{"id":106,"date":"2026-06-15T08:58:29","date_gmt":"2026-06-15T08:58:29","guid":{"rendered":"https:\/\/shattered.io\/pt\/2026\/06\/15\/cyber-resilience-act-cra-2026\/"},"modified":"2026-06-15T09:00:05","modified_gmt":"2026-06-15T09:00:05","slug":"cyber-resilience-act-cra-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/pt\/2026\/06\/15\/cyber-resilience-act-cra-2026\/","title":{"rendered":"Cyber Resilience Act: Coima \u20ac15M e Prazo 11 Set [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">A contagem decrescente entrou na fase decisiva. A 11 de junho de 2026 entraram em vigor as primeiras disposi\u00e7\u00f5es operacionais do <strong>Cyber Resilience Act<\/strong>, o regulamento europeu que imp\u00f5e regras de ciberseguran\u00e7a a praticamente todos os produtos com componentes digitais vendidos na Uni\u00e3o Europeia. A poucos meses do prazo mais temido, 11 de setembro de 2026, fabricantes, importadores e distribuidores enfrentam uma realidade nova: coimas at\u00e9 <strong>15 milh\u00f5es de euros<\/strong> ou 2,5% do volume de neg\u00f3cios mundial, e a obriga\u00e7\u00e3o de reportar vulnerabilidades ativamente exploradas em apenas <strong>24 horas<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Para Portugal, onde milhares de empresas de software, hardware, eletr\u00f3nica de consumo e dispositivos conectados colocam produtos no mercado \u00fanico, o <strong>Cyber Resilience Act<\/strong> (Regulamento (UE) 2024\/2847, abreviado por CRA) deixou de ser um exerc\u00edcio te\u00f3rico. Esta an\u00e1lise re\u00fane os n\u00fameros, os prazos, a compara\u00e7\u00e3o com o NIS2, a rea\u00e7\u00e3o do mercado e as previs\u00f5es dos especialistas sobre o impacto da regra que pode redefinir a forma como a Europa produz tecnologia.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"o-que-e-o-cyber-resilience-act-e-porque-marca-uma-rutura\">O que \u00e9 o Cyber Resilience Act e porque marca uma rutura<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">O <strong>Cyber Resilience Act<\/strong> \u00e9 o primeiro regulamento horizontal da Uni\u00e3o Europeia que aplica requisitos de ciberseguran\u00e7a ao longo de todo o ciclo de vida dos produtos com elementos digitais. A l\u00f3gica \u00e9 simples e ao mesmo tempo radical: se um produto liga \u00e0 internet ou processa dados, passa a ter de cumprir requisitos m\u00ednimos de seguran\u00e7a antes de chegar \u00e0s prateleiras, f\u00edsicas ou digitais.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">At\u00e9 agora, a responsabilidade pela seguran\u00e7a reca\u00eda sobretudo no utilizador final. Comprava-se uma c\u00e2mara de videovigil\u00e2ncia, um router, uma aplica\u00e7\u00e3o ou um brinquedo conectado e cabia ao consumidor configurar palavras-passe, instalar atualiza\u00e7\u00f5es e torcer para que o fabricante corrigisse falhas. O CRA inverte esse \u00f3nus. A partir da plena aplica\u00e7\u00e3o, o fabricante passa a ser legalmente respons\u00e1vel por desenhar o produto de forma segura, gerir vulnerabilidades e fornecer atualiza\u00e7\u00f5es durante um per\u00edodo de suporte definido.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">O regulamento assenta no princ\u00edpio do <em>secure by design<\/em>, ou seguran\u00e7a desde a conce\u00e7\u00e3o. N\u00e3o basta corrigir falhas depois de o produto estar no mercado. A seguran\u00e7a tem de ser pensada na arquitetura, documentada, testada e mantida. Quem n\u00e3o cumprir arrisca n\u00e3o s\u00f3 coimas pesadas, como a retirada do produto do mercado europeu, uma san\u00e7\u00e3o que para muitas empresas \u00e9 economicamente mais devastadora do que qualquer multa.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">A Comiss\u00e3o Europeia descreve o objetivo de forma direta. Segundo a institui\u00e7\u00e3o, as principais obriga\u00e7\u00f5es introduzidas pelo regulamento aplicar-se-\u00e3o a partir de 11 de dezembro de 2027, com as obriga\u00e7\u00f5es de comunica\u00e7\u00e3o a aplicarem-se desde 11 de setembro de 2026. Esta dupla data \u00e9 a espinha dorsal de todo o calend\u00e1rio de conformidade do <strong>Cyber Resilience Act<\/strong>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"o-calendario-que-ninguem-pode-ignorar-as-datas-ate-2027\">O calend\u00e1rio que ningu\u00e9m pode ignorar: as datas at\u00e9 2027<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">O CRA n\u00e3o entrou em vigor de uma s\u00f3 vez. O legislador europeu desenhou uma aplica\u00e7\u00e3o faseada para dar tempo \u00e0s empresas. O regulamento entrou em vigor a 10 de dezembro de 2024, mas as obriga\u00e7\u00f5es concretas s\u00f3 ganham dentes em tr\u00eas marcos sucessivos. Compreender esta sequ\u00eancia \u00e9 a diferen\u00e7a entre uma transi\u00e7\u00e3o organizada e uma corrida de p\u00e2nico no \u00faltimo trimestre.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Data<\/th><th>Marco<\/th><th>O que muda<\/th><\/tr><\/thead><tbody><tr><td>10 dez. 2024<\/td><td>Entrada em vigor<\/td><td>O regulamento torna-se lei. Inicia-se o per\u00edodo de transi\u00e7\u00e3o.<\/td><\/tr><tr><td>11 jun. 2026<\/td><td>Organismos de avalia\u00e7\u00e3o<\/td><td>Aplicam-se as disposi\u00e7\u00f5es sobre notifica\u00e7\u00e3o dos organismos de avalia\u00e7\u00e3o da conformidade.<\/td><\/tr><tr><td>11 set. 2026<\/td><td>Deveres de comunica\u00e7\u00e3o<\/td><td>Obriga\u00e7\u00e3o de reportar vulnerabilidades exploradas e incidentes graves \u00e0 ENISA em 24 horas.<\/td><\/tr><tr><td>11 dez. 2027<\/td><td>Aplica\u00e7\u00e3o plena<\/td><td>Todos os requisitos essenciais, marca\u00e7\u00e3o CE e avalia\u00e7\u00e3o de conformidade entram em vigor.<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Calend\u00e1rio de aplica\u00e7\u00e3o do Cyber Resilience Act. Fonte: Comiss\u00e3o Europeia, Regulamento (UE) 2024\/2847.<\/figcaption><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">A data de 11 de junho de 2026, que acaba de passar, ativou as regras sobre os organismos que v\u00e3o certificar a conformidade dos produtos. \u00c9 um passo t\u00e9cnico, mas cr\u00edtico: sem organismos notificados, n\u00e3o h\u00e1 quem ateste que os produtos de risco mais elevado cumprem os requisitos. O verdadeiro impacto chega a 11 de setembro de 2026, quando os fabricantes ficam obrigados a comunicar falhas em tempo recorde. A aplica\u00e7\u00e3o plena, com marca\u00e7\u00e3o CE obrigat\u00f3ria, fica reservada para 11 de dezembro de 2027.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"coimas-ate-15-milhoes-de-euros-o-regime-sancionatorio\">Coimas at\u00e9 15 milh\u00f5es de euros: o regime sancionat\u00f3rio<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">O peso financeiro do CRA \u00e9 o que mais assusta os conselhos de administra\u00e7\u00e3o. A coima m\u00e1xima por incumprimento dos requisitos essenciais de ciberseguran\u00e7a e das obriga\u00e7\u00f5es de gest\u00e3o de vulnerabilidades \u00e9 de <strong>15 milh\u00f5es de euros ou 2,5% do volume de neg\u00f3cios anual mundial<\/strong>, consoante o valor mais elevado. Para um grupo tecnol\u00f3gico com fatura\u00e7\u00e3o de mil milh\u00f5es de euros, 2,5% representam 25 milh\u00f5es, muito acima do teto fixo.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">O regime sancionat\u00f3rio segue a l\u00f3gica gradativa j\u00e1 conhecida do Regulamento Geral sobre a Prote\u00e7\u00e3o de Dados. Diferentes tipos de viola\u00e7\u00e3o correspondem a diferentes tetos. O incumprimento dos requisitos essenciais de seguran\u00e7a fica no escal\u00e3o mais alto. A presta\u00e7\u00e3o de informa\u00e7\u00e3o incorreta, incompleta ou enganosa \u00e0s autoridades de fiscaliza\u00e7\u00e3o do mercado tem um teto inferior, mas continua a poder atingir milh\u00f5es de euros.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Mais relevante do que a coima, para muitos especialistas, \u00e9 o poder das autoridades de fiscaliza\u00e7\u00e3o do mercado para ordenar a retirada ou a recolha de produtos n\u00e3o conformes. Um produto retirado do mercado europeu perde acesso a 27 Estados-membros e a centenas de milh\u00f5es de consumidores. Esse risco reputacional e comercial \u00e9, na pr\u00e1tica, a san\u00e7\u00e3o mais dissuasora do regulamento.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Quem acompanha o tema do risco cibern\u00e9tico reconhece o padr\u00e3o. Segundo o Allianz Risk Barometer 2026, os incidentes cibern\u00e9ticos s\u00e3o o principal risco global pelo quinto ano consecutivo, com um valor recorde de 42% das respostas. O CRA \u00e9, em larga medida, a resposta regulat\u00f3ria europeia a essa perce\u00e7\u00e3o de risco generalizada. Para enquadrar a dimens\u00e3o do problema em territ\u00f3rio nacional, vale a pena rever a nossa an\u00e1lise dos <a href=\"\/pt\/ciberataques-portugal-2026\/\">ciberataques em Portugal<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"a-regra-das-24-horas-o-novo-dever-de-notificacao-a-enisa\">A regra das 24 horas: o novo dever de notifica\u00e7\u00e3o \u00e0 ENISA<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Se h\u00e1 uma novidade do CRA que vai mudar o quotidiano das equipas de seguran\u00e7a, \u00e9 o calend\u00e1rio apertado de comunica\u00e7\u00e3o. A partir de 11 de setembro de 2026, os fabricantes t\u00eam de notificar a Ag\u00eancia da Uni\u00e3o Europeia para a Ciberseguran\u00e7a (ENISA) e a autoridade nacional competente sempre que detetem uma vulnerabilidade ativamente explorada ou um incidente grave que afete um produto abrangido.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Os prazos s\u00e3o exigentes e encadeados. O escrit\u00f3rio de advogados White &amp; Case sintetiza a obriga\u00e7\u00e3o: a partir de 11 de setembro de 2026, os fabricantes ser\u00e3o obrigados a notificar a Ag\u00eancia da Uni\u00e3o Europeia para a Ciberseguran\u00e7a e a sua autoridade competente do Estado-membro. O calend\u00e1rio concreto funciona por etapas claras.<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>24 horas:<\/strong> alerta antecipado \u00e0 ENISA e \u00e0 autoridade nacional ap\u00f3s o fabricante tomar conhecimento da vulnerabilidade explorada ou do incidente grave.<\/li><li><strong>72 horas:<\/strong> relat\u00f3rio de seguimento com mais detalhe t\u00e9cnico e medidas tomadas.<\/li><li><strong>14 dias:<\/strong> relat\u00f3rio final para vulnerabilidades exploradas, ap\u00f3s estar dispon\u00edvel uma medida corretiva ou de mitiga\u00e7\u00e3o.<\/li><li><strong>1 m\u00eas:<\/strong> relat\u00f3rio final para incidentes graves, a contar do relat\u00f3rio de 72 horas.<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Este ritmo aproxima o CRA das obriga\u00e7\u00f5es de comunica\u00e7\u00e3o j\u00e1 presentes noutros instrumentos europeus, mas alarga-as a um universo muito mais vasto de empresas. Pela primeira vez, o fabricante de um simples term\u00f3stato inteligente ou de uma aplica\u00e7\u00e3o m\u00f3vel pode ter de acionar um processo de comunica\u00e7\u00e3o em 24 horas. A quest\u00e3o da resposta atempada a falhas ganha uma dimens\u00e3o regulat\u00f3ria que antes n\u00e3o existia, como j\u00e1 t\u00ednhamos discutido na cobertura da <a href=\"\/pt\/euvd-cve-crise-ue-2026\/\">crise das CVE e da base de dados EUVD da UE<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"que-produtos-estao-abrangidos-das-default-as-categorias-criticas\">Que produtos est\u00e3o abrangidos: das default \u00e0s categorias cr\u00edticas<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">O \u00e2mbito do CRA \u00e9 deliberadamente amplo. Aplica-se a produtos com elementos digitais, uma defini\u00e7\u00e3o que cobre hardware e software, bem como as solu\u00e7\u00f5es de processamento remoto de dados associadas. Na pr\u00e1tica, abrange desde sistemas operativos e firewalls a c\u00e2maras de seguran\u00e7a, brinquedos conectados, aplica\u00e7\u00f5es e bibliotecas de software. H\u00e1 exce\u00e7\u00f5es para setores j\u00e1 regulados, como dispositivos m\u00e9dicos, avia\u00e7\u00e3o e ve\u00edculos a motor, mas o universo abrangido \u00e9 enorme.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Para gerir esta diversidade, o regulamento divide os produtos em categorias de risco. Quanto maior o risco que o produto representa para a cadeia de fornecimento digital, mais exigente \u00e9 o processo de avalia\u00e7\u00e3o da conformidade. Uma fonte da ind\u00fastria estima que cerca de 90% dos produtos com elementos digitais caem na categoria default, com possibilidade de autoavalia\u00e7\u00e3o pelo pr\u00f3prio fabricante.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Categoria<\/th><th>Exemplos t\u00edpicos<\/th><th>Avalia\u00e7\u00e3o exigida<\/th><th>Peso no mercado<\/th><\/tr><\/thead><tbody><tr><td>Default<\/td><td>Aplica\u00e7\u00f5es, jogos, editores de texto, software comum<\/td><td>Autoavalia\u00e7\u00e3o do fabricante<\/td><td>cerca de 90%<\/td><\/tr><tr><td>Importante classe I<\/td><td>Gestores de palavras-passe, antiv\u00edrus, VPN, routers dom\u00e9sticos<\/td><td>Autoavalia\u00e7\u00e3o com normas ou exame de terceiro<\/td><td>Minoria<\/td><\/tr><tr><td>Importante classe II<\/td><td>Firewalls, sistemas de dete\u00e7\u00e3o de intrus\u00e3o, hipervisores<\/td><td>Avalia\u00e7\u00e3o por terceiro obrigat\u00f3ria<\/td><td>Minoria<\/td><\/tr><tr><td>Cr\u00edtico<\/td><td>Componentes de hardware seguro, smart cards, contadores inteligentes<\/td><td>Certifica\u00e7\u00e3o europeia refor\u00e7ada<\/td><td>N\u00facleo restrito<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Categorias de risco do Cyber Resilience Act. Fonte: Regulamento (UE) 2024\/2847 e an\u00e1lises de conformidade do setor.<\/figcaption><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Esta classifica\u00e7\u00e3o \u00e9 determinante porque define o custo e a complexidade da entrada no mercado. Um produto default pode ser colocado \u00e0 venda ap\u00f3s a autoavalia\u00e7\u00e3o do pr\u00f3prio fabricante. Um firewall, classificado como importante de classe II, exige a interven\u00e7\u00e3o de um organismo terceiro. E um produto cr\u00edtico, como um componente de seguran\u00e7a de hardware, fica sujeito a uma certifica\u00e7\u00e3o europeia refor\u00e7ada. A categoriza\u00e7\u00e3o errada de um produto \u00e9, em si mesma, uma fonte de risco de incumprimento.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"marcacao-ce-o-cadeado-fisico-da-ciberseguranca\">Marca\u00e7\u00e3o CE: o cadeado f\u00edsico da ciberseguran\u00e7a<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Os consumidores europeus conhecem bem o s\u00edmbolo CE em eletrodom\u00e9sticos, brinquedos e equipamento el\u00e9trico. O CRA estende essa l\u00f3gica \u00e0 ciberseguran\u00e7a. A partir da aplica\u00e7\u00e3o plena, os produtos abrangidos ter\u00e3o de ostentar a marca\u00e7\u00e3o CE para indicar que cumprem os requisitos de ciberseguran\u00e7a do regulamento. Sem marca\u00e7\u00e3o CE conforme, o produto n\u00e3o pode circular legalmente no mercado \u00fanico.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Na pr\u00e1tica, isto significa que o fabricante tem de concluir a avalia\u00e7\u00e3o de conformidade aplic\u00e1vel \u00e0 categoria do produto e s\u00f3 depois afixar a marca\u00e7\u00e3o CE. O processo obriga a documenta\u00e7\u00e3o t\u00e9cnica, declara\u00e7\u00e3o de conformidade UE, an\u00e1lise de risco de ciberseguran\u00e7a e um plano de gest\u00e3o de vulnerabilidades. Tudo isto tem de estar dispon\u00edvel para as autoridades de fiscaliza\u00e7\u00e3o do mercado, que podem pedir provas a qualquer momento.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">A simbologia tem um valor pedag\u00f3gico que n\u00e3o deve ser subestimado. Tal como o cadeado do HTTPS sinaliza uma liga\u00e7\u00e3o cifrada, conforme explic\u00e1mos no guia sobre <a href=\"\/pt\/https-e-tls\/\">HTTPS e TLS<\/a>, a marca\u00e7\u00e3o CE de ciberseguran\u00e7a passa a ser um sinal vis\u00edvel de que um produto cumpriu um patamar m\u00ednimo de seguran\u00e7a. A diferen\u00e7a \u00e9 que, no caso do CRA, esse sinal tem for\u00e7a legal e consequ\u00eancias comerciais diretas.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"o-impacto-para-portugal-fabricantes-software-e-o-papel-do-cncs\">O impacto para Portugal: fabricantes, software e o papel do CNCS<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Portugal tem um tecido empresarial tecnol\u00f3gico em crescimento, com centenas de empresas de software, startups, fabricantes de eletr\u00f3nica e integradores de sistemas que colocam produtos no mercado europeu. Para todas elas, o <strong>Cyber Resilience Act<\/strong> \u00e9 simultaneamente um custo e uma oportunidade. Custo, porque a conformidade exige investimento em processos, documenta\u00e7\u00e3o e pessoal. Oportunidade, porque um selo de seguran\u00e7a cred\u00edvel abre portas a clientes empresariais e p\u00fablicos que cada vez mais exigem garantias.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">A aplica\u00e7\u00e3o do CRA assenta nas autoridades nacionais de fiscaliza\u00e7\u00e3o do mercado. Em Portugal, o ecossistema de ciberseguran\u00e7a gravita em torno do Centro Nacional de Ciberseguran\u00e7a (CNCS), que j\u00e1 desempenha um papel central na supervis\u00e3o de outros instrumentos europeus. A articula\u00e7\u00e3o entre o CNCS, as autoridades de fiscaliza\u00e7\u00e3o do mercado e a ENISA ser\u00e1 decisiva para a forma como o regulamento \u00e9 aplicado em territ\u00f3rio nacional.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">As empresas portuguesas que j\u00e1 se prepararam para a diretiva NIS2 partem com vantagem, porque muitos processos de gest\u00e3o de risco e de comunica\u00e7\u00e3o de incidentes s\u00e3o reaproveit\u00e1veis. Quem ainda n\u00e3o come\u00e7ou tem um problema de calend\u00e1rio. A nossa an\u00e1lise do <a href=\"\/pt\/nis2-portugal-regime-ciberseguranca-2026\/\">regime NIS2 em Portugal<\/a> detalha as coimas e os prazos de registo que se cruzam com as exig\u00eancias do CRA. Os documentos legais nacionais relevantes s\u00e3o publicados no <a href=\"https:\/\/dre.pt\/\" rel=\"noopener\" target=\"_blank\">Di\u00e1rio da Rep\u00fablica<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"mercado-em-contrarrelogio-custos-de-conformidade-e-reacao-da-industria\">Mercado em contrarrel\u00f3gio: custos de conformidade e rea\u00e7\u00e3o da ind\u00fastria<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">A rea\u00e7\u00e3o do mercado em 2026 resume-se a uma palavra: pressa. Consultoras, escrit\u00f3rios de advogados e fornecedores de ferramentas de conformidade publicaram guias de implementa\u00e7\u00e3o, listas de verifica\u00e7\u00e3o e calend\u00e1rios de marcos. O CRA j\u00e1 desencadeou trabalho concreto em invent\u00e1rios de produtos, processos de gest\u00e3o de incidentes, planeamento da avalia\u00e7\u00e3o de conformidade e prepara\u00e7\u00e3o da marca\u00e7\u00e3o CE.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">O maior ponto de tens\u00e3o est\u00e1 na cadeia de fornecimento de software. Muitos produtos integram componentes de c\u00f3digo aberto e bibliotecas de terceiros. O CRA obriga os fabricantes a conhecer e gerir as vulnerabilidades desses componentes, o que exige a manuten\u00e7\u00e3o de um invent\u00e1rio de software, frequentemente designado por SBOM, ou software bill of materials. Para empresas que nunca documentaram as suas depend\u00eancias, este \u00e9 um esfor\u00e7o consider\u00e1vel.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">O contexto de risco refor\u00e7a a urg\u00eancia. O Global Cybersecurity Outlook 2026 do F\u00f3rum Econ\u00f3mico Mundial coloca as fugas de dados associadas \u00e0 intelig\u00eancia artificial generativa como uma das principais preocupa\u00e7\u00f5es de 2026, com 34% das respostas, e o avan\u00e7o das capacidades advers\u00e1rias com 29%. Num cen\u00e1rio em que os atacantes ganham velocidade, a exig\u00eancia de produtos seguros desde a conce\u00e7\u00e3o deixa de ser um luxo regulat\u00f3rio para passar a ser uma necessidade defensiva. A pr\u00f3pria evolu\u00e7\u00e3o das amea\u00e7as, como mostra a tend\u00eancia do <a href=\"\/pt\/ransomware-sem-encriptacao-2026\/\">ransomware sem encripta\u00e7\u00e3o<\/a>, comprova essa urg\u00eancia.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"contexto-historico-de-onde-vem-o-secure-by-design\">Contexto hist\u00f3rico: de onde vem o secure by design<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">O CRA n\u00e3o nasceu do vazio. \u00c9 o culminar de uma d\u00e9cada de incidentes que expuseram a fragilidade dos dispositivos conectados. A explos\u00e3o da chamada Internet das Coisas trouxe milh\u00f5es de c\u00e2maras, routers e gadgets com palavras-passe por omiss\u00e3o, firmware desatualizado e zero suporte de seguran\u00e7a. Botnets constru\u00eddas a partir destes equipamentos demonstraram que um \u00fanico produto inseguro pode comprometer infraestruturas inteiras.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">A Uni\u00e3o Europeia j\u00e1 tinha respondido com instrumentos setoriais e volunt\u00e1rios, mas faltava uma regra horizontal e obrigat\u00f3ria. A diretiva NIS, depois refor\u00e7ada pela NIS2, regulou os operadores de servi\u00e7os essenciais. O Cybersecurity Act criou um quadro europeu de certifica\u00e7\u00e3o. Faltava regular o pr\u00f3prio produto, antes e depois de chegar ao mercado. O CRA preenche essa lacuna, complementando expressamente o quadro existente, incluindo a NIS e a NIS2.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">A filosofia de seguran\u00e7a desde a conce\u00e7\u00e3o tem ra\u00edzes mais antigas, na engenharia de software e na criptografia. A ideia de que a seguran\u00e7a n\u00e3o pode ser um remendo final, mas sim uma propriedade do sistema, \u00e9 central em \u00e1reas como as <a href=\"\/pt\/assinaturas-digitais\/\">assinaturas digitais<\/a> e o hashing criptogr\u00e1fico. O CRA traduz esse princ\u00edpio de engenharia em obriga\u00e7\u00e3o legal para um mercado inteiro.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"cra-contra-nis2-produto-versus-operador\">CRA contra NIS2: produto versus operador<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">A confus\u00e3o entre CRA e NIS2 \u00e9 frequente, mas a distin\u00e7\u00e3o \u00e9 simples e importante. O CRA regula o produto. A NIS2 regula o operador. Um fabricante de firewalls est\u00e1 sujeito ao CRA pelos produtos que coloca no mercado, e pode estar sujeito \u00e0 NIS2 pela forma como gere a sua pr\u00f3pria organiza\u00e7\u00e3o, se for uma entidade essencial ou importante.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Crit\u00e9rio<\/th><th>Cyber Resilience Act<\/th><th>NIS2<\/th><\/tr><\/thead><tbody><tr><td>Alvo da regra<\/td><td>Produtos com elementos digitais<\/td><td>Entidades essenciais e importantes<\/td><\/tr><tr><td>Foco<\/td><td>Seguran\u00e7a desde a conce\u00e7\u00e3o, marca\u00e7\u00e3o CE<\/td><td>Gest\u00e3o de risco operacional da organiza\u00e7\u00e3o<\/td><\/tr><tr><td>Quem cumpre<\/td><td>Fabricantes, importadores, distribuidores<\/td><td>Operadores de setores cr\u00edticos<\/td><\/tr><tr><td>Coima m\u00e1xima<\/td><td>15M EUR ou 2,5% do volume de neg\u00f3cios<\/td><td>At\u00e9 10M EUR ou 2% (entidades essenciais)<\/td><\/tr><tr><td>Aplica\u00e7\u00e3o plena<\/td><td>11 de dezembro de 2027<\/td><td>Em transposi\u00e7\u00e3o nacional desde 2024<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Compara\u00e7\u00e3o entre o Cyber Resilience Act e a diretiva NIS2.<\/figcaption><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">A sobreposi\u00e7\u00e3o \u00e9 deliberada. Bruxelas construiu um mosaico regulat\u00f3rio em que cada pe\u00e7a cobre uma dimens\u00e3o do problema. Uma empresa tecnol\u00f3gica madura pode ter de cumprir o CRA, a NIS2, o Regulamento Geral sobre a Prote\u00e7\u00e3o de Dados e, no setor financeiro, o regulamento DORA. A boa not\u00edcia \u00e9 que muitos controlos de seguran\u00e7a servem para v\u00e1rios instrumentos. A m\u00e1 not\u00edcia \u00e9 que cada um tem o seu calend\u00e1rio, as suas autoridades e o seu regime sancionat\u00f3rio.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"o-que-dizem-os-especialistas-sobre-o-cra\">O que dizem os especialistas sobre o CRA<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">As vozes que melhor traduzem o estado atual do CRA s\u00e3o as das institui\u00e7\u00f5es europeias e dos juristas que aconselham as empresas na transi\u00e7\u00e3o. A Comiss\u00e3o Europeia mant\u00e9m a mensagem central sobre o calend\u00e1rio: as obriga\u00e7\u00f5es de comunica\u00e7\u00e3o aplicam-se desde 11 de setembro de 2026 e as obriga\u00e7\u00f5es principais a partir de 11 de dezembro de 2027.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\"><p>O Cyber Resilience Act entrou em vigor a 10 de dezembro de 2024 e ser\u00e1 plenamente aplic\u00e1vel a partir de 11 de dezembro de 2027.<\/p><cite>Hogan Lovells, an\u00e1lise jur\u00eddica do CRA<\/cite><\/blockquote>\n\n\n\n<p class=\"wp-block-paragraph\">Do lado t\u00e9cnico, os especialistas sublinham que a obriga\u00e7\u00e3o de comunica\u00e7\u00e3o de vulnerabilidades \u00e9 a que vai exigir mudan\u00e7as operacionais mais imediatas. A pr\u00f3pria Comiss\u00e3o Europeia refor\u00e7a que as obriga\u00e7\u00f5es relativas \u00e0 comunica\u00e7\u00e3o de vulnerabilidades se aplicam a partir de 11 de setembro de 2026, colocando essa data como o primeiro grande teste de maturidade das empresas.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\"><p>A partir de 11 de setembro de 2026, os fabricantes ser\u00e3o obrigados a notificar a Ag\u00eancia da Uni\u00e3o Europeia para a Ciberseguran\u00e7a e a sua autoridade competente do Estado-membro.<\/p><cite>White &amp; Case, briefing de conformidade CRA<\/cite><\/blockquote>\n\n\n\n<p class=\"wp-block-paragraph\">No plano da perce\u00e7\u00e3o de risco, o Allianz Risk Barometer 2026 \u00e9 categ\u00f3rico ao afirmar que os incidentes cibern\u00e9ticos s\u00e3o o principal risco global de 2026, com a sua pontua\u00e7\u00e3o mais alta de sempre, 42% das respostas. O F\u00f3rum Econ\u00f3mico Mundial acrescenta que a ciberseguran\u00e7a em 2026 acelera num contexto de amea\u00e7as crescentes e fragmenta\u00e7\u00e3o geopol\u00edtica. Em conjunto, estas leituras explicam porque a Uni\u00e3o Europeia decidiu legislar o produto e n\u00e3o apenas o operador.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"cinco-previsoes-para-a-era-pos-cra\">Cinco previs\u00f5es para a era p\u00f3s-CRA<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Com base nas din\u00e2micas atuais, o impacto do <strong>Cyber Resilience Act<\/strong> nos pr\u00f3ximos meses e anos dever\u00e1 seguir cinco linhas de for\u00e7a.<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Corrida \u00e0 conformidade no segundo semestre de 2026.<\/strong> O prazo de 11 de setembro de 2026 vai concentrar uma vaga de projetos de implementa\u00e7\u00e3o de processos de comunica\u00e7\u00e3o de vulnerabilidades, com escassez de consultores especializados.<\/li><li><strong>Consolida\u00e7\u00e3o de fornecedores.<\/strong> Pequenos fabricantes sem capacidade de cumprir os requisitos v\u00e3o sair do mercado europeu ou ser absorvidos por players maiores com recursos de conformidade.<\/li><li><strong>O SBOM torna-se padr\u00e3o.<\/strong> O invent\u00e1rio de componentes de software deixar\u00e1 de ser boa pr\u00e1tica para passar a ser requisito de facto, replicando o que aconteceu com instrumentos semelhantes noutras jurisdi\u00e7\u00f5es.<\/li><li><strong>A marca\u00e7\u00e3o CE de ciberseguran\u00e7a vira argumento comercial.<\/strong> Os fabricantes que se anteciparem usar\u00e3o a conformidade como diferenciador competitivo perante clientes p\u00fablicos e empresariais.<\/li><li><strong>Fiscaliza\u00e7\u00e3o gradual mas crescente.<\/strong> As primeiras coimas significativas n\u00e3o chegar\u00e3o antes de 2028, mas as autoridades de fiscaliza\u00e7\u00e3o do mercado v\u00e3o intensificar verifica\u00e7\u00f5es documentais a partir da aplica\u00e7\u00e3o plena.<\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"como-as-empresas-se-devem-preparar-agora\">Como as empresas se devem preparar agora<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">A prepara\u00e7\u00e3o para o CRA n\u00e3o \u00e9 um projeto de \u00faltima hora, mas h\u00e1 passos concretos que qualquer fabricante ou editor de software pode dar de imediato. O primeiro \u00e9 o invent\u00e1rio. \u00c9 imposs\u00edvel proteger e documentar produtos que a pr\u00f3pria empresa n\u00e3o cataloga com rigor. Saber quantos produtos com elementos digitais a organiza\u00e7\u00e3o coloca no mercado, e em que categoria de risco caem, \u00e9 o ponto de partida.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">O segundo passo \u00e9 o processo de gest\u00e3o de vulnerabilidades. A regra das 24 horas exige uma cadeia de dete\u00e7\u00e3o, triagem, decis\u00e3o e comunica\u00e7\u00e3o que funcione sem falhas. Empresas que ainda dependem de processos informais ter\u00e3o de formalizar fluxos, definir respons\u00e1veis e testar a capacidade de reportar \u00e0 ENISA dentro do prazo. A nossa cobertura do <a href=\"\/pt\/dbir-2026-vulnerabilidades-fugas\/\">relat\u00f3rio DBIR 2026<\/a> mostra como as vulnerabilidades por explorar continuam a alimentar fugas de dados, refor\u00e7ando a urg\u00eancia destes processos.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">O terceiro passo \u00e9 a documenta\u00e7\u00e3o t\u00e9cnica e a avalia\u00e7\u00e3o de conformidade. Para produtos default, basta a autoavalia\u00e7\u00e3o, mas mesmo essa exige registos s\u00f3lidos. Para produtos importantes ou cr\u00edticos, \u00e9 preciso identificar e contactar organismos notificados, cujo n\u00famero e capacidade ainda est\u00e3o em forma\u00e7\u00e3o. Antecipar este contacto evita engarrafamentos no final do per\u00edodo de transi\u00e7\u00e3o. Para uma vis\u00e3o geral dos fundamentos, o nosso guia de <a href=\"\/pt\/security-hub\/\">seguran\u00e7a online<\/a> oferece o enquadramento essencial.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Os recursos oficiais s\u00e3o indispens\u00e1veis. A Comiss\u00e3o Europeia mant\u00e9m uma p\u00e1gina dedicada ao <a href=\"https:\/\/digital-strategy.ec.europa.eu\/en\/policies\/cyber-resilience-act\" rel=\"noopener\" target=\"_blank\">Cyber Resilience Act<\/a> e um conjunto de <a href=\"https:\/\/digital-strategy.ec.europa.eu\/en\/faqs\/cyber-resilience-act-cra-faq\" rel=\"noopener\" target=\"_blank\">perguntas frequentes oficiais<\/a>. A <a href=\"https:\/\/www.enisa.europa.eu\/\" rel=\"noopener\" target=\"_blank\">ENISA<\/a> publica orienta\u00e7\u00f5es t\u00e9cnicas, e a <a href=\"https:\/\/commission.europa.eu\/\" rel=\"noopener\" target=\"_blank\">Comiss\u00e3o Europeia<\/a> centraliza o quadro pol\u00edtico mais amplo. Consultar estas fontes diretamente \u00e9 a melhor forma de evitar interpreta\u00e7\u00f5es erradas do regulamento.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"cobertura-relacionada\">Cobertura relacionada<\/h3>\n\n\n\n<ul class=\"wp-block-list\"><li><a href=\"\/pt\/nis2-portugal-regime-ciberseguranca-2026\/\">NIS2 Portugal: Coimas de 10M EUR e 60 Dias para Registo<\/a><\/li><li><a href=\"\/pt\/euvd-cve-crise-ue-2026\/\">CVE em Crise: EUVD da UE e 11 Meses de Risco<\/a><\/li><li><a href=\"\/pt\/ciberataques-portugal-2026\/\">Ciberataques em Portugal: 2.437 por Semana<\/a><\/li><li><a href=\"\/pt\/dbir-2026-vulnerabilidades-fugas\/\">DBIR 2026: 31% das Fugas por Vulnerabilidades<\/a><\/li><li><a href=\"\/pt\/ransomware-sem-encriptacao-2026\/\">Ransomware Sem Encripta\u00e7\u00e3o: 44% das Falhas<\/a><\/li><li><a href=\"\/pt\/security-hub\/\">Seguran\u00e7a Online Explicada: Guia Pr\u00e1tico<\/a><\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"perguntas-frequentes-sobre-o-cyber-resilience-act\">Perguntas frequentes sobre o Cyber Resilience Act<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"o-que-e-o-cyber-resilience-act\">O que \u00e9 o Cyber Resilience Act?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">\u00c9 o Regulamento (UE) 2024\/2847, a primeira lei horizontal da Uni\u00e3o Europeia que imp\u00f5e requisitos de ciberseguran\u00e7a a produtos com elementos digitais, ao longo de todo o ciclo de vida. Obriga os fabricantes a desenhar produtos seguros, gerir vulnerabilidades e fornecer atualiza\u00e7\u00f5es durante um per\u00edodo de suporte definido.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"quando-entra-em-vigor-o-cra\">Quando entra em vigor o CRA?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">O regulamento entrou em vigor a 10 de dezembro de 2024. As obriga\u00e7\u00f5es de comunica\u00e7\u00e3o de vulnerabilidades aplicam-se desde 11 de setembro de 2026 e a aplica\u00e7\u00e3o plena, incluindo a marca\u00e7\u00e3o CE, ocorre a 11 de dezembro de 2027.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"quais-sao-as-coimas-previstas-no-cyber-resilience-act\">Quais s\u00e3o as coimas previstas no Cyber Resilience Act?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">A coima m\u00e1xima por incumprimento dos requisitos essenciais \u00e9 de 15 milh\u00f5es de euros ou 2,5% do volume de neg\u00f3cios anual mundial, consoante o valor mais elevado. Existem tetos inferiores para outras viola\u00e7\u00f5es, como a presta\u00e7\u00e3o de informa\u00e7\u00e3o incorreta \u00e0s autoridades.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"qual-a-diferenca-entre-o-cra-e-a-nis2\">Qual a diferen\u00e7a entre o CRA e a NIS2?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">O CRA regula os produtos com elementos digitais, com foco na seguran\u00e7a desde a conce\u00e7\u00e3o e na marca\u00e7\u00e3o CE. A NIS2 regula as organiza\u00e7\u00f5es, com foco na gest\u00e3o de risco operacional de entidades essenciais e importantes. Em resumo, o CRA regula o produto e a NIS2 regula o operador.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"que-produtos-estao-abrangidos-pelo-cra\">Que produtos est\u00e3o abrangidos pelo CRA?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Aplica-se a hardware e software com elementos digitais, desde aplica\u00e7\u00f5es e routers a firewalls e c\u00e2maras conectadas. Cerca de 90% caem na categoria default, com autoavalia\u00e7\u00e3o. Setores j\u00e1 regulados, como dispositivos m\u00e9dicos, avia\u00e7\u00e3o e autom\u00f3vel, t\u00eam regimes pr\u00f3prios.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"o-que-muda-a-11-de-setembro-de-2026\">O que muda a 11 de setembro de 2026?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">A partir dessa data, os fabricantes t\u00eam de notificar a ENISA e a autoridade nacional competente sobre vulnerabilidades ativamente exploradas e incidentes graves, com um alerta em 24 horas, um relat\u00f3rio de seguimento em 72 horas e um relat\u00f3rio final dentro dos prazos definidos.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"como-se-preparam-as-empresas-portuguesas-para-o-cra\">Como se preparam as empresas portuguesas para o CRA?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Come\u00e7am por inventariar os produtos e classific\u00e1-los por risco, formalizam o processo de gest\u00e3o e comunica\u00e7\u00e3o de vulnerabilidades, preparam a documenta\u00e7\u00e3o t\u00e9cnica e a avalia\u00e7\u00e3o de conformidade, e articulam-se com as autoridades nacionais e a ENISA. Quem j\u00e1 cumpriu a NIS2 reaproveita parte dos processos.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>A contagem decrescente entrou na fase decisiva. A 11 de junho de 2026 entraram em vigor as primeiras disposi\u00e7\u00f5es operacionais do Cyber Resilience Act, o regulamento europeu que imp\u00f5e regras\u2026<\/p>\n","protected":false},"author":3,"featured_media":107,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-106","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/posts\/106","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/comments?post=106"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/posts\/106\/revisions"}],"predecessor-version":[{"id":108,"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/posts\/106\/revisions\/108"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/media\/107"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/media?parent=106"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/categories?post=106"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/pt\/wp-json\/wp\/v2\/tags?post=106"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}