Legal Alert | Regulamento de Ciber-Resiliência - Principais medidas

Enquadramento

O Regulamento (UE) 2024/2847 do Parlamento Europeu e do Conselho, de 23 de outubro de 2024, relativo aos requisitos horizontais de cibersegurança dos produtos com elementos digitais (Regulamento de Ciber-Resiliência ou Regulamento), foi publicado no dia 20 de novembro de 2024. 

O Regulamento de Ciber-Resiliência visa reforçar, de forma transversal, a cibersegurança dos produtos com elementos digitais, mitigando vulnerabilidades através da implementação de requisitos legais uniformes aplicáveis em toda a União Europeia (UE). 

A implementação do Regulamento tem como principais objetivos: 

• Mitigar as vulnerabilidades em produtos de hardware e de software conectados;
• Assegurar maior transparência em relação às caraterísticas de segurança dos produtos com elementos digitais disponíveis no mercado europeu; 
• Promover a responsabilidade dos operadores económicos em todas as etapas, desde o fabrico à comercialização dos produtos no mercado; e 
• Garantir um elevado nível de proteção para os utilizadores contra riscos associados à cibersegurança. 

Âmbito de aplicação

O Regulamento abrange uma vasta gama de produtos com elementos digitais, incluindo hardware, software e soluções integradas, que possuam conectividade, direta ou indireta, com dispositivos ou redes. Entre os exemplos mencionados destacam-se:

• Dispositivos de consumo (smartphones e outros dispositivos conectados) – IoT;
• Equipamentos de rede e segurança (firewalls e routers);
• Soluções de software (sistemas operativos e SaaS);
• Dispositivos de computação periférica (edge computing).

Embora o Regulamento tenha um alcance abrangente, este prevê algumas exceções: (i) é o caso dos dispositivos com elementos digitais que já se encontrem regulados setorialmente, como os equipamentos e software destinados a diagnóstico ou tratamento médico, produtos com software e componentes relacionadas com segurança aérea, peças sobressalentes destinadas exclusivamente à substituição de componentes idênticas colocadas no mercado antes da entrada em vigor do Regulamento; e (ii) produtos desenvolvidos especificamente para fins de defesa ou segurança nacional. 

Em relação ao código-fonte aberto (open source) nos casos em que se trate de software gratuito utilizado para efeitos de investigação ou inovação, desde que (i) não seja comercializado diretamente e (ii) não seja utilizado como componente principal em produtos monetizados, encontra-se excluído do âmbito do Regulamento. Em contrapartida, nos casos em que seja comercializado ou monetizado, encontrar-se-á sujeito às disposições do Regulamento. 

De referir, por último, que todos os produtos com elementos digitais disponibilizados no mercado antes de 11 de dezembro de 2027 só se forem alvo de modificações substanciais após essa data (i.e., alterações de finalidades ou riscos de segurança significativos) é que ficarão abrangidos pelo Regulamento.

Classificação dos produtos com elementos digitais

Uma das novidades do Regulamento, reporta-se à classificação destes produtos com base no risco de impacto em caso de identificação e exploração das vulnerabilidades, distinguindo-se da seguinte forma:

Produtos importantes (Classe I) 

• A título meramente exemplificativo, inclui dispositivos IoT, como fechaduras inteligentes, câmaras e brinquedos conetados; 
• Requerem avaliações de conformidade robustas, mas geralmente realizadas internamente.

Produtos críticos (Classe II)

• Incluem sistemas de segurança, como firewalls, e produtos que controlam funções centrais de redes ou dados;
• Encontram-se sujeitos a processos rigorosos de avaliação de conformidade através de processos rigorosos de certificação externa.

Novas condições e obrigações 

Avaliação e conformidade

• Todos os produtos abrangidos pelo Regulamento devem ser submetidos a verificações de segurança antes da sua colocação no mercado;
• Caso os produtos sejam tidos como gerais, ou importantes, a avaliação poderá ser realizada pelo fabricante;
• Caso sejam classificados como produtos críticos, é obrigatória a avaliação por terceiros certificados.

 Integração de componentes de terceiros

• Os fabricantes devem fornecer atualizações de segurança durante o período de suporte, de forma a minimizar eventuais vulnerabilidades ao longo do ciclo de vida do produto;
• Alterações significativas aos produtos, como atualizações que modifiquem as finalidades originais, podem exigir novas avaliações de conformidade.

Atualizações e gestão do ciclo de vida

• Os fornecedores devem fornecer atualizações de segurança durante o período de suporte, de forma a minimizar eventuais vulnerabilidades ao longo do ciclo de vida do produto;
• Alterações significativas aos produtos, como atualizações que modifiquem as finalidades originais, podem exigir novas avaliações de conformidade.

Disponibilização de informação clara e acessível aos utilizadores

• Transparência sobre as características de segurança do produto; 
• Especificação do período de suporte e da frequência de atualizações de segurança.

Apoio às Microempresas e Pequenas e Médias Empresas (PME)

• Implementação de programas de apoio específicos como assistência financeira e formação em cibersegurança;
• Criação de ambientes seguros para testes de conformidade.

Sanções

As entidades abrangidas devem, assim, preparar-se para incorporar os requisitos em causa, sob pena de aplicação de coimas por incumprimento, que podem atingir os seguintes valores: 

• Até 15 000 000 EUR ou, no caso de empresas, até 2,5% do volume de negócios anual total a nível mundial referente ao exercício no ano anterior, consoante o que for mais elevado, por incumprimento dos requisitos essenciais de cibersegurança; 
• Até 10 000 000 EUR ou, no caso de empresas, até 2% do volume de negócios anual total a nível mundial referente ao exercício no ano anterior, consoante o que for mais elevado, por incumprimento ou não conformidade com outros requisitos; 
• Até 5 000 000 EUR ou, no caso de empresas, até 1% do volume de negócios anual total a nível mundial referente ao exercício no ano anterior, consoante o que for mais elevado, por prestação de informações incorretas, incompletas ou enganadoras aos organismos notificados e às autoridades de fiscalização.

A responsabilidade pela aplicação das referidas coimas caberá às autoridades nacionais de fiscalização de mercado, que, adicionalmente, terão poderes para: (i) monitorizar o cumprimento das regras; (ii) ordenar a retirada de produtos não conformes do mercado; e (iii) coordenar ações com outras entidades, como a ENISA (European Union Agency for Cybersecurity), para garantir a implementação das provisões normativas.

Próximos passos

Para as empresas que produzem ou distribuem produtos com elementos digitais na UE, é fundamental adotar as seguintes medidas:

• Rever os portfólios de produtos para determinar quais são os itens abrangidos pelo Regulamento;
• Implementar os processos de conformidade inicial e regular, incluindo auditorias internas e documentação das características de cibersegurança;
• Preparar as auditorias e as certificações externas em produtos críticos;
• Garantir o suporte técnico adequado para atualizações de segurança ao longo do ciclo de vida dos produtos;
• Formar as equipas internas, assim como os fornecedores quanto aos requisitos do Regulamento para evitar situações de incumprimento e penalizações.

É importante salvaguardar que o Regulamento será aplicado de forma faseada, nos seguintes moldes:

O Regulamento será totalmente aplicável a partir de 11 de dezembro de 2027, sem prejuízo do seguinte:

• O Capítulo IV, que se reporta à notificação dos organismos de avaliação da conformidade, será aplicável a partir de 11 de junho de 2026; e
• O artigo 14.º, que prevê as obrigações de informação a serem facultadas pelos fabricantes, será aplicável a partir de 11 de setembro de 2026. 

Para maior detalhe sobre como tais alterações podem ter um impacto na sua organização, entre em contacto com a nossa equipa - David Silva Ramalho, Nicole Fortunato, Márcia Tomás Pires e Ana Xavier Nunes.

.