Em Conformidade com a Lei de Ciber-Resiliência (CRA) usando Aikido Security

Escrito por

Publicado em:

15 de setembro de 2025

Sumário
Link de Texto

TLDR: Aikido Security ajuda você a cumprir a Lei de Ciber-Resiliência. Também ajudamos a automatizar políticas de segurança e verificações de conformidade para SOC2, ISO27001, CIS & NIS2.
Aqui, explicamos a importância da Lei de Ciber-Resiliência e como o Aikido ajuda você a cumpri-la.

O que é a Lei de Ciber-Resiliência e por que ela é importante para a segurança de software?

‍A Lei de Ciber-Resiliência (CRA) é um regulamento da União Europeia (UE), em vigor a partir de dezembro de 2024, que estabelece requisitos básicos de cibersegurança e conformidade para todos os produtos com elementos digitais - incluindo seus componentes (hardware e software) - que são vendidos na UE. Isso inclui produtos Software-as-a-Service (SaaS) que se qualificam como soluções de processamento de dados remoto. Isso afeta todos os fabricantes que vendem para a União Europeia, não apenas empresas sediadas na UE.

Isso atribui a responsabilidade pela prevenção de falhas de cibersegurança aos fabricantes, com penalidades significativas por não conformidade - até €15 milhões ou 2,5% do faturamento global. Os produtos devem, portanto, ser construídos desde o início com a segurança em mente.

O regulamento visa fornecer diretrizes claras para os impactados - mas se fosse claro, você não estaria lendo esta página, então vamos detalhá-lo para você.

Por que a Lei de Ciber-Resiliência foi introduzida?

A Comissão Europeia projetou a CRA para salvaguardar consumidores e empresas que compram produtos com elementos digitais porque - francamente - muitos produtos conectados à internet (também conhecidos como Internet das Coisas) não são atualizados - e, portanto, não são seguros. Na verdade, um dos maiores ataques DDoS registrados foi o botnet Mirai (ataque Dyn), que transformou dispositivos IoT desprotegidos em um exército de máquinas de ataque. Outra questão para a UE resolver era o quão cada vez mais difícil se tornava para consumidores e empresas saber quais produtos são seguros ao fazer uma compra.

A CRA garante que o software e os dispositivos conectados sejam atualizados, seguros e resilientes a ciberataques. Muitos produtos historicamente foram lançados com vulnerabilidades conhecidas, alimentando ataques à Supply chain em larga escala; a CRA visa mudar isso.

Como a Conformidade com a CRA Afeta Desenvolvedores e Equipes de Segurança

Se você faz parte de uma equipe de engenharia ou segurança, isso tem um grande impacto, porque muda a forma como você projeta, constrói, testa e entrega software. Do gerenciamento de vulnerabilidades à resposta a incidentes, a conformidade significa incorporar a segurança por design em seu ciclo de vida de desenvolvimento.

Como a Aikido Security Simplifica os Requisitos de Conformidade com a CRA

A CRA lista requisitos rigorosos para fabricantes, desde a varredura de vulnerabilidades e a geração de SBOM até a resiliência contra ataques DoS. O Aikido ajuda você a atender a esses requisitos com varredura de segurança automatizada, proteção em tempo de execução e relatórios de conformidade em um único sistema central.

Requisito CRA	Solução Aikido
Fornecer nível de cibersegurança apropriado com base nos riscos	monitoramento contínuo
Entregar sem vulnerabilidades exploráveis conhecidas	SAST, SCA, IaC, CSPM, Secrets, API, Container, VM, Malware, Varredura de Licenças + Zen (RASP)
Proteger a disponibilidade de funções essenciais (resiliência a DoS/DDoS)	Zen Filtragem de Tráfego e Rate Limiting
Minimizar impacto negativo em outros dispositivos/redes	Zen Controle de Tráfego de Saída
Limitar superfícies de ataque (interfaces externas)	Detecção de Exposição + Testes de Penetração Autônomos
Reduzir o impacto de incidentes com mecanismos de mitigação	Qualidade de Código + DAST + Testes de Penetração Autônomos
Corrigir vulnerabilidades com atualizações de segurança	Monitoramento Contínuo + AutoFix
Identificar e documentar vulnerabilidades/componentes (SBOM)	Exportação de SBOM (CycloneDX/SPDX)
Remediar vulnerabilidades sem demora	SAST + Auto Triage + AutoFix
Aplicar testes e revisões de segurança eficazes e regulares	Testes de Penetração Autônomos + Varreduras CI/CD Automatizadas

Aqui está uma análise mais aprofundada de como o Aikido ajuda você a cumprir requisitos específicos:

Produtos devem fornecer um nível de cibersegurança apropriado com base nos riscos
O Aikido ajuda monitorando continuamente seu código, Cloud e runtime contra riscos conhecidos. Isso fornece uma boa visão geral da postura de segurança.

Produtos devem ser entregues sem quaisquer vulnerabilidades exploráveis conhecidas‍

É aqui que o Aikido é essencial; o Aikido oferece uma série de scanners que buscam vulnerabilidades. Estes incluem SAST - varredura do seu código-fonte em busca de vulnerabilidades de segurança, análise de composição de software (SCA) - varredura de vulnerabilidades de dependências de código aberto, varredura de máquinas virtuais (instâncias AWS EC2), DAST, gerenciamento de postura de segurança na Cloud (CSPM) - verificações de má configuração na Cloud, varredura de API, varredura de Secrets, varredura de Container, varredura de Infrastructure-as-Code (IaC), varredura de malware, e varredura de licenças de código aberto.

E antes de entregar qualquer produto, o Aikido oferece Zen, que é uma autoproteção de aplicações em tempo de execução (RASP), que protege uma aplicação fornecendo um firewall incorporado no aplicativo. Isso detecta ameaças enquanto sua aplicação é executada, interrompe ataques como zero-days em tempo real e bloqueia automaticamente ataques de injeção críticos. Ao instalar o Zen, você não precisa se preocupar com novas vulnerabilidades.

Os produtos devem proteger a disponibilidade de funções essenciais, incluindo a resiliência e mitigação de ataques de negação de serviço.
O Zen do Aikido pode filtrar tráfego malicioso na borda e aplicar Rate limiting, ajudando a mitigar ataques DoS/DDoS. Ele reduz o raio de impacto de ataques volumétricos ou de exaustão de recursos antes que atinjam a lógica da aplicação.

Produtos devem minimizar o impacto negativo na disponibilidade de serviços fornecidos por outros dispositivos ou redes.
O Aikido Zen pode garantir que serviços comprometidos não propaguem tráfego de abuso para fora.

Produtos devem ser projetados, desenvolvidos e produzidos para limitar as superfícies de ataque, incluindo interfaces externas.
Ao identificar serviços expostos, código inseguro e dependências vulneráveis, o Aikido ajuda a reduzir as superfícies de ataque. Testes de penetração autônomos sondam interfaces e endpoints dinamicamente, ajudando a identificar exposições inesperadas.

Produtos projetados, desenvolvidos e produzidos para reduzir o impacto de um incidente usando mecanismos e técnicas apropriadas de mitigação de exploração.
Ao detectar bibliotecas vulneráveis ou práticas de codificação inseguras precocemente através da qualidade de código do Aikido, o Aikido reduz ativamente a explorabilidade. Nossos testes de penetração autônomos validam se as mitigações (ex: regras de WAF, sandboxing, desserialização segura) realmente impedem explorações do mundo real. Enquanto isso, o DAST pode validar se as defesas em tempo de execução realmente funcionam e, essencialmente, dizer se a verificação é (ou não é) eficaz sob ataque. Ao simular tentativas de exploração, ele verifica que, mesmo que uma vulnerabilidade exista, os controles compensatórios podem limitar os danos.

Vulnerabilidades podem ser abordadas por meio de atualizações de segurança, incluindo, quando aplicável, através de atualizações automáticas e da notificação de atualizações disponíveis aos usuários.‍

Aikido monitora continuamente novas vulnerabilidades em suas dependências e te alerta, ajudando a garantir que as atualizações sejam aplicadas prontamente.

Os fabricantes devem identificar e documentar vulnerabilidades e componentes contidos no produto, incluindo a elaboração de uma lista de materiais de software (SBOM) em um formato comumente utilizado e legível por máquina, cobrindo, no mínimo, as dependências de nível superior do produto. ‍

Você pode usar o Aikido para exportar uma lista de materiais de software (SBOM) completa em CycloneDX ou SPDX com um clique. Isso fornece um inventário completo de todos os pacotes e suas licenças para auditorias e transparência.

Em relação aos riscos impostos aos produtos com elementos digitais, abordar e remediar vulnerabilidades sem demora, inclusive fornecendo atualizações de segurança.

Aikido é a melhor opção para reduzir o tempo de remediação, já que nossas varreduras reduzem o ruído (falsos positivos) em 95%. Além disso, nossa ferramenta de Testes de segurança de aplicações estáticas (SAST) pode descartar a possibilidade de explorabilidade, e quando isso não pode ser descartado, ela tria automaticamente os alertas para você priorizar.

Além do mais, podemos remediar uma série de problemas automaticamente com um clique usando nosso recurso AutoFix. Sabemos, a partir de nossa própria pesquisa com desenvolvedores, AppSec Engineers e CISOs na Europa e nos EUA, que 79% das organizações já utilizam ferramentas AI Autofix para vulnerabilidades, com outros 18% interessados em fazê-lo.

Os resultados de nossa nova solução de testes de penetração autônomos também podem ser integrados em pipelines de remediação, facilitando a validação de que as correções realmente funcionam.

Aplicar testes e revisões eficazes e regulares da segurança do produto com elementos digitais.

Aikido em breve fornecerá testes de penetração autônomos que são mais completos e eficientes do que as alternativas manuais, permitindo que as organizações realizem testes automatizados sob demanda ou de forma contínua. (Isso transforma testes de penetração que duravam semanas em avaliações que levam menos de uma hora). Separadamente, Aikido também automatiza testes de segurança em cada alteração de código ou build, garantindo revisões contínuas.

Além de ISO27001, NIS2 e DORA: O que a CRA adiciona

Muitas organizações já estão em conformidade com frameworks como ISO27001, NIS2 ou DORA. Estes focam principalmente em como sua empresa gerencia a segurança em nível organizacional (políticas, gerenciamento de riscos, resposta a incidentes e relatórios). Aikido já fornece relatórios de conformidade dentro de sua plataforma para:

Conformidade ISO 27001:2022
Conformidade SOC2
Conformidade Top 10 OWASP
Conformidade CIS
conformidade NIS2
Conformidade NIST 800-53
Conformidade PCI
Conformidade HIPAA
Conformidade DORA
Conformidade HITRUST LVL3
Conformidade ENS
GDPR

A Lei de Ciber-Resiliência (CRA) é diferente. Ela introduz obrigações de segurança em nível de produto, o que significa que a regulamentação se aplica diretamente aos produtos digitais que você constrói e vende. A conformidade não se trata apenas de provar que você tem os processos corretos em vigor, mas também de provar que seu próprio produto é seguro:

Deve ser entregue sem vulnerabilidades conhecidas
Deve incluir uma SBOM
Deve ser resiliente a ataques (por exemplo, DoS/DDoS)
Deve receber atualizações de segurança contínuas
Deve ser testado regularmente em busca de falhas exploráveis

Estes são requisitos para o próprio produto, e não apenas para o sistema de gerenciamento de segurança da sua empresa.

Lacuna da CRA Além dos Frameworks Existentes	O Que Você Precisa Fazer	Como o Aikido Ajuda
Nenhuma vulnerabilidade explorável conhecida no lançamento	Vá além da conformidade com políticas e prove que seu produto é entregue sem CVEs conhecidas.	Escaneamento automatizado de SAST, SCA, Container, IaC, Secrets e API. Zen RASP protege contra exploits em tempo de execução.
SBOM Obrigatório para transparência	Forneça um SBOM legível por máquina a reguladores ou clientes.	Exportação de SBOM com um clique nos formatos CycloneDX ou SPDX.
Segurança por design	Demonstre evidências de que os produtos são desenvolvidos para reduzir superfícies de ataque.	Detecção de exposição, varredura de qualidade de código e testes de penetração autônomos validam práticas de desenvolvimento seguro.
Monitoramento contínuo e atualizações	Remedie vulnerabilidades rapidamente e comprove a aplicação regular de patches.	Varredura contínua com AutoFix para remediação com um clique. Alertas e triagem reduzem os falsos positivos em 95%.
Resiliência contra ataques DoS/DDoS	Demonstre medidas para manter a disponibilidade sob ataque.	Zen filtra tráfego malicioso, aplica rate limiting e isola serviços comprometidos.
Testes regulares de segurança de produto	Vá além das auditorias organizacionais com testes contínuos em nível de produto.	Testes de segurança automatizados em cada build e testes de penetração autônomos sob demanda.

Outras Ferramentas de Segurança Que Você Pode Precisar para Conformidade Total com o CRA

Enquanto Aikido cobre segurança de código, Cloud e runtime em um sistema central, o CRA também aborda gerenciamento de identidade, criptografia, proteção de dados e segurança de rede. Dependendo do seu ambiente, você pode precisar de ferramentas complementares como IAM, controles criptográficos ou soluções de recuperação de desastres junto com Aikido.

FAQ

P1. A Lei de Ciber-Resiliência (CRA) se aplica a empresas fora da UE?

Sim. A CRA se aplica a todos os produtos com um componente digital vendidos na UE, independentemente de onde a empresa está sediada. Empresas dos EUA ou APAC que vendem para a Europa devem cumprir.

P2. Quais são as penalidades por não conformidade com a CRA?

Organizações enfrentam multas de até €15 milhões ou 2,5% do faturamento global. A regulamentação atribui responsabilidade aos fabricantes para entregar produtos seguros.

P3. Quais são os principais requisitos de conformidade com a CRA para produtos de software?

Nenhuma vulnerabilidade explorável conhecida no lançamento
Monitoramento contínuo de vulnerabilidades e atualizações
Uma lista de materiais de software (SBOM)
Segurança por design (reduzindo superfícies de ataque)
Resiliência contra ataques DoS/DDoS
Testes de segurança regulares e revisões

P4. Qual a diferença entre a Lei de Ciber-Resiliência (CRA) e a Lei de Cibersegurança da UE?

A Lei de Cibersegurança da UE foca em esquemas de certificação para produtos TIC. A CRA, em vigor desde dezembro de 2024, vai além, tornando os fabricantes diretamente responsáveis por proteger produtos com elementos digitais e emitir atualizações.

P5. Como a Aikido Security pode me ajudar a cumprir a CRA?

A Aikido oferece scanning de segurança (SAST, SCA, IaC, container, secrets, API), proteção em tempo de execução (Zen RASP), exportação de SBOM e testes de penetração autônomos. Isso ajuda você a cumprir os requisitos de conformidade da CRA em uma única plataforma.

P6. Preciso de outras ferramentas além da Aikido para estar em conformidade com a CRA?

Sim. A Lei de Ciber-Resiliência também aborda gerenciamento de identidade, criptografia, proteção de dados e segurança de rede. Aikido cobre segurança de código, Cloud e proteção em tempo de execução, mas IAM, criptografia e recuperação de desastres também podem ser importantes dependendo do seu ambiente.

Conclusão

A Lei de Ciber-Resiliência estabelece um novo padrão para software seguro na Europa. A conformidade não é mais opcional. Para equipes de engenharia e segurança, significa construir com a segurança no centro e provar que seus produtos atendem aos requisitos da Lei de Ciber-Resiliência.
‍
O Aikido Security simplifica isso. Do código à Cloud e proteção em tempo de execução, o Aikido oferece scanning automatizado, qualidade de código, geração de SBOM, pen testing e proteção em tempo de execução em uma única plataforma. Sem malabarismos com múltiplas ferramentas. Sem ruído extra. Apenas caminhos mais rápidos para a conformidade e produtos mais seguros.

Pronto para ver como o Aikido ajuda você a cumprir os requisitos da Lei de Ciber-Resiliência?

Agende uma demonstração e comece a construir software seguro sem desacelerar sua equipe.

‍

Última atualização em:

7 de janeiro de 2026

Assine para receber notícias sobre ameaças.

Proteja seu software agora

Comece hoje, gratuitamente.

5 de janeiro de 2026

•

Conformidade

Como Equipes de Engenharia e Segurança Podem Atender aos Requisitos Técnicos da DORA

Compreenda os requisitos técnicos da DORA para equipes de engenharia e segurança, incluindo testes de resiliência, gestão de riscos e evidências prontas para auditoria.

Conformidade

AppSec

3 de dezembro de 2025

•

Conformidade

Como Cumprir o Projeto de Lei de Cibersegurança e Resiliência do Reino Unido: Um Guia Prático para Equipes de Engenharia Modernas

Aprenda a atender aos requisitos do Projeto de Lei de Cibersegurança e Resiliência do Reino Unido, desde práticas de segurança por design até a transparência de SBOM, segurança da cadeia de suprimentos e conformidade contínua.

Conformidade

DevSecOps

13 de outubro de 2025

•

Conformidade

Aikido + Secureframe: Mantendo os dados de conformidade atualizados

Mantenha a conformidade SOC 2 e com ISO 27001 precisa com dados de vulnerabilidade em tempo real. Aikido sincroniza com Secureframe para que as auditorias permaneçam atualizadas e os desenvolvedores continuem construindo.

Conformidade

SOC 2

Fique seguro agora

Proteja seu código, Cloud e runtime em um único sistema centralizado.
Encontre e corrija vulnerabilidades rapidamente de forma automática.

Iniciar Análise

Não é necessário cc

Agendar uma demonstração

Não é necessário cartão de crédito | Resultados da varredura em 32 segundos.