O que muda de facto em 11 de setembro de 2026

O Ato Europeu de Ciber-resiliência estabelece um dever de comunicação rigido que começa em 11 de setembro de 2026. Assim que um fabricante tem um grau razoável de certeza de que uma vulnerabilidade num dos seus produtos está a ser ativamente explorada, ou de que um incidente grave afetou a segurança desse produto, o relógio começa a contar. Um alerta precoce deve chegar à agência europeia de cibersegurança ENISA e ao CSIRT nacional competente no prazo de 24 horas, encaminhado através de uma única plataforma de comunicação que notifica ambos ao mesmo tempo.

O alerta de 24 horas não é o fim disto. Uma notificação mais completa é devida no prazo de 72 horas, e um relatório final no prazo de 14 dias assim que uma medida corretiva ou de mitigação estiver disponível. O gatilho não é prova forense completa. Uma investigação em curso não para o relógio, pelo que a questão prática para um proprietário é simples: a sua equipa conseguiria detetar o sinal, decidir que se qualifica, e apresentar o relatório dentro de um dia útil?

Por que razão isto alcança produtos que você já vendeu

O ponto que apanha muitos operadores desprevenidos é o âmbito. A obrigação não se limita a produtos lançados após o prazo. Enquanto um produto com elementos digitais permanecer no mercado da UE em 11 de setembro de 2026 ou depois, as suas vulnerabilidades e incidentes graves ficam abrangidos pelo dever de comunicação, incluindo unidades antigas e linhas mais velhas ainda em venda. Um sensor conectado, um controlador de máquina, ou um componente de software expedido há anos podem obrigá-lo a uma apresentação em 24 horas.

É aqui que reside a exposição para um fabricante típico do Mittelstand. A engenharia foi aprovada há muito tempo, o produto é maduro, e ninguém é responsável por um manual de comunicação em 24 horas para ele. A atual orientação da Comissão de março de 2026 é a leitura mais autoritativa disponível, mas ainda está em projeto e não foi formalmente adotada, pelo que algum detalhe pode mudar. Os prazos centrais e o alcance sobre os produtos existentes já são suficientemente claros para se poder planear com base neles.

O que um proprietário pode sensatamente verificar agora

Comece com um mapa honesto do que efetivamente vende que tem elementos digitais, incluindo software embutido e funcionalidades conectadas em linhas mais velhas. Depois pergunte quem, dentro da empresa, ouviria primeiro que um desses produtos está a ser explorado, e como isso chega a um decisor que possa autorizar uma apresentação. Se a resposta honesta for que a mensagem ficaria numa caixa de entrada durante um fim de semana, encontrou a lacuna. Um responsável nomeado, um caminho definido, e um simulacro de 24 horas ensaiado importam mais aqui do que um documento de política espesso.

Nada disto é aconselhamento jurídico, e a forma final da orientação ainda não está fixada. Mas a direção está definida, e o prazo está próximo. Tratar o dever de comunicação como uma questão de prontidão operacional agora, em vez de um memorando de conformidade mais tarde, é o que separa as empresas que apresentam com calma daquelas que se atrapalham. O trabalho é sobretudo processo e responsabilidade, não tecnologia nova.