O Regulamento Ciber-Resiliência (Cyber Resilience Act, CRA) é um desenvolvimento pioneiro no domínio da cibersegurança. Esta estabelece obrigações claras para os fabricantes de produtos digitais, nomeadamente no que diz respeito à implementação da Security by Design. Para receber a cobiçada marca CE, os futuros produtos estão sujeitos a requisitos mínimos de segurança. O CRA aborda aspectos essenciais como a proteção do acesso, a confidencialidade, a integridade e a disponibilidade ao longo de todo o processo de desenvolvimento. Este artigo analisa os desafios e as oportunidades que o CRA traz para os fabricantes e considera o papel potencial da norma internacional IEC 62443 como um ator-chave neste contexto.
Descubra o futuro da cibersegurança para produtos digitais no Regulamento Ciber-Resiliência (CRA) – orientações claras, normas mais rigorosas e uma estratégia pioneira para uma era digital mais segura.
O Regulamento Ciber-Resiliência (CRA) estabelece diretivas claras para os fabricantes de produtos digitais, que são agora obrigados a seguir uma estratégia de Security by Design. Para receber a cobiçada marca CE, os produtos sujeitos ao CRA devem cumprir requisitos mínimos de segurança no futuro. O texto legal dá grande ênfase a aspectos como a proteção do acesso, a confidencialidade, a integridade e a disponibilidade, que devem ser integrados em todo o processo de desenvolvimento. Além disso, o CRA regula a gestão das vulnerabilidades e o período de tempo em que os fabricantes são obrigados a fornecer atualizações de segurança.
O objetivo do CRA é reforçar a confiança na infraestrutura digital da União Europeia e aumentar a competitividade das empresas europeias a nível mundial. Sendo uma lei da UE, não requer implementação nacional e entrou em vigor em toda a UE em 10 de dezembro de 2024.
A IEC 62443, enquanto norma internacional, desempenha um papel fundamental, uma vez que abrange tanto o processo de desenvolvimento seguro necessário como os requisitos técnicos para produtos e sistemas. Devido a esta congruência, a norma IEC 62443 poderia servir de base promissora para uma norma harmonizada do CRA. É necessária uma Software Bill of Material (SBOM) normalizada para todos os produtos, a fim de cumprir os requisitos de gestão das vulnerabilidades. Esta visão global de todos os componentes de software é essencial. Além disso, as vulnerabilidades conhecidas devem ser registadas em formato digital, por exemplo, através do Common Vulnerability Scoring System (CVSS).
A Lei da Ciberresiliência (CRA) é uma lei da UE que afeta todos os produtos com elementos digitais que têm capacidades de comunicação. A CRA abrange tanto o hardware como o software e baseia-se no novo quadro legislativo. A lei estabelece requisitos vinculativos que devem ser cumpridos aquando da colocação de produtos no mercado. Os produtos que cumprem estas regras ostentam a marca CE.
Por outro lado, isto significa que os produtos não conformes deixam de poder ser colocados no mercado. No entanto, o fornecedor deve também deixar de vender os produtos existentes se os requisitos de cibersegurança não forem cumpridos.
A CRA estabelece requisitos de segurança claros para os produtos, incluindo a proteção do acesso, a proteção da confidencialidade, a integridade, a disponibilidade e um estado de fornecimento seguro. Para garantir um processo de desenvolvimento seguro, estes devem ser tidos em conta sobretudo durante a conceção, o desenvolvimento e a produção.
Como parte do processo de desenvolvimento seguro, os fabricantes devem verificar ativamente se os seus produtos apresentam vulnerabilidades e corrigi-las imediatamente. Esta atualização de segurança será fornecida gratuitamente e prolongar-se-á por um período de cinco anos. A CRA introduz também obrigações adicionais de comunicação: os fabricantes devem notificar imediatamente a Agência Europeia para a Cibersegurança (ENISA) se tiverem conhecimento de vulnerabilidades ativamente exploradas ou de ataques aos seus produtos que possam comprometer a segurança, por exemplo, através da manipulação de áreas de download.
Antes de entrar no mercado, o fabricante deve certificar-se de que o seu produto está em conformidade com as normas prescritas. A avaliação baseia-se na classificação do produto em função do seu carácter crítico. Para tal, é necessário cumprir as normas europeias ou ser testado por uma instituição autorizada. É dada especial atenção às infraestruturas críticas da indústria. Neste contexto, é necessária a aplicação de normas harmonizadas e/ou a cooperação com uma instituição aprovada.
A CRA permite que os utilizadores beneficiem de produtos que cumprem normas de cibersegurança mais elevadas e que apresentam menos riscos de ataques de piratas informáticos, vulnerabilidades de segurança ou outros perigos. Esses produtos devem ter a marcação CE para mostrar a sua conformidade com os novos requisitos.
Os fabricantes são também obrigados a manter os produtos durante todo o seu ciclo de vida e a oferecer atualizações de segurança automáticas. Os utilizadores podem, portanto, confiar nas garantias de cibersegurança dos produtos com a marcação CE.
Os fabricantes enfrentam o desafio de garantir um processo de desenvolvimento seguro e de aplicar medidas de segurança abrangentes antes do lançamento no mercado. Isto é acompanhado de custos adicionais que podem afetar os recursos e os tempos de produção. A nova legislação promete benefícios consideráveis para os utilizadores finais, uma vez que aumenta o nível de segurança e minimiza significativamente os riscos no domínio da cibersegurança. No entanto, os fabricantes são confrontados com uma série de desafios que implicam custos adicionais. No entanto, vale a pena enfrentar estes desafios, uma vez que as infrações podem levar as autoridades a exigir melhorias ou recolhas de produtos e a impor coimas que podem atingir 15 milhões de euros ou 2,5% do volume de negócios anual global.
Mas há esperança, porque os requisitos básicos, tal como definidos pelo CRA, são abrangidos pelo processo de desenvolvimento seguro, em conformidade com a norma IEC 62443-4-1, e pelas especificações funcionais, em conformidade com a norma IEC 62443-4-2. Como tal, uma implementação da norma IEC 62443 é recomendável.
O sinal de partida foi dado. Chegou o momento de adotar medidas e de nos prepararmos em conjunto. O Regulamento Ciber-Resiliência (CRA) foi oficialmente publicado em 10 de dezembro de 2024. Até 11 de setembro de 2026, todos os produtos devem ter um sistema de gestão de vulnerabilidades em conformidade. A partir de 11 de dezembro de 2027, é exigida a implementação integral do CRA e todos os produtos relevantes têm de cumprir os requisitos para obter a marca CE.
Chegou o momento de agir para cumprir as novas normas de segurança e garantir a competitividade.
O nosso conceito de segurança a 360° completo
Na Phoenix Contact, contamos com uma abordagem abrangente de segurança a 360°, que integra produtos seguros como um elemento central. Os produtos seguros são desenvolvidos de acordo com as normas da IEC 62443-4-1, enquanto os requisitos para as funções de segurança são cumpridos de acordo com a IEC 62443-4-2. A equipa PSIRT (Product Security Incident Response Team) é responsável pelo tratamento eficaz das vulnerabilidades.
Graças a esta estratégia, a Phoenix Contact está bem posicionada para cumprir os novos requisitos legais. Oferecemos também aos nossos clientes soluções e serviços de aplicações seguras. A certificação independente da TÜV SÜD confirma a conformidade com os processos de cibersegurança de acordo com a norma IEC 62443.
