Blog
03-02-2025
Regulamento de Ciber-Resiliência: a cibersegurança dos produtos digitais
No dia 20 de novembro de 2024, foi publicado o Regulamento de Ciber-Resiliência, RCR, com o objetivo último de contribuir para fazer garantir que o hardware e software associado a produtos com elementos digitais é mais seguro, estendendo esta proteção ao longo de todo o ciclo de vida desses produtos, procura dar resposta aos níveis inadequados de cibersegurança inerentes a muitos produtos omnipresentes no nosso dia-a-dia (ex. câmaras domésticas, frigoríficos inteligentes, televisores) e impor atualizações de segurança para esses mesmos produtos. Por outro lado, a implementação do RCR permitirá que consumidores e empresas sejam capazes de determinar que produtos são (mais) ciberseguros.
O RCR é aplicável aos produtos com elementos digitais (também designados por "produtos digitais”) disponibilizados no mercado da UE cuja "finalidade prevista ou utilização razoavelmente previsível inclua uma conexão de dados lógica ou física, direta ou indireta, a um dispositivo ou a uma rede”. São aqueles produtos que combinam bens ou serviços tradicionais com funcionalidades ou componentes digitais. Estão aqui incluídos todos os produtos que estejam direta ou indiretamente conectados a outros dispositivos ou a uma rede, como os produtos associados à Internet das coisas (IdC).
Este diploma será plenamente eficaz a partir de 11 de dezembro de 2027, no entanto, as obrigações dos fabricantes de produtos digitais notificarem qualquer vulnerabilidade ativamente explorada1 e incidentes graves com impacto na segurança do produto com elementos digitais, de que tomem conhecimento, à rede CSIRT e à ENISA2 , no prazo de 24 horas, é aplicável já a partir de 11 de setembro de 2026. As obrigações relativas ao processo de notificação e implementação dos organismos de avaliação da conformidade pelos Estados-Membros, são aplicáveis a partir de 11 de junho de 2026.
Com a implementação deste Regulamento, somente os produtos com elementos digitais que cumprirem os requisitos essenciais de cibersegurança constantes, nomeadamente, da parte I do Anexo I, do RCR poderão ser disponibilizados no mercado interno da UE, na condição de serem corretamente instalados, mantidos, utilizados para a respetiva finalidade prevista ou em condições razoavelmente previsíveis e, se for caso disso, de terem sido instaladas as atualizações de segurança necessárias. Por outro lado, estes produtos só podem ser disponibilizados no mercado se os processos aplicados pelo fabricante cumprirem ainda os vários requisitos essenciais de cibersegurança constantes da parte II do anexo I.
Cabe ao fabricante demonstrar a conformidade com os requisitos essenciais de cibersegurança e realizar uma avaliação da conformidade3 do dito produto. Deve ainda ser feita uma avaliação dos riscos de cibersegurança, garantindo que a marcação CE4 é aposta, indicando que estão cumpridas as normas necessárias e que estes podem ser vendidos com segurança em toda a UE.
Os produtos digitais cuja funcionalidade principal seja a de uma categoria de produtos constante do Anexo III do Regulamento são considerados produtos importantes com elementos digitais, e aqueles cuja funcionalidade principal seja a de uma categoria de produtos constante do Anexo IV são considerados produtos críticos com elementos digitais, e estão sujeitos a procedimentos mais rigorosos de avaliação da conformidade. Procurando criar níveis adicionais de transparência e neutralidade, esta avaliação deverá ser obrigatoriamente efetuada por terceiros (organismos de avaliação da conformidade). Entre os produtos importante e críticos com elementos digitais constam leitores de autenticação e controlo do acesso, incluindo leitores biométricos, gestor de senhas, VPN’s, SIEM’s, sistemas de gestão de redes, entre outros.
O Regulamento estabelece um conjunto alargado de novas obrigações para os fabricantes de produtos digitais, mas também para os importadores e distribuidores desses produtos, que são responsáveis por verificar, avaliar e garantir que os mesmos são seguros e cumprem a lei aplicável (ex. verificar a inclusão da marcação CE no produto).
Os utilizadores de produtos com elementos digitais, como o .PT, devem consultar as informações e instruções que deverão obrigatoriamente ser prestadas pelo fabricante.
Também neste âmbito, o incumprimento da lei pode dar lugar à aplicação de multas pesadas - até 15 milhões de euros ou 2,5% da faturação global do infrator no ano fiscal anterior - ou recalls de produtos.
A implementação do Regulamento será supervisionada, a nível europeu, pela ENISA. Cada Estado-Membro será responsável por designar as autoridades nacionais que irão supervisionar a aplicação destes adicionais requisitos de cibersegurança.
O RCR é um importante instrumento jurídico que integra a Estratégia da UE para a Cibersegurança de 2020 e vem juntar-se a outros diplomas aplicáveis neste domínio, nomeadamente a Diretiva NIS2, a Diretiva CER, o Regulamento DORA, procurando fortalecer a segurança digital na UE, protegendo consumidores, empresas e infraestruturas críticas.
1 Uma vulnerabilidade relativamente à qual existem provas fiáveis da sua exploração num sistema por parte de um agente mal-intencionado sem a autorização do proprietário do sistema (artigo 3.º/42 do CRA).
1 Uma vulnerabilidade relativamente à qual existem provas fiáveis da sua exploração num sistema por parte de um agente mal-intencionado sem a autorização do proprietário do sistema (artigo 3.º/42 do CRA).
3 Uma análise de risco que permite assegurar que os produtos obedecem a determinadas regras antes de serem colocados no mercado da UE. A avaliação da conformidade, é realizado durante as fases de conceção e produção do produto.
4 A marcação «CE» aparece em muitos produtos comercializados no mercado único alargado do Espaço Económico Europeu (EEE). Essa marcação significa que os produtos vendidos no EEE foram objeto de avaliação e cumprem elevados requisitos de segurança, saúde e proteção do ambiente.
Nota: os artigos deste blog não vinculam a opinião do .PT, mas sim do seu autor.
Voltar aos Posts