O Cyber Resilience Act, dominado.
Se coloca no mercado da UE um produto com elementos digitais, o CRA aplica-se a si. A Reglyze autoavalia a sua conformidade em linguagem clara e gera a documentação técnica (Anexo VII) e a declaração UE de conformidade — a maioria dos produtos autocertifica-se ao abrigo do módulo A.
Veja em ação — do produto à declaração assinada
Uma demonstração de dois minutos: defina o âmbito de um produto, conduza a autoavaliação em linguagem clara e gere a documentação técnica (Anexo VII) e a declaração UE de conformidade.
De «isto aplica-se a mim?» a uma declaração assinada
1 · Âmbito e classificação
Quatro perguntas dizem-lhe se o CRA se aplica, a sua classe (Anexo III/IV) e a sua via de conformidade. Gratuito, sem conta.
2 · Autoavaliação
Responda a cerca de ~20 perguntas simples sobre o seu produto. O assistente propõe uma maturidade de 0–3 por requisito essencial (Anexo I), ancorada na IEC 62443.
3 · Gere o dossiê
Documentação técnica (Anexo VII) e a sua declaração UE de conformidade — montadas a partir das suas respostas, compatíveis com SBOM, no seu idioma.
O que recebe
- Documentação técnica (Anexo VII)
- Declaração UE de conformidade (disponível assim que todos os requisitos estiverem cumpridos)
- Relatório de lacunas (Anexo I) com os pontos em aberto a resolver
- Importação de SBOM (CycloneDX / SPDX) integrada na documentação técnica
Base: IEC 62443-4-1 (desenvolvimento seguro) e 62443-4-2 (requisitos dos componentes). O texto do CRA é legislação pública da UE; as referências à IEC são parafraseadas, nunca reproduzidas tal e qual.
Cyber Resilience Act — perguntas frequentes
O Cyber Resilience Act (CRA) europeu aplica-se ao meu produto?
O CRA aplica-se a qualquer produto com elementos digitais — hardware com software ou firmware, e software autónomo — disponibilizado no mercado da União. Se coloca no mercado europeu um objeto conectado, um produto IoT ou um software instalável, está abrangido. O teste de âmbito gratuito da Reglyze confirma-o em quatro perguntas.
Quando entra em aplicação o Cyber Resilience Act?
Duas datas importam: as obrigações de comunicação de vulnerabilidades e de incidentes aplicam-se a partir de 11 set. 2026, e a conformidade plena, incluindo a marcação CE, é exigida a partir de 11 dez. 2027. O CRA é o Regulamento (UE) 2024/2847.
O que é a autoavaliação ao abrigo do módulo A no âmbito do CRA?
O módulo A é a via de conformidade pela qual o fabricante autoavalia o produto face aos requisitos essenciais e emite ele próprio a sua declaração UE de conformidade, sem intervenção de um organismo notificado. Cerca de 90% dos produtos — a categoria «por defeito» — enquadram-se no módulo A.
Preciso de um organismo notificado para o CRA?
Apenas para os produtos «importantes» da classe II e para os produtos «críticos» (Anexo III classe II e Anexo IV do CRA). Os produtos por defeito e a maioria dos produtos «importantes» da classe I podem autocertificar-se ao abrigo do módulo A, em especial quando são aplicadas normas harmonizadas.
O que é a documentação técnica do Anexo VII?
O Anexo VII enumera a documentação técnica que o fabricante deve constituir e manter à disposição das autoridades de fiscalização do mercado: descrição do produto, avaliação dos riscos, provas de conformidade com os requisitos essenciais e a nomenclatura de software (SBOM). A Reglyze monta-a a partir da sua autoavaliação.
O que é uma declaração UE de conformidade no âmbito do CRA?
É a declaração assinada que atesta que o seu produto cumpre os requisitos essenciais de cibersegurança do CRA. É obrigatória antes da aposição da marcação CE e da colocação do produto no mercado. A Reglyze emite-a assim que cada requisito essencial estiver cumprido.
Que produtos são «importantes» ou «críticos» ao abrigo do CRA?
O Anexo III do CRA enumera os produtos «importantes» (classes I e II), como os gestores de palavras-passe, as VPN, as firewalls e os sistemas operativos; o Anexo IV enumera os produtos «críticos», como as gateways de contadores inteligentes e os elementos seguros. Tudo o que não consta destas listas é «por defeito» e autocertifica-se ao abrigo do módulo A.
Quais são as sanções por incumprimento do CRA?
Os incumprimentos dos requisitos essenciais de cibersegurança e das obrigações fundamentais do fabricante podem ser sancionados com uma coima até 15 milhões de € ou 2,5% do volume de negócios anual total a nível mundial, consoante o que for mais elevado, a par de eventuais ordens de retirada do mercado. Aplicam-se escalões inferiores às restantes infrações.
Em que difere o CRA da NIS2?
A NIS2 rege a cibersegurança das organizações (entidades essenciais e importantes); o CRA rege a cibersegurança dos produtos com elementos digitais colocados no mercado da União. Um fabricante pode estar sujeito a ambos — a NIS2 pela forma como opera, o CRA pelo que comercializa.
O CRA abrange software e open source?
Sim. Um software autónomo é um produto com elementos digitais. O software de fonte aberta fornecido no exercício de uma atividade comercial está abrangido, com obrigações aligeiradas para os responsáveis por open source sem fins lucrativos. Um SaaS alojado autónomo está, em regra, fora do âmbito do CRA, salvo se for uma solução de processamento de dados à distância que faça parte integrante de um produto.