Foi publicado o Regulamento (UE) 2024/2847 relativo aos requisitos horizontais de cibersegurança dos produtos com elementos digitais.
O Regulamento abrange «Produto com elementos digitais», ou seja, um produto de software ou hardware e as suas soluções de tratamento remoto de dados, incluindo componentes de software ou hardware que sejam colocados no mercado separadamente.
«Tratamento remoto de dados» é definido como o tratamento de dados à distância para o qual o software tenha sido concebido e desenvolvido pelo fabricante ou sob a sua responsabilidade e cuja inexistência impediria o produto com elementos digitais de desempenhar uma das suas funções.
Aplicam-se várias exceções como dispositivos médicos e veículos.
Partilhamos o nosso resumo:
CAPÍTULO I- DISPOSIÇÕES GERAIS
Artigo 1-Objeto
O presente regulamento estabelece o seguinte:
a) Regras para a disponibilização no mercado de produtos com elementos digitais, a fim de garantir a cibersegurança desses produtos;
b) Requisitos essenciais de cibersegurança para a conceção, o desenvolvimento e a produção de produtos com elementos digitais e as obrigações dos operadores económicos em relação a esses produtos no que diz respeito à cibersegurança;
c) Requisitos essenciais de cibersegurança para os processos de tratamento de vulnerabilidades aplicados pelos fabricantes de modo a garantir a cibersegurança dos produtos com elementos digitais durante o período de utilização prevista dos produtos, bem como as obrigações dos operadores económicos em relação a esses processos;
d) Regras relativas à fiscalização do mercado, designadamente à supervisão, e à aplicação das regras e dos requisitos referidos no presente artigo.
Artigo 2-Âmbito de aplicação
1. O presente regulamento é aplicável aos produtos com elementos digitais disponibilizados no mercado cuja finalidade prevista ou utilização razoavelmente previsível inclua uma conexão de dados lógica ou física, direta ou indireta, a um dispositivo ou a uma rede.
2. O presente regulamento não é aplicável…
Artigo 6-Requisitos aplicáveis aos produtos com elementos digitais
Os produtos com elementos digitais só podem ser disponibilizados no mercado se:
a) Cumprirem os requisitos essenciais de cibersegurança constantes da parte I do anexo I, na condição de serem corretamente instalados, mantidos, utilizados para a respetiva finalidade prevista ou em condições razoavelmente previsíveis e, se for caso disso, de terem sido instaladas as atualizações de segurança necessárias; e
b) Os processos aplicados pelo fabricante cumprirem os requisitos essenciais de cibersegurança constantes da parte II do anexo I.
Artigo 7-Produtos importantes com elementos digitais
1. Os produtos com elementos digitais cuja funcionalidade principal seja a de uma categoria de produtos constante do anexo III são considerados produtos importantes com elementos digitais e estão sujeitos aos procedimentos de avaliação da conformidade a que se refere o artigo 32, nºs 2 e 3. Um produto com elementos digitais cuja funcionalidade principal seja a de uma categoria de produtos constante do anexo III que esteja integrado noutro produto com elementos digitais não implica, por si só, que o produto em que está integrado fique sujeito aos procedimentos de avaliação da conformidade a que se refere o artigo 32, nºs 2 e 3.
2. As categorias de produtos com elementos digitais a que se refere o nº 1 do presente artigo, divididas nas classes I e II constantes do anexo III, satisfazem, pelo menos, um dos seguintes critérios:
…
4. Até 11 de dezembro de 2025, a Comissão adota um ato de execução com a descrição técnica das categorias de produtos com elementos digitais das classes I e II constantes do anexo III e a descrição técnica das categorias de produtos com elementos digitais constantes do anexo IV. O referido ato de execução é adotado pelo procedimento de exame a que se refere o artigo 62, nº 2.
Artigo 8-Produtos críticos com elementos digitais
1. A Comissão fica habilitada a adotar atos delegados nos termos do artigo 61.o para completar o presente regulamento, com vista a determinar que produtos com elementos digitais cuja funcionalidade principal é a de uma categoria de produtos constante do anexo IV do presente regulamento devem obrigatoriamente obter um certificado europeu de cibersegurança com um nível de garantia pelo menos «substancial» ao abrigo de um sistema europeu de certificação da cibersegurança adotado nos termos do Regulamento (UE) 2019/881... .
Artigo 11-Segurança geral dos produtos
Em derrogação do artigo 2, nº 1, terceiro parágrafo, alínea b), do Regulamento (UE) 2023/988,o capítulo III, secção 1, os capítulos V e VII e os capítulos IX a XI desse regulamento aplicam-se aos produtos com elementos digitais no que respeita aos aspetos e riscos ou às categorias de riscos não abrangidos pelo presente regulamento nos casos em que esses produtos não estejam sujeitos a requisitos de segurança específicos estabelecidos noutra «legislação de harmonização da União», na aceção do artigo 3, ponto 27, do Regulamento (UE) 2023/988.
Artigo 12-Sistemas de IA de risco elevado
1. Sem prejuízo dos requisitos de exatidão e solidez previstos no artigo 15 do Regulamento (UE) 2024/1689, os produtos com elementos digitais que sejam abrangidos pelo âmbito de aplicação do presente regulamento e que sejam classificados como sistemas de IA de risco elevado nos termos do artigo 6 desse regulamento são considerados conformes com os requisitos de cibersegurança estabelecidos no artigo 15 desse regulamento nos casos em que:
a) Esses produtos satisfazem os requisitos essenciais de cibersegurança constantes da parte I do anexo I;
b) Os processos aplicados pelo fabricante cumprem os requisitos essenciais de cibersegurança constantes da parte II do anexo I; e
c) A consecução do nível de proteção de cibersegurança exigido nos termos do artigo 15.o do Regulamento (UE) 2024/1689 é demonstrada na declaração UE de conformidade emitida ao abrigo do presente regulamento.
CAPÍTULO II - OBRIGAÇÕES DOS OPERADORES ECONÓMICOS E DISPOSIÇÕES EM RELAÇÃO AO SOFTWARE LIVRE E DE CÓDIGO-FONTE ABERTO
Artigo 13-Obrigações dos fabricantes
1. Quando colocam um produto com elementos digitais no mercado, os fabricantes devem assegurar que esse produto foi concebido, desenvolvido e produzido em conformidade com os requisitos essenciais de cibersegurança constantes da parte I do anexo I.
2. Para efeitos do cumprimento do nº1 1, os fabricantes devem efetuar uma avaliação dos riscos de cibersegurança associados a um produto com elementos digitais e ter em conta o resultado dessa avaliação durante as fases de planeamento, conceção, desenvolvimento, produção, entrega e manutenção do produto com elementos digitais, com vista a minimizar os riscos de cibersegurança, prevenir incidentes e minimizar os respetivos impactos, nomeadamente na saúde e segurança dos utilizadores.
...
Artigo 14-Obrigações dos fabricantes em matéria de comunicação de informações
1. Os fabricantes devem notificar qualquer vulnerabilidade ativamente explorada existente no produto com elementos digitais de que tomem conhecimento simultaneamente à CSIRT designada como coordenadora, nos termos do nº 7 do presente artigo, e à ENISA. Os fabricantes devem notificar essa vulnerabilidade ativamente explorada através da plataforma única de comunicação de informações criada nos termos do artigo 16.
Artigo 15-Transmissão voluntária de informações
1. Os fabricantes e outras pessoas singulares ou coletivas podem notificar voluntariamente a uma CSIRT designada como coordenadora ou à ENISA qualquer vulnerabilidade contida num produto com elementos digitais, bem como ciberameaças que possam afetar o perfil de risco de um produto com elementos digitais.
Artigo 18-Mandatários
Artigo 19-Obrigações dos importadores
1. Os importadores podem colocar no mercado apenas produtos com elementos digitais que cumpram os requisitos essenciais de cibersegurança constantes da parte I do anexo I, e se os processos aplicados pelo fabricante cumprirem os requisitos essenciais de cibersegurança constantes da parte II do anexo I.
2. Antes de colocarem um produto com elementos digitais no mercado, os importadores devem assegurar que:
a) O fabricante aplicou os procedimentos de avaliação da conformidade adequados a que se refere o artigo 32.o;
b) O fabricante elaborou a documentação técnica;
c) O produto com elementos digitais ostenta a marcação CE referida no artigo 30.o e é acompanhado da declaração de conformidade UE referida no artigo 13.o, n.o 20, e das informações e instruções de utilização previstas no anexo II numa língua que possa ser facilmente compreendida pelos utilizadores e pelas autoridades de fiscalização do mercado;
d) O fabricante respeitou os requisitos previstos no artigo 13.o, n.os 15, 16 e 19.
Artigo 20-Obrigações dos distribuidores
1. Ao disponibilizarem um produto com elementos digitais no mercado, os distribuidores devem agir com a diligência devida em relação aos requisitos definidos no presente regulamento.
2. Antes de disponibilizarem um produto com elementos digitais no mercado, os distribuidores devem certificar-se de que:
a) O produto com elementos digitais ostenta a marcação CE;
b) O fabricante e o importador cumpriram as obrigações estabelecidas no artigo 13.o, n.os 15, 16, 18, 19 e 20, e no artigo 19.o, n.o 4, e facultaram todos os documentos necessários ao distribuidor.
Artigo 21-Casos em que as obrigações dos fabricantes se aplicam aos importadores e distribuidores
Artigo 22-Outros casos em que se aplicam as obrigações dos fabricantes
Artigo 24-Obrigações dos administradores de software de código-fonte aberto
CAPÍTULO III-CONFORMIDADE DO PRODUTO COM ELEMENTOS DIGITAIS
Artigo 27-Presunção da conformidade
1. Presume-se que os produtos com elementos digitais e os processos aplicados pelo fabricante que estão em conformidade com as normas harmonizadas ou partes destas, cujas referências tenham sido publicadas no Jornal Oficial da União Europeia, estão conformes com os requisitos essenciais de cibersegurança estabelecidos no anexo I, abrangidos pelas referidas normas ou partes destas.
Artigo 28-Declaração de conformidade UE
1. A declaração de conformidade UE é elaborada pelos fabricantes nos termos do artigo 13, nº 12, e indica que o cumprimento dos requisitos essenciais de cibersegurança aplicáveis constantes do anexo I foi demonstrado.
2. A declaração de conformidade UE respeita o modelo que consta do anexo V e contém os elementos especificados nos procedimentos de avaliação da conformidade pertinentes que constam do anexo VIII. A referida declaração deve ser atualizada sempre que necessário. Deve ser disponibilizada nas línguas exigidas pelo Estado-Membro em cujo mercado o produto com elementos digitais é colocado ou disponibilizado.
A declaração de conformidade UE simplificada a que se refere o artigo 13, nº 20, respeita o modelo que consta do anexo VI. Deve ser disponibilizada nas línguas exigidas pelo Estado-Membro em cujo mercado o produto com elementos digitais é colocado ou disponibilizado.
3. Caso um produto com elementos digitais esteja abrangido por mais do que um ato jurídico da União que exija uma declaração de conformidade UE, deve ser elaborada uma declaração de conformidade UE única referente a todos esses atos jurídicos da União. Essa declaração deve conter a identificação dos atos jurídicos da União em causa, incluindo as respetivas referências de publicação.
4. Ao elaborar a declaração de conformidade UE, o fabricante assume a responsabilidade pela conformidade do produto com elementos digitais.
Artigo 30-Regras e condições para a aposição da marcação CE
1. A marcação CE deve ser aposta de modo visível, legível e indelével no produto com elementos digitais. Caso tal não seja possível ou não se justifique devido à natureza do produto com elementos digitais, a marcação CE deve ser aposta na embalagem e na declaração de conformidade UE referida no artigo 28.o que acompanha o produto com elementos digitais. No caso dos produtos com elementos digitais sob a forma de software, a marcação CE deve ser aposta na declaração de conformidade UE referida no artigo 28.o ou no sítio Web que acompanha o produto de software. Neste último caso, a secção pertinente do sítio Web deve ser de acesso fácil e direto para os consumidores.
Artigo 31-Documentação técnica
1. A documentação técnica contém todos os dados ou informações pertinentes sobre os meios utilizados pelo fabricante para assegurar que o produto com elementos digitais e os processos aplicados pelo fabricante cumprem os requisitos essenciais de cibersegurança estabelecidos no anexo I. Deve conter, no mínimo, os elementos constantes do anexo VII.
Artigo 32-Procedimentos de avaliação da conformidade dos produtos com elementos digitais
1. O fabricante deve realizar uma avaliação da conformidade do produto com elementos digitais e dos processos por ele aplicados de forma a determinar se são cumpridos os requisitos essenciais de cibersegurança constantes do anexo I. Cabe ao fabricante demonstrar a conformidade com os requisitos essenciais de cibersegurança recorrendo a qualquer dos seguintes procedimentos:
a) O procedimento de controlo interno (com base no módulo A) constante do anexo VIII;
b) O procedimento de exame UE de tipo (com base no módulo B) previsto no anexo VIII, seguido da conformidade com o tipo UE baseada no controlo interno da produção (com base no módulo C) prevista no anexo VIII;
c) Uma avaliação da conformidade baseada na garantia de qualidade total (com base no módulo H) prevista no anexo VIII; ou
d) Se disponível e aplicável, um sistema europeu de certificação da cibersegurança, nos termos do artigo 27.o, n.o 9.
CAPÍTULO V-FISCALIZAÇÃO DO MERCADO E APLICAÇÃO DA LEGISLAÇÃO (artigos 52 a 60)
Artigo 69-Disposições transitórias
1. Os certificados de exame UE de tipo e as decisões de aprovação relativos aos requisitos de cibersegurança de produtos com elementos digitais abrangidos por legislação de harmonização da União que não seja o presente regulamento permanecem válidos até 11 de junho de 2028, a menos que caduquem antes dessa data, ou salvo especificação em contrário nessa outra legislação de harmonização da União, caso em que permanecem válidos nos termos dessa legislação.
2. Os produtos com elementos digitais que tenham sido colocados no mercado antes de 11 de dezembro de 2027 só ficam sujeitos aos requisitos definidos no presente regulamento se, a partir dessa data, esses produtos forem objeto de uma modificação substancial.
3. Em derrogação do n.o 2 do presente artigo, as obrigações estabelecidas no artigo 14.o são aplicáveis a todos os produtos com elementos digitais abrangidos pelo âmbito de aplicação do presente regulamento que tenham sido colocados no mercado antes de 11 de dezembro de 2027.
Artigo 71-Entrada em vigor e aplicação
1. O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
2. O presente regulamento é aplicável a partir de 11 de dezembro de 2027.
Todavia, o artigo 14 é aplicável a partir de 11 de setembro de 2026 e o capítulo IV (artigos 35 a 51) é aplicável a partir de 11 de junho de 2026.
ANEXO I-REQUISITOS ESSENCIAIS DE CIBERSEGURANÇA
ANEXO II-INFORMAÇÕES E INSTRUÇÕES DESTINADAS AO UTILIZADOR
ANEXO III-PRODUTOS IMPORTANTES COM ELEMENTOS DIGITAIS
ANEXO IV-PRODUTOS CRÍTICOS COM ELEMENTOS DIGITAIS
ANEXO V-DECLARAÇÃO DE CONFORMIDADE UE
ANEXO VI-DECLARAÇÃO DE CONFORMIDADE UE SIMPLIFICADA
ANEXO VII-TEOR DA DOCUMENTAÇÃO TÉCNICA
ANEXO VIII-PROCEDIMENTOS DE AVALIAÇÃO DA CONFORMIDADE
Saiba como controlar a conformidade legal do seu Sistema de Gestão.