Aikido
Comece Gratuitamente
Não é necessário cc
BlogConformidade
Em Conformidade com a Lei de Ciber-Resiliência (CRA) usando Aikido Security

Em Conformidade com a Lei de Ciber-Resiliência (CRA) usando Aikido Security

Escrito por
Sooraj Shah
Publicado em:
15 de setembro de 2025

TLDR: Aikido Security ajuda você a cumprir a Lei de Ciber-Resiliência. Também ajudamos a automatizar políticas de segurança e verificações de conformidade para SOC2, ISO27001, CIS & NIS2.
Aqui, explicamos a importância da Lei de Ciber-Resiliência e como o Aikido ajuda você a cumpri-la.

O que é a Lei de Ciber-Resiliência e por que ela é importante para a segurança de software?

A Lei de Ciber-Resiliência (CRA) é um regulamento da União Europeia (UE), introduzido em dezembro de 2024, que estabelece requisitos básicos de cibersegurança e conformidade para todos os produtos com elementos digitais – incluindo seus componentes (hardware e software) – que são vendidos na UE. Isso inclui produtos Software-as-a-Service (SaaS) que se qualificam como soluções de processamento remoto de dados. Ele impacta todos os fabricantes e distribuidores que vendem produtos digitais na União Europeia, não apenas empresas sediadas na UE.

Isso atribui a responsabilidade pela prevenção de falhas de cibersegurança aos fabricantes, com penalidades significativas por não conformidade, de até €15 milhões ou 2,5% do faturamento global. Isso significa efetivamente que a cibersegurança do produto se torna uma barreira de entrada no mercado e um requisito não negociável para se manter relevante na supply chain digital.

O regulamento visa fornecer diretrizes claras aos impactados – mas se fosse assim tão claro, você não estaria lendo esta página, então vamos detalhá-lo para você.

Por que a Lei de Ciber-Resiliência foi introduzida?

A Comissão Europeia introduziu a CRA para combater o baixo nível básico de segurança de produtos em todo o mercado interno. O número crescente de produtos digitais que são frequentemente lançados no mercado com vulnerabilidades conhecidas, muitas vezes sem fornecer atualizações de segurança, expande a superfície de ataque de consumidores e empresas. Mesmo que muitas vezes pareçam inofensivos, apenas um dispositivo conectado pode servir como ponto de entrada para agentes maliciosos que buscam comprometer uma rede mais ampla.

Para proteger os consumidores, a CRA coloca produtos críticos, incluindo fechaduras inteligentes, sistemas de monitoramento de bebês, sistemas de alarme, brinquedos conectados e tecnologia de saúde vestível, sob conformidade mais rigorosa, transferindo efetivamente o ônus do usuário final para o fabricante. Ao exigir legalmente atualizações de segurança automáticas por padrão e requerer instruções claras ao usuário, a CRA garante que os consumidores sejam devidamente informados e possam manter seus dispositivos em um estado seguro sem a necessidade de conhecimento técnico avançado.

Outra questão que a UE quer resolver é a dificuldade para consumidores e empresas saberem quais produtos são seguros ao fazer uma compra.

A CRA garante que o software e os dispositivos conectados sejam atualizados, seguros e permaneçam resilientes a ciberataques em constante evolução. Muitos produtos historicamente foram lançados com vulnerabilidades conhecidas, alimentando ataques à Supply chain em larga escala, e a CRA visa mudar isso.

Quando a CRA entra em vigor?

Para equipes que desenvolvem software, o cronograma se resume a dois prazos:

  • A partir de 11 de setembro de 2026, desenvolvedores de software devem cumprir as regras de relatórios obrigatórios, o que significa que você é legalmente obrigado a relatar quaisquer vulnerabilidades ativamente exploradas ou incidentes de segurança graves às autoridades da UE em até 24 horas após tomar conhecimento deles. 
  • O segundo e último prazo é 11 de dezembro de 2027, quando seus produtos devem cumprir integralmente todos os requisitos essenciais de segurança, incluindo uma configuração segura por padrão, uma declaração de conformidade e ostentar a marcação CE para serem vendidos no mercado da UE.

As Classificações de Produtos da CRA

A CRA define quatro níveis de classificação para produtos com elementos digitais, com base em seus riscos inerentes de cibersegurança:

  • Classe Padrão: Abrange a maioria dos produtos e permite que os fabricantes realizem uma autoavaliação para comprovar a conformidade com a CRA sem auditorias obrigatórias de terceiros.
  • Classe Importante I: Esta categoria inclui produtos com funções de segurança fundamentais, como sistemas operacionais, gerenciadores de senhas e roteadores, exigindo validação mais rigorosa, por exemplo, por meio de normas harmonizadas (que estão em desenvolvimento).
  • Classe Importante II: Esta faixa de risco mais alta abrange componentes de segurança operacional como firewalls, hypervisors e ferramentas de detecção de intrusão, e exige testes independentes por um organismo notificado, sendo obrigatória antes da entrada no mercado.
  • Crítica: Reservada para software e hardware de mais alta segurança, como smartcards, elementos seguros e gateways de medidores inteligentes, esta classe exige uma avaliação de conformidade independente por terceiros via um Organismo Notificado.

Como a Conformidade com a CRA Afeta Desenvolvedores e Equipes de Segurança 

Se você faz parte de uma equipe de engenharia ou segurança, isso tem um grande impacto, porque muda a forma como você projeta, constrói, testa e entrega software. Do gerenciamento de vulnerabilidades à resposta a incidentes, a conformidade significa incorporar a segurança por design em seu ciclo de vida de desenvolvimento.

Como a Aikido Security Simplifica os Requisitos de Conformidade com a CRA

A CRA lista requisitos rigorosos para fabricantes, desde a varredura de vulnerabilidades e a geração de SBOM até a resiliência contra ataques DoS. O Aikido ajuda você a atender a esses requisitos com varredura de segurança automatizada, proteção em tempo de execução e relatórios de conformidade em um único sistema central.

Requisito CRA Solução Aikido
Fornecer nível de cibersegurança apropriado com base nos riscos monitoramento contínuo
Entregar sem vulnerabilidades exploráveis conhecidas SAST, SCA, IaC, CSPM, Secrets, API, Container, VM, Malware, Varredura de Licenças + Zen (RASP)
Proteger a disponibilidade de funções essenciais (resiliência a DoS/DDoS) Zen Filtragem de Tráfego e Rate Limiting
Minimizar impacto negativo em outros dispositivos/redes Zen Controle de Tráfego de Saída
Limitar superfícies de ataque (interfaces externas) Detecção de Exposição + Testes de Penetração Autônomos
Reduzir o impacto de incidentes com mecanismos de mitigação Qualidade de Código + DAST + Testes de Penetração Autônomos
Corrigir vulnerabilidades com atualizações de segurança Monitoramento Contínuo + AutoFix
Identificar e documentar vulnerabilidades/componentes (SBOM) Exportação de SBOM (CycloneDX/SPDX)
Remediar vulnerabilidades sem demora SAST + Auto Triage + AutoFix
Aplicar testes e revisões de segurança eficazes e regulares Testes de Penetração Autônomos + Varreduras CI/CD Automatizadas

Aqui está um olhar mais aprofundado sobre como o Aikido ajuda você a cumprir requisitos específicos: Os produtos devem fornecer um nível de cibersegurança apropriado com base nos riscos. O Aikido ajuda monitorando continuamente seu código, Cloud e runtime contra riscos conhecidos. Isso fornece uma boa visão geral da postura de segurança.

Os produtos devem ser entregues sem vulnerabilidades exploráveis conhecidas

É aqui que o Aikido é essencial; o Aikido oferece vários scanners que procuram por vulnerabilidades. Estes incluem SAST - varredura do seu código-fonte em busca de vulnerabilidades de segurança, análise de composição de software (SCA) - varredura de vulnerabilidades de dependências de código aberto, varredura de máquinas virtuais (instâncias AWS EC2), DAST, gerenciamento da postura de segurança na nuvem (CSPM) - verificações de má configuração na Cloud, varredura de API, varredura de Secrets, varredura de Container, varredura de Infrastructure-as-Code (IaC), varredura de malware e varredura de licenças de código aberto.

E antes de entregar qualquer produto, o Aikido oferece Zen, que é uma autoproteção de aplicações em tempo de execução (RASP), que protege uma aplicação fornecendo um firewall incorporado no aplicativo. Isso detecta ameaças enquanto sua aplicação é executada, interrompe ataques como zero-days em tempo real e bloqueia automaticamente ataques de injeção críticos. Ao instalar o Zen, você não precisa se preocupar com novas vulnerabilidades.

Os produtos devem proteger a disponibilidade de funções essenciais, incluindo a resiliência contra e a mitigação de ataques de negação de serviço.

O Zen do Aikido pode filtrar tráfego malicioso na borda e aplicar Rate limiting, ajudando a mitigar ataques DoS/DDoS. Ele reduz o raio de impacto de ataques volumétricos ou de exaustão de recursos antes que atinjam a lógica da aplicação. 

Os produtos devem minimizar o impacto negativo na disponibilidade de serviços fornecidos por outros dispositivos ou redes.

O Aikido Zen pode garantir que serviços comprometidos não propaguem tráfego de abuso para fora.

Os produtos devem ser projetados, desenvolvidos e produzidos para limitar as superfícies de ataque, incluindo interfaces externas.

Ao identificar serviços expostos, código inseguro e dependências vulneráveis, o Aikido ajuda a reduzir as superfícies de ataque. Testes de penetração autônomos sondam interfaces e endpoints dinamicamente, ajudando a identificar exposições inesperadas. 

Produtos projetados, desenvolvidos e produzidos para reduzir o impacto de um incidente usando mecanismos e técnicas apropriados de mitigação de exploração.

Ao detectar bibliotecas vulneráveis ou práticas de codificação inseguras precocemente através da qualidade de código do Aikido, o Aikido reduz ativamente a explorabilidade. Nossos testes de penetração autônomos validam se as mitigações (por exemplo, regras de WAF, sandboxing, desserialização segura) realmente impedem exploits do mundo real. Enquanto isso, o DAST pode validar se as defesas em tempo de execução realmente funcionam e, essencialmente, dizer se a verificação é (ou não é) eficaz sob ataque. Ao simular tentativas de exploração, ele verifica que, mesmo que uma vulnerabilidade exista, os controles compensatórios podem limitar os danos.

Vulnerabilidades podem ser abordadas por meio de atualizações de segurança, incluindo, quando aplicável, através de atualizações automáticas e da notificação de atualizações disponíveis aos usuários.

Aikido monitora continuamente novas vulnerabilidades em suas dependências e te alerta, ajudando a garantir que as atualizações sejam aplicadas prontamente. 

Os fabricantes devem identificar e documentar vulnerabilidades e componentes contidos no produto, incluindo a elaboração de uma lista de materiais de software (SBOM) em um formato comumente usado e legível por máquina, cobrindo, no mínimo, as dependências de nível superior do produto.

Você pode usar o Aikido para exportar uma lista de materiais de software (SBOM) completa em CycloneDX ou SPDX com um clique. Isso fornece um inventário completo de todos os pacotes e suas licenças para auditorias e transparência.

Em relação aos riscos representados para os produtos com elementos digitais, abordar e remediar vulnerabilidades sem demora, incluindo o fornecimento de atualizações de segurança.

O Aikido é a melhor opção para reduzir o tempo de remediação, pois nossas varreduras eliminam 95% do ruído (falsos positivos). Além disso, nossa ferramenta de Testes de segurança de aplicações estáticas (SAST) pode descartar a possibilidade de explorabilidade e, quando isso não pode ser descartado, ela classifica automaticamente os alertas para você priorizar.

Além do mais, podemos remediar vários problemas automaticamente em um clique com nosso recurso AutoFix. Sabemos, por nossa própria pesquisa com desenvolvedores, AppSec Engineers e CISOs na Europa e nos EUA, que 79% das organizações já usam ferramentas AI autofix para vulnerabilidades, com outros 18% interessados em fazê-lo. 


Os resultados de nossos testes de penetração autônomos também podem ser integrados em pipelines de remediação, facilitando a validação de que as correções realmente funcionam.

Além do mais, podemos remediar vários problemas automaticamente em um clique com nosso recurso AutoFix. Sabemos, por nossa própria pesquisa com desenvolvedores, AppSec Engineers e CISOs na Europa e nos EUA, que 79% das organizações já usam ferramentas AI autofix para vulnerabilidades, com outros 18% interessados em fazê-lo. 

Os resultados de nossa nova solução de testes de penetração autônomos também podem ser integrados em pipelines de remediação, facilitando a validação de que as correções realmente funcionam. 

Aplicar testes e revisões eficazes e regulares da segurança do produto com elementos digitais.

O Aikido oferece testes de penetração autônomos que são mais completos e eficientes do que as alternativas manuais, permitindo que as organizações realizem testes automatizados sob demanda ou de forma contínua. (Isso transforma testes de penetração que duram semanas em avaliações que levam menos de uma hora). Separadamente, o Aikido também automatiza os testes de segurança em cada alteração de código ou build, garantindo revisões contínuas.

Além de ISO27001, NIS2 e DORA: O que a CRA adiciona

Muitas organizações já estão em conformidade com frameworks como ISO27001, NIS2 ou DORA. Estes focam principalmente em como sua empresa gerencia a segurança em nível organizacional (políticas, gerenciamento de riscos, resposta a incidentes e relatórios). Aikido já fornece relatórios de conformidade dentro de sua plataforma para:

A Lei de Ciber-Resiliência (CRA) é diferente. Ela introduz obrigações de segurança em nível de produto, o que significa que a regulamentação se aplica diretamente aos produtos digitais que você constrói e vende. A conformidade não se trata apenas de provar que você tem os processos corretos em vigor, mas também de provar que seu próprio produto é seguro:

  • Deve ser entregue sem vulnerabilidades conhecidas
  • Deve incluir uma SBOM, cobrindo, no mínimo, as dependências de nível superior
  • Deve ser resiliente a ataques (por exemplo, DoS/DDoS)
  • Deve receber atualizações de segurança automáticas, por pelo menos 5 anos
  • Deve ser testado regularmente em busca de falhas exploráveis

Estes são requisitos para o próprio produto, e não apenas para o sistema de gerenciamento de segurança da sua empresa.

Lacuna da CRA Além dos Frameworks Existentes O Que Você Precisa Fazer Como o Aikido Ajuda
Nenhuma vulnerabilidade explorável conhecida no lançamento Vá além da conformidade com políticas e prove que seu produto é entregue sem CVEs conhecidas. Escaneamento automatizado de SAST, SCA, Container, IaC, Secrets e API. Zen RASP protege contra exploits em tempo de execução.
SBOM Obrigatório para transparência Forneça um SBOM legível por máquina a reguladores ou clientes. Exportação de SBOM com um clique nos formatos CycloneDX ou SPDX.
Segurança por design Demonstre evidências de que os produtos são desenvolvidos para reduzir superfícies de ataque. Detecção de exposição, varredura de qualidade de código e testes de penetração autônomos validam práticas de desenvolvimento seguro.
Monitoramento contínuo e atualizações Remedie vulnerabilidades rapidamente e comprove a aplicação regular de patches. Varredura contínua com AutoFix para remediação com um clique. Alertas e triagem reduzem os falsos positivos em 95%.
Resiliência contra ataques DoS/DDoS Demonstre medidas para manter a disponibilidade sob ataque. Zen filtra tráfego malicioso, aplica rate limiting e isola serviços comprometidos.
Testes regulares de segurança de produto Vá além das auditorias organizacionais com testes contínuos em nível de produto. Testes de segurança automatizados em cada build e testes de penetração autônomos sob demanda.

Outras Ferramentas de Segurança Que Você Pode Precisar para Conformidade Total com o CRA

Enquanto o Aikido abrange segurança de código, Cloud e runtime em um sistema central, a CRA também aborda avaliação de riscos, segurança funcional e arquitetural, gerenciamento de identidade, criptografia, proteção de dados e segurança de rede. Dependendo do seu ambiente, você pode precisar de ferramentas complementares como IAM, ferramentas de modelagem de ameaças, controles criptográficos ou soluções de recuperação de desastres junto com o Aikido.

FAQ

P1. A Lei de Ciber-Resiliência (CRA) se aplica a empresas fora da UE?

Sim. A CRA se aplica a todos os produtos com um componente digital vendidos na UE, independentemente de onde a empresa está sediada. Empresas dos EUA ou APAC que vendem para a Europa devem cumprir.

P2. Quais são as penalidades por não conformidade com a CRA?

O não cumprimento da Lei de Ciber-Resiliência pode impedir que seus produtos de software ou hardware sejam vendidos na União Europeia e desencadear recalls de produtos. Sua empresa terá a marca CE negada, causando danos imediatos à confiança do cliente e criando grave responsabilidade legal caso seus produtos sejam hackeados. As violações podem resultar em multas massivas que chegam a 15 milhões de EUR ou 2,5% do seu faturamento anual global total.

P3. Quais são os principais requisitos de conformidade com a CRA para produtos de software?

Os requisitos principais incluem:

  • Uma avaliação de risco documentada com base na finalidade pretendida do produto, ambiente operacional e vida útil esperada
  • Nenhuma vulnerabilidade explorável conhecida no lançamento
  • Monitoramento contínuo de vulnerabilidades e testes de segurança
  • Uma lista de materiais de software (SBOM) das dependências de alto nível
  • Segurança por projeto (redução de superfícies de ataque) e por padrão
  • Resiliência contra ataques de negação de serviço
  • Atualizações de segurança automáticas por padrão (com opção de desativação), por pelo menos 5 anos
  • Notificação de vulnerabilidades ativamente exploradas e incidentes graves às autoridades
  • Informações e instruções claras ao usuário sobre o uso seguro
  • Um programa público de divulgação coordenada de vulnerabilidades (CVD) ou de bug bounty
P4. Qual a diferença entre a Lei de Ciber-Resiliência (CRA) e a Lei de Cibersegurança da UE?

A Lei de Cibersegurança da UE foca em esquemas de certificação para produtos TIC. A CRA, em vigor desde dezembro de 2024, vai além, tornando os fabricantes diretamente responsáveis por proteger produtos com elementos digitais e emitir atualizações.

P5. Como a Aikido Security pode me ajudar a cumprir a CRA?

A CRA consiste em requisitos técnicos de produto e requisitos de processo operacional, exigindo suporte para duas funções diferentes: desenvolvedores que precisam automatizar testes e correções no nível do código, e funções de conformidade que coletam e revisam evidências de conformidade com a CRA.

Para ajudar os desenvolvedores a atender aos requisitos técnicos, a Aikido oferece recursos para identificar automaticamente vulnerabilidades conhecidas, fraquezas, configurações incorretas e exploits em seus produtos — incluindo Análise de Componentes de Software (SCA), varredura de Container, SAST, DAST, CSPM, varredura de segredos, auditoria de código e pentest de IA. A Aikido também identifica e monitora automaticamente as dependências de software, permitindo que os desenvolvedores gerem e exportem SBOMs legíveis por máquina conforme exigido pela CRA.

Ao implementar o firewall Zen em nível de aplicação da Aikido, os desenvolvedores podem prevenir e conter ataques em tempo de execução, atendendo aos requisitos de resiliência e redução da superfície de ataque da CRA. O banco de dados de Threat Intel da Aikido e a pontuação de gravidade EPSS também ajudam a identificar vulnerabilidades ativamente exploradas, que devem ser notificadas às autoridades a partir de 11 de setembro de 2026.

Por meio de recursos de relatórios, correção automática, controle de lançamento, bug bounty e SLA, a Aikido auxilia as funções de conformidade a coletar, revisar e aplicar evidências de conformidade com a CRA.

P6. A CRA se aplica apenas a produtos novos?

Não. A CRA se aplica a unidades de produtos individuais colocadas no mercado, não apenas a lançamentos de produtos novos. A partir de 11 de dezembro de 2027, as empresas não poderão colocar modelos de produtos mais antigos no mercado da UE, a menos que tenham sido totalmente adequados à conformidade — o que pode exigir uma quantidade massiva de esforço. Tentar adicionar segurança retroativamente a hardware ou software que não foi projetado com as ameaças modernas em mente é notoriamente difícil, caro e intensivo em recursos.

Além disso, a partir de 11 de setembro de 2026 (em breve!), as regras obrigatórias de notificação de vulnerabilidades ativamente exploradas e incidentes se aplicam a todos os seus produtos, independentemente de terem sido projetados antes ou depois da CRA.

P7. A CRA se aplica apenas a hardware?

Não. A regulamentação se aplica universalmente a "produtos com elementos digitais", o que abrange dispositivos físicos e software igualmente. Qualquer programa autônomo, versão de firmware, aplicativo móvel, aplicativo de software para desktop ou sistema operacional está totalmente abrangido, desde que possua uma conexão de dados física ou lógica com outra rede ou dispositivo.

P8. Os serviços de Cloud estão excluídos da CRA?

Não. Embora os serviços de Cloud (como IaaS, PaaS ou SaaS) sejam regulamentados principalmente pela Diretiva NIS 2, e não pela Lei de Ciber-Resiliência (CRA), as soluções de Cloud estão explicitamente no escopo da CRA se qualificarem como uma Solução de Processamento Remoto de Dados (RDPS) — por exemplo, se a ausência do serviço de Cloud impediria um produto de hardware ou software de executar uma de suas funções principais.

Conclusão

A Lei de Ciber-Resiliência estabelece um novo padrão para software seguro na Europa. A cibersegurança não é mais uma caixa de seleção de conformidade opcional, mas uma barreira de entrada no mercado. Para equipes de engenharia e segurança, significa projetar para a segurança desde o início e provar que seus produtos atendem aos requisitos da CRA.

A Aikido Security simplifica isso. Do código à Cloud e ao tempo de execução, a Aikido oferece varredura automatizada, qualidade de código, geração de SBOM, pen testing e proteção em tempo de execução em uma única plataforma. Sem malabarismos com várias ferramentas. Sem ruído extra. Apenas caminhos mais rápidos para a conformidade e produtos mais seguros. Pronto para ver como a Aikido ajuda você a cumprir os requisitos da CRA?

Agende uma demonstração e comece a desenvolver software seguro sem atrasar sua equipe.

Última atualização em:
22 de maio de 2026
Compartilhar:

https://www.aikido.dev/blog/cyber-resilience-act-compliance

Link de Texto

Assine para receber notícias

4.7/5
Cansado de falsos positivos?

Experimente Aikido como 100 mil outros.
Começar Agora
Obtenha um tour personalizado

Confiado por mais de 100 mil equipes

Agende Agora
Escaneie seu aplicativo em busca de IDORs e caminhos de ataque reais

Confiado por mais de 100 mil equipes

Iniciar Escaneamento
Veja como o pentest de IA testa seu aplicativo

Confiado por mais de 100 mil equipes

Iniciar Testes

Começar Agora
Posts Semelhantes
Ver todos
Ver todos
9 de março de 2026
Conformidade

Como o pentest de IA funciona com a conformidade?

pentest de IA está sendo aceito para SOC 2, ISO 27001 e HIPAA (com mais a caminho). Aqui está o que os auditores realmente procuram e onde estão as verdadeiras limitações.

#
Pentest com IA
#
Pentesting
5 de janeiro de 2026
Conformidade

Como Equipes de Engenharia e Segurança Podem Atender aos Requisitos Técnicos da DORA

Compreenda os requisitos técnicos da DORA para equipes de engenharia e segurança, incluindo testes de resiliência, gestão de riscos e evidências prontas para auditoria.

#
Conformidade
#
AppSec
3 de dezembro de 2025
Conformidade

Como Cumprir o Projeto de Lei de Cibersegurança e Resiliência do Reino Unido: Um Guia Prático para Equipes de Engenharia Modernas

Aprenda a atender aos requisitos do Projeto de Lei de Cibersegurança e Resiliência do Reino Unido, desde práticas de segurança por design até a transparência de SBOM, segurança da cadeia de suprimentos e conformidade contínua.

#
Conformidade
#
DevSecOps

Fique seguro agora

Proteja seu código, Cloud e runtime em um único sistema centralizado.
Encontre e corrija vulnerabilidades rapidamente de forma automática.

Iniciar Análise
Não é necessário cc
Agendar uma demonstração
Não é necessário cartão de crédito | Resultados da varredura em 32 segundos.