← Voltar ao blog

Faltam 7 meses para o CRA — Sabe onde estão os seus CVEs?

· Verimu
Conformidade CRACyber Resilience ActMonitorização de CVESBOMRegulamentação UE

11 de setembro de 2026 não é a data de plena entrada em vigor do Cyber Resilience Act europeu. Essa é 11 de dezembro de 2027. Mas 11 de setembro de 2026 é quando as obrigações de notificação de vulnerabilidades do CRA se tornam juridicamente vinculativas — e esse prazo está agora a aproximadamente sete meses.

A partir dessa data, todo o fabricante de produtos com elementos digitais vendidos na UE terá de reportar vulnerabilidades ativamente exploradas à ENISA dentro de 24 horas após tomar conhecimento. Uma notificação completa segue-se dentro de 72 horas. Um relatório final é devido dentro de 14 dias após a disponibilidade de uma medida corretiva.

Isto aplica-se a produtos já no mercado. Aplica-se ao software que lançou em 2020. Aplica-se independentemente de ter começado ou não o seu percurso de conformidade com o CRA.

A dependência oculta que a maioria das equipas ignora

A maioria das organizações planeia em torno da data de conformidade plena de 11 de dezembro de 2027. É quando entram em vigor os requisitos de SBOM, as avaliações de conformidade e as obrigações de marcação CE. Portanto, o raciocínio é: temos tempo.

Mas eis o problema. Para reportar uma vulnerabilidade ativamente explorada em 24 horas, precisa de saber:

  1. Que componentes de software estão no seu produto
  2. Quais desses componentes são afetados por um determinado CVE
  3. Se esse CVE está a ser ativamente explorado

Nada disto é possível sem um SBOM e um processo de monitorização de vulnerabilidades. Na prática, a preparação do SBOM é um pré-requisito para setembro de 2026, mesmo que os SBOMs só sejam formalmente exigidos a partir de dezembro de 2027.

Como a equipa de segurança da Keysight escreveu: "Não se pode reportar o que não se conhece."

Como é o cronograma de notificação

Quando um fabricante toma conhecimento de uma vulnerabilidade ativamente explorada no seu produto, o CRA exige:

Prazo Requisito
24 horas Alerta precoce ao CSIRT através da Plataforma Única de Notificação da ENISA
72 horas Notificação completa incluindo avaliação de gravidade e produtos afetados
14 dias Relatório final assim que uma medida corretiva ou mitigante esteja disponível

A Plataforma Única de Notificação da ENISA estará operacional até setembro de 2026. Uma vez ativa, não haverá período de carência.

O cálculo das penalizações

O incumprimento do CRA pode resultar em coimas até 15 milhões de euros ou 2,5% do volume de negócios anual global, consoante o valor que for mais elevado. Para contextualizar, uma empresa europeia de software de média dimensão com 100 milhões de euros de faturação anual enfrenta uma potencial coima de 2,5 milhões de euros — por uma única falha de notificação.

Mesmo para empresas bem abaixo desse limiar de faturação, o dano reputacional de uma notificação CRA falhada pode ser pior do que a própria coima.

O panorama atual: o que existe

Se está a começar a avaliar ferramentas, o mercado divide-se essencialmente assim:

Plataformas SCA empresariais — ferramentas como Snyk, Sonatype e FOSSA oferecem análise de composição de software com geração de SBOM como funcionalidade. Estas plataformas são poderosas e maduras, mas foram concebidas para equipas de segurança americanas e custam frequentemente €2.000–5.000+/mês. Os workflows específicos do CRA (notificação 24h→72h→14d, integração EUVD, reporte à ENISA) geralmente não estão incorporados.

Gestores do ciclo de vida de SBOMs — ferramentas como Cybeats SBOM Studio e sbomify focam-se na gestão, arquivo e partilha de SBOMs. São fortes no lado documental, mas podem necessitar de ferramentas separadas para deteção e alertas de vulnerabilidades.

Geradores open source — Syft, cdxgen e npm-sbom podem gerar SBOMs em pipelines CI/CD. São gratuitos e flexíveis, mas terá de construir o workflow de monitorização de CVE, alertas e reporte.

Plataformas focadas no CRA — uma categoria mais recente de ferramentas construídas especificamente em torno dos prazos e requisitos do CRA. ScanDog e Verimu inserem-se nesta categoria: concebidas especificamente para conformidade europeia, com geração de SBOM, monitorização de vulnerabilidades e reporte regulamentar como funcionalidades principais em vez de complementos.

A questão não é se precisa de uma ferramenta. É que compromissos está disposto a aceitar: construir vs. comprar, custo vs. cobertura, nativo para CRA vs. adaptado.

O que "pronto para o CRA" realmente significa até setembro

Até 11 de setembro de 2026, no mínimo, deveria ter:

  1. Um SBOM completo para cada produto no mercado — cobrindo todas as dependências diretas e transitivas, em formato CycloneDX ou SPDX
  2. Monitorização automatizada de vulnerabilidades — cruzando os seus SBOMs com NVD, EUVD e idealmente CISA KEV para sinais de vulnerabilidades ativamente exploradas
  3. Um workflow de alertas — que notifique as pessoas certas em horas, não dias
  4. Um processo de notificação — mapeado para o cronograma 24h/72h/14d do CRA, com modelos prontos para a Plataforma Única de Notificação da ENISA
  5. Documentação — que demonstre que este processo existe, foi testado e está operacional antes do prazo

Se algum destes faltar, está exposto.

Como o Verimu se enquadra

O Verimu foi construído especificamente para este problema. Somos uma equipa de engenheiros de software médico e industrial que passámos pela própria planificação de conformidade com o CRA e percebemos que a lacuna de ferramentas era enorme — especialmente para pequenas e médias equipas de software europeias que não têm um orçamento de 50.000 €/ano para ferramentas de segurança.

Eis o que o Verimu faz hoje:

  • Geração de SBOM — CycloneDX 1.7, conforme com NTIA, gerado automaticamente em cada commit via GitHub App
  • Monitorização de CVE — cruzamento com NVD, EUVD e CISA KEV
  • Alertas em tempo real — notificações por email para a sua equipa quando uma vulnerabilidade afeta as suas dependências
  • Modelos de reporte CRA — mapeados para o cronograma de notificação 24h/72h/14d
  • Infraestrutura alojada na UE — os seus dados ficam na Europa

A partir de 49 €/mês — não milhares.

Começamos com GitHub e npm/Node.js, com suporte para C#, Java, Go e Rust no roadmap.

Se quiser ver como é um SBOM conforme antes de se comprometer, pode gerar um diretamente no browser — sem registo.

Sete meses é menos tempo do que parece. Especialmente quando o primeiro mês vai para avaliação, o segundo para aquisição, o terceiro para integração, e quer pelo menos um trimestre de margem antes do prazo.

Comece grátis → ou marque uma demo para ver como o Verimu o pode preparar para o CRA antes de setembro.