A União Europeia aprovou esta semana o Cyber Resilience Act, um regulamento que promete mudar radicalmente a forma como os fabricantes de dispositivos eletrónicos lidam com a segurança. A partir de 2027, todos os produtos com ligação à internet — desde routers e câmaras de vigilância até smart TVs e brinquedos inteligentes — terão de garantir atualizações de segurança durante um período mínimo de cinco anos após a colocação no mercado.
A medida responde a um problema crescente: milhares de milhões de dispositivos IoT vendidos mundialmente têm falhas de segurança conhecidas que nunca são corrigidas pelos fabricantes. Estes dispositivos tornam-se alvos fáceis para botnets e ataques em larga escala. O caso mais emblemático foi o ataque do Mirai botnet em 2016, que usou câmaras de vigilância inseguras para derrubar grande parte da internet nos Estados Unidos.
O novo regulamento exige cibersegurança reforçada.
O fim do 'software abandonado'
O regulamento não se limita às atualizações. Exige também que os fabricantes forneçam documentação clara sobre o período de suporte, implementem práticas de 'security by design' desde a conceção do produto e reportem vulnerabilidades ativamente exploradas às autoridades no prazo de 24 horas. As coimas por incumprimento podem chegar aos 15 milhões de euros ou 2.5 por cento do volume de negócios anual global.
Níveis de conformidade com o regulamento europeu por setor.
O impacto em Portugal será significativo. O país tem um ecossistema crescente de startups de IoT e dispositivos inteligentes, muitas das quais terão de se adaptar às novas regras. Por outro lado, as empresas portuguesas de cibersegurança estão bem posicionadas para oferecer serviços de certificação e auditoria aos fabricantes que precisam de cumprir o regulamento, criando novas oportunidades de negócio no sector.
Os críticos apontam que o regulamento pode aumentar os custos de produção e os preços para os consumidores. Fabricantes de dispositivos mais baratos, especialmente os asiáticos, podem optar por simplesmente não vender na Europa, reduzindo a oferta disponível. Mas a Comissão Europeia defende que o direito à segurança digital é fundamental e que o custo de não regular é muito maior. A Europa está a dar o exemplo. Resta saber se o resto do mundo segue.
O Cyber Resilience Act (Regulamento UE 2026/XX) impõe sanções até 15 milhões de euros ou 2.5% do volume de negócios global, exige atualizações de segurança por 5 anos com SLA máximo de 72 horas para correção de vulnerabilidades críticas, e abrange mais de 40 categorias de dispositivos IoT, impactando 3.2 mil milhões de dispositivos vendidos anualmente no mercado europeu.
💬 Comentários
Nenhum comentário ainda. Sê o primeiro a comentar!