou 2,5% do volume de negócios anual mundial, consoante o valor mais elevado. Para um grupo tecnológico com faturação de mil milhões de euros, 2,5% representam 25 milhões, muito acima do teto fixo.
O regime sancionatório segue a lógica gradativa já conhecida do Regulamento Geral sobre a Proteção de Dados. Diferentes tipos de violação correspondem a diferentes tetos. O incumprimento dos requisitos essenciais de segurança fica no escalão mais alto. A prestação de informação incorreta, incompleta ou enganosa às autoridades de fiscalização do mercado tem um teto inferior, mas continua a poder atingir milhões de euros.
Mais relevante do que a coima, para muitos especialistas, é o poder das autoridades de fiscalização do mercado para ordenar a retirada ou a recolha de produtos não conformes. Um produto retirado do mercado europeu perde acesso a 27 Estados-membros e a centenas de milhões de consumidores. Esse risco reputacional e comercial é, na prática, a sanção mais dissuasora do regulamento.
Quem acompanha o tema do risco cibernético reconhece o padrão. Segundo o Allianz Risk Barometer 2026, os incidentes cibernéticos são o principal risco global pelo quinto ano consecutivo, com um valor recorde de 42% das respostas. O CRA é, em larga medida, a resposta regulatória europeia a essa perceção de risco generalizada. Para enquadrar a dimensão do problema em território nacional, vale a pena rever a nossa análise dos ciberataques em Portugal.
A regra das 24 horas: o novo dever de notificação à ENISA
Se há uma novidade do CRA que vai mudar o quotidiano das equipas de segurança, é o calendário apertado de comunicação. A partir de 11 de setembro de 2026, os fabricantes têm de notificar a Agência da União Europeia para a Cibersegurança (ENISA) e a autoridade nacional competente sempre que detetem uma vulnerabilidade ativamente explorada ou um incidente grave que afete um produto abrangido.
Os prazos são exigentes e encadeados. O escritório de advogados White & Case sintetiza a obrigação: a partir de 11 de setembro de 2026, os fabricantes serão obrigados a notificar a Agência da União Europeia para a Cibersegurança e a sua autoridade competente do Estado-membro. O calendário concreto funciona por etapas claras.
- 24 horas: alerta antecipado à ENISA e à autoridade nacional após o fabricante tomar conhecimento da vulnerabilidade explorada ou do incidente grave.
- 72 horas: relatório de seguimento com mais detalhe técnico e medidas tomadas.
- 14 dias: relatório final para vulnerabilidades exploradas, após estar disponível uma medida corretiva ou de mitigação.
- 1 mês: relatório final para incidentes graves, a contar do relatório de 72 horas.
Este ritmo aproxima o CRA das obrigações de comunicação já presentes noutros instrumentos europeus, mas alarga-as a um universo muito mais vasto de empresas. Pela primeira vez, o fabricante de um simples termóstato inteligente ou de uma aplicação móvel pode ter de acionar um processo de comunicação em 24 horas. A questão da resposta atempada a falhas ganha uma dimensão regulatória que antes não existia, como já tínhamos discutido na cobertura da crise das CVE e da base de dados EUVD da UE.
Que produtos estão abrangidos: das default às categorias críticas
O âmbito do CRA é deliberadamente amplo. Aplica-se a produtos com elementos digitais, uma definição que cobre hardware e software, bem como as soluções de processamento remoto de dados associadas. Na prática, abrange desde sistemas operativos e firewalls a câmaras de segurança, brinquedos conectados, aplicações e bibliotecas de software. Há exceções para setores já regulados, como dispositivos médicos, aviação e veículos a motor, mas o universo abrangido é enorme.
Para gerir esta diversidade, o regulamento divide os produtos em categorias de risco. Quanto maior o risco que o produto representa para a cadeia de fornecimento digital, mais exigente é o processo de avaliação da conformidade. Uma fonte da indústria estima que cerca de 90% dos produtos com elementos digitais caem na categoria default, com possibilidade de autoavaliação pelo próprio fabricante.
| Categoria | Exemplos típicos | Avaliação exigida | Peso no mercado |
|---|---|---|---|
| Default | Aplicações, jogos, editores de texto, software comum | Autoavaliação do fabricante | cerca de 90% |
| Importante classe I | Gestores de palavras-passe, antivírus, VPN, routers domésticos | Autoavaliação com normas ou exame de terceiro | Minoria |
| Importante classe II | Firewalls, sistemas de deteção de intrusão, hipervisores | Avaliação por terceiro obrigatória | Minoria |
| Crítico | Componentes de hardware seguro, smart cards, contadores inteligentes | Certificação europeia reforçada | Núcleo restrito |
Esta classificação é determinante porque define o custo e a complexidade da entrada no mercado. Um produto default pode ser colocado à venda após a autoavaliação do próprio fabricante. Um firewall, classificado como importante de classe II, exige a intervenção de um organismo terceiro. E um produto crítico, como um componente de segurança de hardware, fica sujeito a uma certificação europeia reforçada. A categorização errada de um produto é, em si mesma, uma fonte de risco de incumprimento.
Marcação CE: o cadeado físico da cibersegurança
Os consumidores europeus conhecem bem o símbolo CE em eletrodomésticos, brinquedos e equipamento elétrico. O CRA estende essa lógica à cibersegurança. A partir da aplicação plena, os produtos abrangidos terão de ostentar a marcação CE para indicar que cumprem os requisitos de cibersegurança do regulamento. Sem marcação CE conforme, o produto não pode circular legalmente no mercado único.
Na prática, isto significa que o fabricante tem de concluir a avaliação de conformidade aplicável à categoria do produto e só depois afixar a marcação CE. O processo obriga a documentação técnica, declaração de conformidade UE, análise de risco de cibersegurança e um plano de gestão de vulnerabilidades. Tudo isto tem de estar disponível para as autoridades de fiscalização do mercado, que podem pedir provas a qualquer momento.
A simbologia tem um valor pedagógico que não deve ser subestimado. Tal como o cadeado do HTTPS sinaliza uma ligação cifrada, conforme explicámos no guia sobre HTTPS e TLS, a marcação CE de cibersegurança passa a ser um sinal visível de que um produto cumpriu um patamar mínimo de segurança. A diferença é que, no caso do CRA, esse sinal tem força legal e consequências comerciais diretas.
O impacto para Portugal: fabricantes, software e o papel do CNCS
Portugal tem um tecido empresarial tecnológico em crescimento, com centenas de empresas de software, startups, fabricantes de eletrónica e integradores de sistemas que colocam produtos no mercado europeu. Para todas elas, o Cyber Resilience Act é simultaneamente um custo e uma oportunidade. Custo, porque a conformidade exige investimento em processos, documentação e pessoal. Oportunidade, porque um selo de segurança credível abre portas a clientes empresariais e públicos que cada vez mais exigem garantias.
A aplicação do CRA assenta nas autoridades nacionais de fiscalização do mercado. Em Portugal, o ecossistema de cibersegurança gravita em torno do Centro Nacional de Cibersegurança (CNCS), que já desempenha um papel central na supervisão de outros instrumentos europeus. A articulação entre o CNCS, as autoridades de fiscalização do mercado e a ENISA será decisiva para a forma como o regulamento é aplicado em território nacional.
As empresas portuguesas que já se prepararam para a diretiva NIS2 partem com vantagem, porque muitos processos de gestão de risco e de comunicação de incidentes são reaproveitáveis. Quem ainda não começou tem um problema de calendário. A nossa análise do regime NIS2 em Portugal detalha as coimas e os prazos de registo que se cruzam com as exigências do CRA. Os documentos legais nacionais relevantes são publicados no Diário da República.
Mercado em contrarrelógio: custos de conformidade e reação da indústria
A reação do mercado em 2026 resume-se a uma palavra: pressa. Consultoras, escritórios de advogados e fornecedores de ferramentas de conformidade publicaram guias de implementação, listas de verificação e calendários de marcos. O CRA já desencadeou trabalho concreto em inventários de produtos, processos de gestão de incidentes, planeamento da avaliação de conformidade e preparação da marcação CE.
O maior ponto de tensão está na cadeia de fornecimento de software. Muitos produtos integram componentes de código aberto e bibliotecas de terceiros. O CRA obriga os fabricantes a conhecer e gerir as vulnerabilidades desses componentes, o que exige a manutenção de um inventário de software, frequentemente designado por SBOM, ou software bill of materials. Para empresas que nunca documentaram as suas dependências, este é um esforço considerável.
O contexto de risco reforça a urgência. O Global Cybersecurity Outlook 2026 do Fórum Económico Mundial coloca as fugas de dados associadas à inteligência artificial generativa como uma das principais preocupações de 2026, com 34% das respostas, e o avanço das capacidades adversárias com 29%. Num cenário em que os atacantes ganham velocidade, a exigência de produtos seguros desde a conceção deixa de ser um luxo regulatório para passar a ser uma necessidade defensiva. A própria evolução das ameaças, como mostra a tendência do ransomware sem encriptação, comprova essa urgência.
Contexto histórico: de onde vem o secure by design
O CRA não nasceu do vazio. É o culminar de uma década de incidentes que expuseram a fragilidade dos dispositivos conectados. A explosão da chamada Internet das Coisas trouxe milhões de câmaras, routers e gadgets com palavras-passe por omissão, firmware desatualizado e zero suporte de segurança. Botnets construídas a partir destes equipamentos demonstraram que um único produto inseguro pode comprometer infraestruturas inteiras.
A União Europeia já tinha respondido com instrumentos setoriais e voluntários, mas faltava uma regra horizontal e obrigatória. A diretiva NIS, depois reforçada pela NIS2, regulou os operadores de serviços essenciais. O Cybersecurity Act criou um quadro europeu de certificação. Faltava regular o próprio produto, antes e depois de chegar ao mercado. O CRA preenche essa lacuna, complementando expressamente o quadro existente, incluindo a NIS e a NIS2.
A filosofia de segurança desde a conceção tem raízes mais antigas, na engenharia de software e na criptografia. A ideia de que a segurança não pode ser um remendo final, mas sim uma propriedade do sistema, é central em áreas como as assinaturas digitais e o hashing criptográfico. O CRA traduz esse princípio de engenharia em obrigação legal para um mercado inteiro.
CRA contra NIS2: produto versus operador
A confusão entre CRA e NIS2 é frequente, mas a distinção é simples e importante. O CRA regula o produto. A NIS2 regula o operador. Um fabricante de firewalls está sujeito ao CRA pelos produtos que coloca no mercado, e pode estar sujeito à NIS2 pela forma como gere a sua própria organização, se for uma entidade essencial ou importante.
| Critério | Cyber Resilience Act | NIS2 |
|---|---|---|
| Alvo da regra | Produtos com elementos digitais | Entidades essenciais e importantes |
| Foco | Segurança desde a conceção, marcação CE | Gestão de risco operacional da organização |
| Quem cumpre | Fabricantes, importadores, distribuidores | Operadores de setores críticos |
| Coima máxima | 15M EUR ou 2,5% do volume de negócios | Até 10M EUR ou 2% (entidades essenciais) |
| Aplicação plena | 11 de dezembro de 2027 | Em transposição nacional desde 2024 |
A sobreposição é deliberada. Bruxelas construiu um mosaico regulatório em que cada peça cobre uma dimensão do problema. Uma empresa tecnológica madura pode ter de cumprir o CRA, a NIS2, o Regulamento Geral sobre a Proteção de Dados e, no setor financeiro, o regulamento DORA. A boa notícia é que muitos controlos de segurança servem para vários instrumentos. A má notícia é que cada um tem o seu calendário, as suas autoridades e o seu regime sancionatório.
O que dizem os especialistas sobre o CRA
As vozes que melhor traduzem o estado atual do CRA são as das instituições europeias e dos juristas que aconselham as empresas na transição. A Comissão Europeia mantém a mensagem central sobre o calendário: as obrigações de comunicação aplicam-se desde 11 de setembro de 2026 e as obrigações principais a partir de 11 de dezembro de 2027.
O Cyber Resilience Act entrou em vigor a 10 de dezembro de 2024 e será plenamente aplicável a partir de 11 de dezembro de 2027.
Hogan Lovells, análise jurídica do CRA
Do lado técnico, os especialistas sublinham que a obrigação de comunicação de vulnerabilidades é a que vai exigir mudanças operacionais mais imediatas. A própria Comissão Europeia reforça que as obrigações relativas à comunicação de vulnerabilidades se aplicam a partir de 11 de setembro de 2026, colocando essa data como o primeiro grande teste de maturidade das empresas.
A partir de 11 de setembro de 2026, os fabricantes serão obrigados a notificar a Agência da União Europeia para a Cibersegurança e a sua autoridade competente do Estado-membro.
White & Case, briefing de conformidade CRA
No plano da perceção de risco, o Allianz Risk Barometer 2026 é categórico ao afirmar que os incidentes cibernéticos são o principal risco global de 2026, com a sua pontuação mais alta de sempre, 42% das respostas. O Fórum Económico Mundial acrescenta que a cibersegurança em 2026 acelera num contexto de ameaças crescentes e fragmentação geopolítica. Em conjunto, estas leituras explicam porque a União Europeia decidiu legislar o produto e não apenas o operador.
Cinco previsões para a era pós-CRA
Com base nas dinâmicas atuais, o impacto do Cyber Resilience Act nos próximos meses e anos deverá seguir cinco linhas de força.
- Corrida à conformidade no segundo semestre de 2026. O prazo de 11 de setembro de 2026 vai concentrar uma vaga de projetos de implementação de processos de comunicação de vulnerabilidades, com escassez de consultores especializados.
- Consolidação de fornecedores. Pequenos fabricantes sem capacidade de cumprir os requisitos vão sair do mercado europeu ou ser absorvidos por players maiores com recursos de conformidade.
- O SBOM torna-se padrão. O inventário de componentes de software deixará de ser boa prática para passar a ser requisito de facto, replicando o que aconteceu com instrumentos semelhantes noutras jurisdições.
- A marcação CE de cibersegurança vira argumento comercial. Os fabricantes que se anteciparem usarão a conformidade como diferenciador competitivo perante clientes públicos e empresariais.
- Fiscalização gradual mas crescente. As primeiras coimas significativas não chegarão antes de 2028, mas as autoridades de fiscalização do mercado vão intensificar verificações documentais a partir da aplicação plena.
Como as empresas se devem preparar agora
A preparação para o CRA não é um projeto de última hora, mas há passos concretos que qualquer fabricante ou editor de software pode dar de imediato. O primeiro é o inventário. É impossível proteger e documentar produtos que a própria empresa não cataloga com rigor. Saber quantos produtos com elementos digitais a organização coloca no mercado, e em que categoria de risco caem, é o ponto de partida.
O segundo passo é o processo de gestão de vulnerabilidades. A regra das 24 horas exige uma cadeia de deteção, triagem, decisão e comunicação que funcione sem falhas. Empresas que ainda dependem de processos informais terão de formalizar fluxos, definir responsáveis e testar a capacidade de reportar à ENISA dentro do prazo. A nossa cobertura do relatório DBIR 2026 mostra como as vulnerabilidades por explorar continuam a alimentar fugas de dados, reforçando a urgência destes processos.
O terceiro passo é a documentação técnica e a avaliação de conformidade. Para produtos default, basta a autoavaliação, mas mesmo essa exige registos sólidos. Para produtos importantes ou críticos, é preciso identificar e contactar organismos notificados, cujo número e capacidade ainda estão em formação. Antecipar este contacto evita engarrafamentos no final do período de transição. Para uma visão geral dos fundamentos, o nosso guia de segurança online oferece o enquadramento essencial.
Os recursos oficiais são indispensáveis. A Comissão Europeia mantém uma página dedicada ao Cyber Resilience Act e um conjunto de perguntas frequentes oficiais. A ENISA publica orientações técnicas, e a Comissão Europeia centraliza o quadro político mais amplo. Consultar estas fontes diretamente é a melhor forma de evitar interpretações erradas do regulamento.
Cobertura relacionada
- NIS2 Portugal: Coimas de 10M EUR e 60 Dias para Registo
- CVE em Crise: EUVD da UE e 11 Meses de Risco
- Ciberataques em Portugal: 2.437 por Semana
- DBIR 2026: 31% das Fugas por Vulnerabilidades
- Ransomware Sem Encriptação: 44% das Falhas
- Segurança Online Explicada: Guia Prático
Perguntas frequentes sobre o Cyber Resilience Act
O que é o Cyber Resilience Act?
É o Regulamento (UE) 2024/2847, a primeira lei horizontal da União Europeia que impõe requisitos de cibersegurança a produtos com elementos digitais, ao longo de todo o ciclo de vida. Obriga os fabricantes a desenhar produtos seguros, gerir vulnerabilidades e fornecer atualizações durante um período de suporte definido.
Quando entra em vigor o CRA?
O regulamento entrou em vigor a 10 de dezembro de 2024. As obrigações de comunicação de vulnerabilidades aplicam-se desde 11 de setembro de 2026 e a aplicação plena, incluindo a marcação CE, ocorre a 11 de dezembro de 2027.
Quais são as coimas previstas no Cyber Resilience Act?
A coima máxima por incumprimento dos requisitos essenciais é de 15 milhões de euros ou 2,5% do volume de negócios anual mundial, consoante o valor mais elevado. Existem tetos inferiores para outras violações, como a prestação de informação incorreta às autoridades.
Qual a diferença entre o CRA e a NIS2?
O CRA regula os produtos com elementos digitais, com foco na segurança desde a conceção e na marcação CE. A NIS2 regula as organizações, com foco na gestão de risco operacional de entidades essenciais e importantes. Em resumo, o CRA regula o produto e a NIS2 regula o operador.
Que produtos estão abrangidos pelo CRA?
Aplica-se a hardware e software com elementos digitais, desde aplicações e routers a firewalls e câmaras conectadas. Cerca de 90% caem na categoria default, com autoavaliação. Setores já regulados, como dispositivos médicos, aviação e automóvel, têm regimes próprios.
O que muda a 11 de setembro de 2026?
A partir dessa data, os fabricantes têm de notificar a ENISA e a autoridade nacional competente sobre vulnerabilidades ativamente exploradas e incidentes graves, com um alerta em 24 horas, um relatório de seguimento em 72 horas e um relatório final dentro dos prazos definidos.
Como se preparam as empresas portuguesas para o CRA?
Começam por inventariar os produtos e classificá-los por risco, formalizam o processo de gestão e comunicação de vulnerabilidades, preparam a documentação técnica e a avaliação de conformidade, e articulam-se com as autoridades nacionais e a ENISA. Quem já cumpriu a NIS2 reaproveita parte dos processos.
