Cyber Resilience Act: Novas obrigações para fabricantes e impacto no Sophos Firewall
O Cyber Resilience Act mudará as regras para os fabricantes de produtos digitais a partir de 2027. As atualizações de segurança devem ser fornecidas gratuitamente, os períodos de suporte claramente definidos e a segurança demonstrada já no design. Para os administradores de TI, isso traz mais transparência; para fornecedores como a Sophos, ajustes à sua estratégia de atualização.
Breve visão geral
- O regulamento da UE aplica-se a partir de 11.12.2027
- Exigidos pelo menos cinco anos de atualizações de segurança gratuitas
- Obrigação de design seguro, documentação e processos de notificação
- A Sophos deve adaptar a sua política de atualização
- Os administradores de TI ganham mais segurança no planeamento
Por que o tema é relevante agora
O Cyber Resilience Act está em vigor desde o final de 2024. Fabricantes e clientes têm até dezembro de 2027 para adaptar os seus processos. Para a segurança de TI na Europa, isso significa um padrão vinculativo: produtos sem atualizações de segurança e informações de ciclo de vida pouco claras devem desaparecer.
O que muda ou o que é novo
- Atualizações de segurança gratuitas: Os fabricantes não podem mais cobrar por patches críticos.
- Períodos de suporte transparentes: Pelo menos cinco anos de atualizações ou indicação explícita de durações mais curtas.
- Marcação CE: A partir de 2027, a marca CE também confirmará a conformidade com a cibersegurança.
- Obrigações de comunicação: Incidentes de segurança devem ser comunicados às autoridades em 24 horas. Para ser preciso: alerta precoce em 24 horas, relatório adicional em 72 horas; os destinatários são o CSIRT designado (coordenador) e a ENISA através da plataforma central.
- Penalidades elevadas: Até 15 milhões de euros ou 2,5% do volume de negócios em caso de violações.
Visão geral técnica
O Cyber Resilience Act visa todos os “produtos com elementos digitais”. Estes incluem sistemas empresariais clássicos, como firewalls, routers e sistemas operativos, mas também dispositivos IoT no setor do consumidor e software crítico para a segurança. Os requisitos afetam, portanto, praticamente todo o ecossistema de produtos conectados. Os fabricantes devem cumprir as seguintes obrigações ao abrigo do Cyber Resilience Act:
- Provar a Segurança por Design (por exemplo, configurações predefinidas seguras, encriptação, protocolos testados, endurecimento contra ataques DoS).
- Manter uma Software Bill of Materials (SBOM) que detalhe todos os componentes, bibliotecas e dependências relevantes para criar transparência para atualizações e gestão de vulnerabilidades.
- Oferecer opções de atualização automática, pelo menos para correções críticas de segurança, e garantir que essas atualizações possam ser instaladas sem interrupções ou deteriorações significativas. Para ambientes profissionais, também deve existir uma opção para uma instalação controlada e agendada.
- Manter a documentação por dez anos, incluindo avaliações de risco, relatórios de teste e declarações de conformidade, para que, durante uma auditoria, seja sempre possível rastrear como a segurança foi garantida.
- Estabelecer um processo para a gestão de vulnerabilidades e um gabinete de relatórios para problemas de segurança, para que investigadores externos ou clientes possam relatar imediatamente as vulnerabilidades descobertas.
- Implementar mecanismos para atualizações seguras (por exemplo, assinatura, verificação) para evitar manipulações durante a distribuição.
Esses requisitos detalhados mostram claramente que o Cyber Resilience Act não apenas define padrões mínimos, mas exige uma gestão abrangente da segurança desde o desenvolvimento até a operação e o período de suporte.
Guia prático para administradores de TI
Preparação:
- Rever processos de aquisição: no futuro, adquirir apenas produtos conformes ao CRA.
- Documentar informações do ciclo de vida e complementá-las na gestão de ativos.
- Esclarecer responsabilidades na equipa de TI e definir funções para a gestão de atualizações.
- Alinhar políticas internas com os requisitos do CRA e complementar processos em falta.
Implementação:
- Planeie atualizações de segurança regularmente, mesmo que as atualizações automáticas estejam disponíveis.
- Subscreva as notificações do fabricante e integre-as nos processos internos.
- Utilize ambientes de teste para verificar as atualizações antes da implementação em sistemas críticos.
- Utilize interfaces com ferramentas de tickets ou monitorização para documentar automaticamente os processos de atualização.
Validação:
- Testar patches após a instalação.
- Verificar registos para anomalias após a atualização.
- Realizar verificações de rede e segurança para garantir que as vulnerabilidades conhecidas foram corrigidas.
- Gerar relatórios de conformidade que cumpram os requisitos do CRA.
Rollback e Monitorização:
- Manter planos de rollback para sistemas críticos.
- Utilizar a monitorização para detetar rapidamente interrupções após as atualizações.
- Definir alarmes para que os erros críticos sejam imediatamente visíveis.
- Fornecer checklists de emergência para restaurar rapidamente as operações em caso de emergência.
Recomendações e Melhores Práticas
| Tópico | Recomendação |
|---|---|
| Seleção de produtos | Preferir fabricantes conformes ao CRA |
| Duração do suporte | Escolher dispositivos com pelo menos 5 anos de compromisso de atualização |
| Gestão de patches | Estabelecer uma gestão centralizada de atualizações |
| Documentação | Incluir SBOM e dados do ciclo de vida no inventário |
| Comunicação | Automatizar as notificações de segurança do fabricante |
Impacto na Sophos e noutras plataformas
A Sophos alterou a sua política de atualização de firmware em 2022: as atualizações estão desde então disponíveis apenas com uma licença de suporte válida. As correções de segurança e as atualizações de assinaturas permaneceram gratuitas, mas o firmware regular não. O Cyber Resilience Act força fabricantes como a Sophos a reconsiderar esta separação. Provavelmente, no futuro, será necessário distinguir entre “atualizações de funcionalidades” (pagas) e “correções de segurança” (gratuitas).
Para os administradores de TI, isso significa:
- Mais clareza sobre os períodos de suporte dos equipamentos.
- Acesso fiável a patches críticos de segurança, mesmo sem licença.
- Maior transparência sobre o ciclo de vida e as datas de fim de vida útil.
Perguntas frequentes
O Cyber Resilience Act também se aplica a produtos existentes?
Não, aplica-se a produtos novos colocados no mercado a partir de 11.12.2027.
O que acontece com dispositivos antigos sem atualizações?
Dispositivos sem suporte de segurança deixarão de estar conformes com o CRA após o término do período de suporte e apresentarão riscos.
As atualizações devem ser instaladas automaticamente?
Para muitos dispositivos de consumo, sim. Para firewalls ou sistemas críticos, basta uma opção manual com notificação.
Que penalidades ameaçam os fabricantes?
Até 15 milhões de euros ou 2,5% do volume de negócios anual global.
Que papel desempenha a Avanet?
A Avanet apoia o planeamento do ciclo de vida, as estratégias de atualização e a seleção de produtos conformes ao Cyber Resilience Act.
Que dados são relevantes para o Cyber Resilience Act?
O regulamento está em vigor desde 10.12.2024; a maioria das obrigações aplica-se a partir de 11.12.2027. As obrigações de comunicação começam já em 11.09.2026. Fontes: EUR-Lex e vários escritórios de advocacia.
Conclusão
O Cyber Resilience Act cria, a partir de 2027, um quadro vinculativo para a segurança de TI. Para a Sophos e outros fabricantes, significa ajustes nas estratégias de atualização e nos períodos de suporte. Para os administradores, traz mais fiabilidade nas atualizações e no planeamento do ciclo de vida. Agora é o momento certo para alinhar os processos de aquisição e as estratégias de atualização com os requisitos do CRA.
Ligações adicionais
