A Palavra Fabricante Significa Agora Você
O Cyber Resilience Act da UE entrou em vigor em dezembro de 2024, e a sua definição de fabricante é mais ampla do que a maioria das administrações presume. Abrange qualquer produto com elementos digitais colocado no mercado europeu: uma máquina conectada, um controlador industrial, um dispositivo médico, um aparelho de consumo ou uma peça de software autónomo. Se o seu produto comunica com uma rede, fica abrangido pelo âmbito, tal como os importadores e distribuidores que o colocam no mercado.
Para um family office ou um proprietário do Mittelstand, a parte incómoda é a reclassificação. Uma empresa que construiu máquinas de precisão durante três gerações, e que nunca se chamou a si própria um negócio de software, é agora um fornecedor de software regulado aos olhos da legislação da UE. A regra também vai além do bloco. Um fabricante sediado em qualquer parte do mundo que venda para o mercado europeu assume os mesmos deveres que um sediado em Frankfurt.
Um Relógio de 24 Horas Que Você Não Controla
O primeiro prazo rígido está próximo. A partir de 11 de setembro de 2026, uma vulnerabilidade ativamente explorada ou um incidente de segurança grave inicia uma cascata fixa de notificação através de uma única plataforma europeia. Um aviso precoce é devido no prazo de 24 horas, uma notificação mais completa em 72 horas e um relatório final em 14 dias após a emissão de uma correção ou solução temporária. O relógio não espera pela sua revisão jurídica nem pelo seu plano de comunicação.
Esse calendário é o choque operacional. A janela de 24 horas abre-se durante o pior momento de um incidente, quando a informação está incompleta e o instinto é não dizer nada até os factos estarem claros. O Act elimina essa opção. Uma organização que não consiga detetar, triar e notificar uma falha dentro de um dia falhará o prazo, não por falta de boa vontade, mas porque nunca construiu a maquinaria para se mover com essa rapidez.
Marcação CE, e Uma Coima à Medida do Seu Volume de Negócios
As obrigações mais amplas seguem-se em 11 de dezembro de 2027. A partir dessa data, um produto com elementos digitais precisa de uma marcação CE que certifique que foi construído com segurança desde a conceção, que é expedido sem defeitos exploráveis conhecidos e que receberá atualizações de segurança ao longo de um período de suporte definido. A conformidade não é um teste único antes do lançamento, é um dever que se prolonga por toda a vida útil suportada de cada unidade que vendeu.
A fiscalização tem peso. As autoridades nacionais de fiscalização do mercado policiam as regras, e a Alemanha já emitiu um primeiro projeto da lei para designar a sua autoridade competente. As sanções por incumprimento dos requisitos essenciais atingem 15 milhões de euros ou 2,5 por cento do volume de negócios anual mundial, consoante o que for mais elevado. Para um fabricante de média dimensão rentável, o valor do volume de negócios é aquele que deve concentrar as atenções da sala.
Leia a seguir: A sua defesa cibernética está preparada para ataques à velocidade da máquina? · A Sua Cifra Tem Prazo de Validade