What is the Cyber Resilience Act (CRA)?

The Cyber Resilience Act (Regulation 2024/2847) is the EU's regulation establishing cybersecurity requirements for products with digital elements. It covers hardware and software products placed on the EU market and requires manufacturers, importers, and distributors to ensure products are secure by design throughout their lifecycle.

When does the CRA apply?

The CRA entered into force on December 10, 2024. Reporting obligations for actively exploited vulnerabilities apply from September 11, 2026. The main obligations for manufacturers, importers, and distributors apply from December 11, 2027.

Who is affected by the CRA?

The CRA applies to manufacturers, importers, and distributors of products with digital elements placed on the EU market. This includes IoT devices, software applications, operating systems, network equipment, smart home devices, industrial control systems, firmware, and SaaS components. Open-source software stewards also have specific obligations.

How is the CRA different from NIS2?

NIS2 focuses on the cybersecurity of organisations (essential and important entities in 18 sectors), while the CRA focuses on the cybersecurity of products with digital elements. NIS2 requires organisations to implement security measures; the CRA requires product manufacturers to build security into their products. Both regulations complement each other as part of the EU's cybersecurity framework.

How does SiteGuardian help with CRA compliance?

SiteGuardian continuously monitors security properties required by the CRA: HTTPS/TLS enforcement, deprecated protocol detection, weak cipher identification, certificate expiry monitoring, security.txt (RFC 9116) for vulnerability disclosure, encryption in transit, and security header validation. It maps findings directly to CRA articles and Annex I requirements.

Regulamento UE 2024/2847

Cyber Resilience Act.
O seu produto está preparado?

O CRA exige que todos os produtos com elementos digitais no mercado da UE cumpram requisitos de cibersegurança — ou enfrentem multas até 15 M€. O tempo está a contar.

---

Dias

Horas

Minutos

Segundos

até 11 de dezembro de 2027

As obrigações de reporte aplicam-se a partir de 11 de setembro de 2026

Analise o seu produto agora Ver planos de conformidade

O CRA aplica-se a si?

O CRA aplica-se a fabricantes, importadores e distribuidores de produtos com elementos digitais colocados no mercado da UE. Se o seu produto contém software ou se liga a uma rede, é provável que esteja no âmbito.

Dispositivos IoT

Padrão / Crítico

Produtos de software

Padrão / Crítico

Equipamento de rede

Crítico

Smart Home

Padrão / Crítico

Sistemas de controlo industrial

Crítico

Aplicações móveis

Predefinido

Serviços cloud

Padrão / Crítico

Open source

Com obrigações

O custo da não conformidade

Requisitos essenciais

€15M

ou 2,5 % do faturamento anual global

o que for mais alto

Outras obrigações

€10M

ou 2 % do faturamento anual global

o que for mais alto

Informações enganosas

€5M

ou 1 % do faturamento anual global

o que for mais alto

Os produtos não conformes podem ser retirados do mercado da UE pelas autoridades de fiscalização do mercado.

O que o CRA exige — e o que o SiteGuardian monitoriza

O CRA define requisitos essenciais de cibersegurança para produtos com elementos digitais. O SiteGuardian monitoriza continuamente os requisitos técnicos.

Art. 6 / Annex I

Seguro por defeito

Monitorizado

O SiteGuardian monitoriza a aplicação de HTTPS, cabeçalhos HSTS, flags de cookies seguras e deteta credenciais predefinidas ou configurações inseguras expostas à rede. Os produtos devem ser entregues com definições seguras por defeito.

Art. 10(1)

Sem vulnerabilidades conhecidas

Monitorizado

O SiteGuardian valida versões TLS, deteta protocolos obsoletos (SSLv3, TLS 1.0/1.1), identifica suites de cifra fracas e assinala configurações de segurança incorretas conhecidas. Os produtos devem ser entregues sem vulnerabilidades conhecidas exploráveis.

Art. 10(6)

Atualizações de segurança

Monitorizado

O SiteGuardian monitoriza datas de expiração de certificados SSL, acompanha alterações na postura de segurança ao longo do tempo e alerta sobre regressões de configuração. Os fabricantes devem fornecer atualizações de segurança atempadas durante o período de suporte do produto.

Art. 10(9)

Software Bill of Materials (SBOM)

Os fabricantes devem identificar e documentar os componentes contidos nos seus produtos, incluindo um Software Bill of Materials. Esta é uma medida organizacional que requer ferramentas e processos internos.

Art. 10(10)

Divulgação coordenada de vulnerabilidades

Monitorizado

O SiteGuardian deteta ficheiros security.txt (RFC 9116), verifica a disponibilidade da política de divulgação de vulnerabilidades e verifica as informações de contacto adequadas. Os fabricantes devem estabelecer uma política coordenada de divulgação de vulnerabilidades.

Art. 11

Obrigações de reporte

Monitorizado

A partir de setembro de 2026, os fabricantes devem reportar vulnerabilidades ativamente exploradas à ENISA no prazo de 24 horas. O SiteGuardian fornece deteção de incidentes, classificação e acompanhamento dos prazos de notificação para conformidade regulamentar.

Art. 13

Avaliação de conformidade

Os produtos devem passar por avaliação de conformidade antes de serem colocados no mercado da UE. Produtos de categoria padrão podem fazer autoavaliação; produtos críticos requerem auditorias de terceiros. Esta é uma medida organizacional.

Annex I.2

Propriedades de segurança

Monitorizado

O SiteGuardian verifica a cifragem em trânsito (TLS 1.2+), valida mecanismos de controlo de acesso, verifica a integridade dos dados através de configurações seguras de cabeçalhos e monitoriza a exposição não autorizada de dados. Os produtos devem proteger a confidencialidade, integridade e disponibilidade.

Comece a se preparar hoje

Analise a interface web do seu produto para ver onde se encontra. O SiteGuardian mapeia cada descoberta para artigos do CRA — para que saiba exatamente o que corrigir.

Verificação de segurança gratuita Ver planos de conformidade

Grátis para sempre para 1 monitor. Sem necessidade de cartão de crédito.

Perguntas frequentes

O que é o Cyber Resilience Act (CRA)?

O CRA (Regulamento 2024/2847) é o regulamento da UE que estabelece requisitos horizontais de cibersegurança para produtos com elementos digitais. Abrange tanto produtos de hardware como de software colocados no mercado da UE e exige que os fabricantes garantam que os produtos são seguros desde a conceção ao longo de todo o seu ciclo de vida.

Quando se aplica o CRA?

O CRA entrou em vigor a 10 de dezembro de 2024. As obrigações de reporte de vulnerabilidades ativamente exploradas e incidentes graves aplicam-se a partir de 11 de setembro de 2026. As principais obrigações para fabricantes, importadores e distribuidores — incluindo avaliação de conformidade e marcação CE — aplicam-se a partir de 11 de dezembro de 2027.

Quem é abrangido pelo CRA?

O CRA aplica-se a fabricantes, importadores e distribuidores de produtos com elementos digitais colocados no mercado da UE. Isto inclui dispositivos IoT, aplicações de software, sistemas operativos, equipamento de rede, dispositivos smart home, sistemas de controlo industrial, aplicações móveis e componentes de serviços cloud. Os administradores de software open source têm obrigações específicas mas mais leves.

Como o CRA difere da NIS2?

A NIS2 foca-se na cibersegurança das organizações — entidades essenciais e importantes em 18 setores devem implementar medidas de segurança. O CRA foca-se na cibersegurança dos produtos — os fabricantes devem incorporar segurança nos seus produtos antes de os colocarem no mercado da UE. Ambos os regulamentos são complementares: a NIS2 protege os operadores, o CRA protege os produtos que utilizam.

Como o SiteGuardian ajuda na conformidade com o CRA?

O SiteGuardian monitoriza continuamente as propriedades técnicas de segurança exigidas pelo CRA: aplicação de HTTPS/TLS, deteção de protocolos obsoletos, identificação de cifras fracas, monitorização da expiração de certificados, security.txt para divulgação de vulnerabilidades, cifragem em trânsito e validação de cabeçalhos de segurança. Todas as descobertas são mapeadas para artigos do CRA e requisitos do Anexo I, proporcionando uma visão clara da conformidade.

Cyber Resilience Act. O seu produto está preparado?

O CRA aplica-se a si?

O custo da não conformidade

O que o CRA exige — e o que o SiteGuardian monitoriza

Seguro por defeito

Sem vulnerabilidades conhecidas

Atualizações de segurança

Software Bill of Materials (SBOM)

Divulgação coordenada de vulnerabilidades

Obrigações de reporte

Avaliação de conformidade

Propriedades de segurança

Comece a se preparar hoje

Perguntas frequentes

Tem certeza?

Cyber Resilience Act.
O seu produto está preparado?