Pago · CRA

O seu produto está preparado para o CRA?

Responda a 20 perguntas sobre 5 áreas de conformidade do Cyber Resilience Act. Receba uma análise de lacunas por IA com as suas prioridades — entregue na sua caixa de entrada.

20 perguntas
~5 minutos
Análise IA de lacunas
Relatório completo por email

Com base em: Regulamento (UE) 2024/2847 — CRA ↗

🔧
Paid Assessment

CRA Product Compliance Checker

Get a full AI-powered gap analysis across 5 Cyber Resilience Act areas — with CE marking guidance, vulnerability handling obligations, and priority actions for your product team.

Get access →

Questions? Contact us

Perfil do produto Step 1 of 6
Passo 1 de 6 — Perfil do Produto

Conte-nos sobre o seu produto

O CRA aplica-se a todos os produtos com elementos digitais colocados no mercado da UE — hardware e software. As suas obrigações dependem da categoria do produto e do seu papel na cadeia de fornecimento.

Passo 2 de 6 — Classificação do Produto

Classificação e âmbito do produto

O CRA distingue entre produtos padrão, produtos importantes (Classe I e II) e produtos críticos. A sua classificação determina se a autoavaliação é suficiente ou se é necessária uma auditoria de terceiros.

Determinou se o seu produto se enquadra nas categorias de produtos "importantes" (Classe I ou II) ou "críticos" do CRA?
CRA Anexo III–IV: Produtos importantes incluem browsers, gestores de palavras-passe, VPNs, routers, firewalls e microprocessadores. Críticos incluem smartcards, HSMs e produtos certificados.
Tem um processo para identificar se o seu produto contém componentes já abrangidos por outra legislação da UE (MDR, RED, Regulamento de Máquinas)?
CRA Art. 2(2): Produtos já regulados por outra legislação setorial da UE podem estar parcial ou totalmente isentos das obrigações do CRA.
Avaliou qual a via de avaliação de conformidade aplicável ao seu produto — autoavaliação, exame de tipo UE ou garantia de qualidade completa?
CRA Art. 32: Produtos padrão podem autoavaliar-se. Produtos importantes de Classe I podem precisar de organismo notificado. Classe II e produtos críticos requerem avaliação de conformidade por terceiros.
Passo 3 de 6 — Segurança por Design

Requisitos de segurança

O Anexo I do CRA estabelece requisitos essenciais de cibersegurança. Os produtos devem ser concebidos, desenvolvidos e produzidos com segurança incorporada desde o início — não adicionada depois.

O seu produto é concebido com uma superfície de ataque mínima — desativando funções e interfaces não utilizadas por defeito?
CRA Anexo I, Parte I(1): Os produtos devem ser entregues com uma configuração segura por defeito, incluindo a desativação de funcionalidades e serviços desnecessários.
O seu produto protege os dados em repouso e em trânsito com encriptação adequada e impede o acesso não autorizado através de mecanismos de autenticação?
CRA Anexo I, Parte I(3–4): Os produtos devem proteger a confidencialidade e integridade dos dados. Palavras-passe fracas ou por defeito não são permitidas.
O seu produto recolhe apenas o mínimo de dados necessários para a sua função e o utilizador pode eliminá-los de forma segura?
CRA Anexo I, Parte I(7–8): A minimização de dados e o controlo do utilizador sobre os dados são requisitos obrigatórios.
Realizou uma avaliação de risco de segurança cobrindo o uso pretendido, uso indevido previsível e as ameaças mais prováveis para o seu produto?
CRA Art. 13(2): Os fabricantes devem realizar uma avaliação de risco de cibersegurança antes de colocar o produto no mercado e mantê-la atualizada ao longo do ciclo de vida.
Passo 4 de 6 — Gestão de Vulnerabilidades

Gestão de vulnerabilidades e reporte de incidentes

O Anexo I, Parte II do CRA exige que os fabricantes tratem as vulnerabilidades ao longo do ciclo de vida do produto e reportem vulnerabilidades ativamente exploradas à ENISA em 24 horas.

Tem uma política de divulgação de vulnerabilidades (VDP) publicada e um canal dedicado para investigadores de segurança reportarem vulnerabilidades?
CRA Anexo I, Parte II(1): Os fabricantes devem identificar e documentar vulnerabilidades nos seus produtos e fornecer um ponto de contacto para reportes.
Consegue notificar a ENISA em 24 horas após tomar conhecimento de uma vulnerabilidade ativamente explorada no seu produto?
CRA Art. 14: Alerta precoce à ENISA em 24 horas, notificação em 72 horas, relatório final em 14 dias. Fabricantes não-UE devem nomear um representante na UE.
Fornece atualizações de segurança gratuitas durante pelo menos 5 anos (ou o tempo de vida esperado do produto, se inferior) após a colocação no mercado?
CRA Art. 13(8): As atualizações de segurança devem ser fornecidas prontamente, separadas das atualizações de funcionalidade, e claramente comunicadas aos utilizadores.
Mantém uma Software Bill of Materials (SBOM) listando todos os componentes e dependências de terceiros no seu produto?
CRA Anexo I, Parte II(1): Os fabricantes devem identificar e documentar componentes de terceiros. Uma SBOM é o mecanismo padrão para cumprir este requisito.
Passo 5 de 6 — Documentação e Conformidade

Documentação técnica e marcação CE

Colocar um produto com elementos digitais no mercado da UE requer um dossiê técnico, uma Declaração de Conformidade UE e a marcação CE. Estes devem estar prontos antes do lançamento.

Começou a preparar a documentação técnica exigida pelo CRA, incluindo a avaliação de risco de cibersegurança, decisões de design e resultados de testes?
CRA Art. 31 + Anexo V: O dossiê técnico deve incluir a descrição do produto, avaliação de risco, especificações de design, protocolos de teste e a Declaração de Conformidade UE.
As instruções do seu produto comunicam claramente as funcionalidades de segurança, o período de suporte, como instalar atualizações e como reportar vulnerabilidades?
CRA Art. 13(18) + Anexo II: A documentação para o utilizador deve incluir capacidades de segurança, data de fim de suporte, ponto de contacto para reportes e orientações de uso seguro.
Tem um processo para monitorizar vulnerabilidades conhecidas e exploradas nos componentes do seu produto (ex. via bases de dados CVE ou avisos ENISA)?
CRA Anexo I, Parte II(2): Os fabricantes devem monitorizar vulnerabilidades nos seus produtos e componentes de forma contínua durante o período de suporte.
Se a sua empresa está sediada fora da UE, nomeou um representante autorizado na UE responsável pelas obrigações de conformidade CRA?
CRA Art. 17: Fabricantes não-UE devem designar um representante autorizado com sede na UE antes de colocar o produto no mercado da UE. Este representante é legalmente responsável pela conformidade.
Passo 6 de 6 — O Seu Relatório

Para onde enviamos os seus resultados?

A analisar a sua prontidão CRA…

A nossa IA está a rever as suas respostas nas 5 áreas de conformidade CRA.

Isto demora normalmente cerca de um minuto. Por favor, não feche esta página.

A verificar a classificação do produto
A rever requisitos de segurança por design
A avaliar processos de gestão de vulnerabilidades
A avaliar a prontidão da documentação
A preparar o seu relatório priorizado
Pontuação de Prontidão CRA
em 100
Gerado por IA — não é aconselhamento jurídico. Esta avaliação é gerada com recurso a IA (Claude da Anthropic) e é apenas indicativa. Não constitui uma determinação formal de conformidade. Consulte a nossa Política de Privacidade para informações sobre o tratamento de dados.

Apenas para fins informativos. Esta ferramenta é fornecida para fins de sensibilização, para ajudar as empresas a compreender a sua situação atual no que respeita à regulamentação da UE. Não constitui aconselhamento jurídico, regulatório ou profissional. Os resultados são indicativos e não devem ser utilizados como substituto de aconselhamento jurídico qualificado. A Verdaio não aceita qualquer responsabilidade por decisões tomadas com base nos resultados desta ferramenta. Os seus dados são processados de forma efémera e não são armazenados nem utilizados para treino de modelos.